তাত্ত্বিক কম্পিউটার বিজ্ঞান কীভাবে সুরক্ষার সাথে সম্পর্কিত?

11

আমি যখন সফ্টওয়্যারটিকে অনিরাপদ মনে করি তখন আমি মনে করি এটি "খুব দরকারী" এবং আক্রমণকারী দ্বারা আপত্তিজনক হতে পারে। সুতরাং এক অর্থে সফ্টওয়্যার সুরক্ষিত করা সফ্টওয়্যারকে কম দরকারী করার প্রক্রিয়া। তাত্ত্বিক কম্পিউটার বিজ্ঞানে আপনি বাস্তব বিশ্বের সাথে কাজ করছেন না। খাঁটি তত্ত্ব নিয়ে কাজ করার সময় কি কোনও সুরক্ষা উদ্বেগ রয়েছে? বা মুদ্রার অন্য দিক, তাত্ত্বিক কম্পিউটার বিজ্ঞান হ্যাক হয়ে যাওয়া মানুষের বাস্তব জগতকে প্রভাবিত করে? যদি তা হয় তবে কোন সুরক্ষার বিষয়গুলি তাত্ত্বিক হিসাবে বিবেচিত হবে?

cr.crypto-security big-picture

— দ্য রুক
সূত্র

9

উপস্থাপিত সিএস থিওরির দৃষ্টিভঙ্গি ব্যক্তিগত এবং খুব তর্কযোগ্য এবং এটি প্রশ্ন উত্থাপন করার প্রয়োজনও নেই। প্রশ্নটি হ্যাকিংয়ের উপরে বিশেষভাবে দৃষ্টি নিবদ্ধ করে বলে মনে হচ্ছে, যা এটি নিজস্ব এবং এটির একটি বিস্তৃত বিষয় (সামাজিক প্রকৌশল কৌশলগুলির সর্বাত্মক) এবং "সুরক্ষিত" কীভাবে প্রবেশ করায় তা কাছে আসে না। এই কারণে আমি হ্রাস পেয়েছি। তবে আমার মনে হচ্ছে প্রশ্নটি একটি ভাল জায়গা থেকে আসছে এবং এর কিছু আকর্ষণীয় দিক রয়েছে তাই আমি নীচে উত্তর দিয়েছি।

— রস স্নাইডার

20

আপনার স্বজ্ঞাততা যে "নিরাপত্তাহীনতা" সফ্টওয়্যারটির কারণে যা "অত্যধিক দরকারী" সঠিক তা এক অর্থে সঠিক। "ডিফারেনশিয়াল প্রাইভেসি" সম্পর্কিত একটি বৃহত এবং ক্রমবর্ধমান তাত্ত্বিক সাহিত্য রয়েছে যা আপনার অন্তর্দৃষ্টিকে আনুষ্ঠানিক করে। উদাহরণস্বরূপ, এখানে দেখুন: গবেষণা.microsoft.com/en-us/projects/datediaprivacy/dwork.pdf

$\epsilon$ $e^\epsilon$

$0$

— হারুন রথ
সূত্র

14

বিভিন্ন উপায়ে:

ক্রিপ্টোগ্রাফি (গোপনীয়তা থেকে এনক্রিপশন পর্যন্ত তথ্য সুরক্ষা একটি বিস্তৃত বিস্তৃত সাধারণীকরণ)
কোডের আনুষ্ঠানিক যাচাইকরণ ( এসইএল 4 প্রকল্পটিও দেখুন )
ফল্ট সহনশীলতা এবং ত্রুটি সংশোধন
কোড সাইনিং সহ ম্যালওয়্যার ( অন্য ) রোধ করার তাত্ত্বিক উপায়
টেম্পারপ্রুফ হার্ডওয়্যার
পয়েন্ট অবরুদ্ধকরণ (তাত্ত্বিকভাবে সুরক্ষিত কোড আপত্তি সম্পর্কে তথ্যের একটি তাত্ত্বিক পদ্ধতির)
মেশিন লার্নিং হ্যাক প্রয়াসকে রিয়েল টাইমে আটকাতে এবং সতর্ক করতে সহায়তা করে (ভাবুন অ্যাক্টিভ ওয়ার্ডেনস এবং স্প্যাম ফিল্টারিং )।
আরও অনেক কিছু।

— রস স্নাইডার
সূত্র

আমি সত্যই বিশ্বাস করি না যে আপনি কখনও দুর্বলতা খুঁজে পেয়েছেন, একক কোডের প্যাচ দিয়েছেন বা বাস্তব বিশ্বের দুর্বলতার অভ্যন্তরীণ কাজও দেখেছেন।

— দ্য রুক

8

অলিডিবিজি ব্যবহার করে আমি মাইক্রোসফ্টের প্যাচ মঙ্গলবারের আগে (দ্বিতীয়) কার্সার দুর্বলতা (স্পষ্টত সোর্স কোড ছাড়াই) ঠিক করার জন্য আমার জিডি ডিএলকে প্যাচ করেছি। আবার অলিডিবিজি ব্যবহার করে আমি একটি বদ্ধ উত্স এমুলেটরকে প্যাচমন প্রতিযোগিতার (লজ্জাজনকভাবে) প্রমাণ হিসাবে প্রতারণার প্রমাণ হিসাবে তৈরি করেছি। আমি একটি ওয়েবক্যাম প্রকল্পে একটি 0 দিনের সন্ধান পেয়েছি এবং প্রচুর পরিমাণে যুদ্ধের খেলাগুলিতে (ব্ল্যাকসন সহ, যা এএসএলআর এবং প্যাকস সক্ষম করেছে) সহ যথেষ্ট উচ্চতর স্কোর অর্জন করেছি। আমি যে আরও ঘৃণিত কাজ করেছি তার কিছু উল্লেখ করব না .... শ্রাগ; আমার কাছে থাকলে বা না থাকলে কেন ব্যাপার হবে? দয়া করে শিখাবেন না

— রস স্নাইডার

13

@ দ্য রুক: আপনি যদি বিশ্বাস করেন যে সফটওয়্যার সুরক্ষার প্রকৃত অনুশীলনের সাথে রসের তালিকার খুব কম সংযোগ রয়েছে, তবে তাই বলুন। এমনকি কিছু উদাহরণ দেওয়াও সহায়ক হবে, বা টিসিএস সুরক্ষা গবেষণা প্রকৃত সুরক্ষা অনুশীলন থেকে কতটা দূরে (যা আমি পড়তে খুব আকর্ষণীয় মনে করি) তার নিজের বিবরণের একটি উত্তর যুক্ত করা। তবে রসকে অধিষ্ঠিত করার দরকার নেই।

— জোশুয়া গ্রাচো

13

ওয়্যার্ড ইকুইভ্যালেন্ট প্রাইভেসির উদাহরণটি বিবেচনা করুন , যা বাস্তবে এমন কোনও বিষয় নয়: বিব্রতকরভাবে মৌলিক তাত্ত্বিক ওভারসাইটগুলির (পিডিএফ) কারণে ডাব্লুইইপি কয়েক মিনিটের মধ্যেই ক্র্যাকযোগ্য হয়।

ইন "কেন কম্পিউটার অসুরক্ষিত," ব্রুস Schneier quipped

সিকিউরিটি ইঞ্জিনিয়ারিং শয়তানের কম্পিউটার প্রোগ্রামিং জড়িত।

এবং শয়তানের কম্পিউটার পরীক্ষা করা শক্ত।

— গ্রেগ বেকন
সূত্র

10

নেটওয়ার্ক অনুপ্রবেশ সনাক্তকরণ থেকে আসা স্ট্রিমিং অ্যালগরিদমগুলির অধ্যয়নের জন্য প্রচুর বাস্তব-প্রেরণা রয়েছে। আপনার নেটওয়ার্ক ট্র্যাফিকের অ্যানোমোলিজগুলি সনাক্ত করতে নীচের কাগজটি এমিরিকাল এনট্রপির জন্য স্ট্রিমিং অ্যালগরিদম ব্যবহার করে।

ইউ গু, অ্যান্ড্রু ম্যাককালাম এবং ডন টোসলে। সর্বাধিক এনট্রপি অনুমান ব্যবহার করে নেটওয়ার্ক ট্র্যাফিকে অনিয়মগুলি সনাক্ত করা। আইএমসি'০৫-তে: ইন্টারনেট পরিমাপ সম্পর্কিত ৫ ম এসি সিগকম সম্মেলনের কার্যক্রম, পৃষ্ঠা ১- pages, ২০০–

— জোশুয়া ব্রোডি
সূত্র

8

অন্যান্য উত্তরের মতো নয়, এটি টিসিএস সুরক্ষায় ব্যবহৃত হয়েছে এমন জায়গাগুলির বিপরীতে "কোনও বিষয় 'সম্ভাব্য সুরক্ষিত' বলার সময় আমাদের চিন্তিত হওয়া উচিত" এর ধারায় আরও বেশি। সুতরাং, এটি তত্ত্বের সাথে কাজ করার সময় সুরক্ষা উদ্বেগের প্রথম প্রশ্নকে সম্বোধন করে।

হ্যাকাররা যেমন বলেছে তাত্ত্বিক ফলাফলগুলি প্রায়শই আসল-বিশ্ব সুরক্ষার জন্য স্পর্শকাতর। এই ধরণের যুক্তি আলফ্রেড মেনেজেস এবং নীল কোব্লিটজ তাদের ' অন্য চেহারা ' পত্রিকায় সিরিজটিতে আরও তাত্ত্বিক, বৈজ্ঞানিক এবং যথাযথ করে তুলেছেন (সতর্কতা: সাইটটি আমার কাছে কিছুটা দ্বন্দ্বপূর্ণ মনে হয়েছে, তবে আমি ধারণা অনুমানের মূল ধারণাটিই মনে করি খুবই গুরুত্বপূর্ণ). তারা ক্রিপ্টোগ্রাফির এমনকি মানসিক কাগজপত্রগুলিতে স্ট্যান্ডার্ড অনুমানের দুর্বলতাগুলি চিহ্নিত করে।

কিছু উদাহরণ (তাদের সাইট থেকে কয়েকটি পয়েন্ট উদ্ধৃত / প্যারাফ্রেসিং):

একটি সুরক্ষা তত্ত্বটি শর্তসাপেক্ষ - এটি কিছু গাণিতিক সমস্যার অন্তঃসত্ত্বা গ্রহণ করে।

প্রায়শই জটিলতা ও জটিল সমস্যার জন্য আন্তঃব্যক্তিত্ব অনুমান করা হয়: কিছু ক্ষেত্রে সমস্যাটি প্রোটোকলটির সুরক্ষা "প্রমাণিত" হওয়ার ক্ষেত্রে তুচ্ছভাবে ক্রিপ্ট্যানালাইসিস সমস্যার সমান।

কখনও কখনও একটি প্রমাণের একটি বড় টানটান ব্যবধান থাকে, তবে প্যারামিটারের আকারগুলি এখনও সুপারিশ করা হয় যেন প্রমাণটি শক্ত হয়। এই জাতীয় ক্ষেত্রে প্রমাণটি সাধারণত একটি সফল আক্রমণকারের চলমান সময়কে অকেজো করে দেয় lower তদ্ব্যতীত, একটি অ্যাসিম্পোটিক ফলাফল অনুশীলনে ব্যবহৃত পরিসরের পরামিতিগুলির জন্য সুরক্ষার কোনও নিশ্চয়তা সরবরাহ করে না।

একটি সুরক্ষা উপপাদ্য সুরক্ষার একটি নির্দিষ্ট মডেল ব্যবহার করে। কিছু আক্রমণ - বিশেষত পার্শ্ব-চ্যানেল আক্রমণ - মডেল করা খুব শক্ত এবং যে মডেলগুলির প্রস্তাব দেওয়া হয়েছে তা হ'ল দুর্ভাগ্যজনকভাবে অপর্যাপ্ত।

— আর্টেম কাজনাটচিভ
সূত্র

6

সফটওয়্যার, হার্ডওয়্যার এবং প্রোটোকলগুলির নির্ভুলতা প্রমাণের জন্য উপপাদ্য প্রবাদগুলি কিছুটা ব্যবহার করা হয়েছে। উদাহরণস্বরূপ, এখানে বা এখানে দেখুন ।

প্রোগ্রামগুলির মাধ্যমে অবাঞ্ছিত উপায়ে প্রবাহিত তথ্যের সমস্যা (এটি একটি সম্ভাব্য ফুটো হওয়ার কারণ) তাত্ত্বিকভাবে (অ-) হস্তক্ষেপের ধারণাটি ব্যবহার করে মডেল করা হয়েছে; এখানে পয়েন্টার পেতে ।

— রাফায়েল
সূত্র

3

প্রোগ্রামিং ভাষা গবেষণায় সিদ্ধান্ত গ্রহণযোগ্যতা একটি কেন্দ্রীয় উদ্বেগ। এটি হ'ল প্রোগ্রামিং ল্যাঙ্গুয়েজ তৈরিতে প্রচুর প্রচেষ্টা ব্যয় করা হচ্ছে যা কেবল এমন কোড গ্রহণ করে যা নির্দিষ্ট বৈশিষ্ট্যগুলিকে সন্তুষ্ট করে। সাধারণ স্ট্যাটিক ভাষাগুলি কেবল দুর্বল গ্যারান্টি সরবরাহ করে, যেমন কিছু পদ্ধতি বিদ্যমান না থাকলে কোনও প্রোগ্রামকে প্রত্যাখ্যান করে, তবে ভাবুন যে ভাষাটি এমন প্রোগ্রামগুলিও ছড়িয়ে দিতে পারে যা উদাহরণস্বরূপ, ভুলভাবে মূটেক্স ব্যবহার করে বা মেমরি অঞ্চলের শেষের বাইরে পড়ার চেষ্টা করে। এটি স্পষ্ট যে ডিসিডেবিলিটি সংক্রান্ত সমস্যাগুলি দ্রুত আসে (সাদামাটা দৃশ্যাবলী: নির্দিষ্ট করুন যে আপনার সংকলকটি কেবল সমাপ্তির প্রোগ্রামগুলি গ্রহণ করবে) এবং অবশ্যই দক্ষতার উদ্বেগ রয়েছে (এমএল টাইপ-চেকার দ্বিগুণ ক্ষতিকারক ক্ষেত্রে রয়েছে)।

যাই হোক না কেন, পিএল গবেষণা সম্প্রদায় সুরক্ষায় খুব আগ্রহী (আপনি কি নিজের ব্রাউজারকে নির্বিচারে বিদেশী কোড চালানোর জন্য বিশ্বাস করেন?!) এবং তাদের প্রশ্নগুলি অনেক ধ্রুপদী সিএস তত্ত্বের প্রশ্নগুলির দিকে পরিচালিত করে।

— matus
সূত্র

কোনও উপযুক্ত উচ্চ স্তরের ভাষা (পড়ুন: সি ব্যতীত অন্যান্য [++]) প্রোগ্রামারকে মেমরি অ্যাক্সেসের উপরে নিয়ন্ত্রণ দেয় না, তাই আমি এই সমস্যার সমাধানের বিষয়টি বিবেচনা করব।

— রাফেল

@ রাফেল: প্রচুর পরিমাণে সফ্টওয়্যার এখনও সি এবং সি ++ তে লিখিত রয়েছে, এই সমস্যাটিকে সহজেই সমাধান হিসাবে বিবেচনা করা যায় না। তদুপরি, জাভাস্ক্রিপ্টে কোড ইনজেকশন আক্রমণকে মোকাবেলার কৌশলগুলি, উদাহরণস্বরূপ, এখনও তাদের শৈশবকালীন। এখনও অনেক কিছু করা দরকার।

— ডেভ ক্লার্ক

1

নির্দিষ্ট পরিবেশগুলি বিদ্যমান সমাধানগুলিকে উপেক্ষা করে (কখনও কখনও ভাল কারণে) সমস্যাটিকে (এখানে: নিষিদ্ধ মেমরির ঠিকানাগুলি অ্যাক্সেস করা) কম সমাধান করে না এই বিষয়টি সত্য। কিছু জিনিস যাচাই করা শক্ত তা উপযুক্ত আক্রমণকারীরা সহজেই ছত্রভঙ্গ করতে পারে। উদাহরণস্বরূপ, আপনি আপনার প্রোগ্রামার (সিএফ ইসাবেল / এইচএল) থেকে সমাপ্তির আনুষ্ঠানিক প্রমাণ চাইবেন।

— রাফেল