La majoria de la gent no pensa que el xifratge, constitueix una base segura de les activitats on-line, incloent-hi, la banca, les compres i les comunicacions. Però tothom confia en els programes informàtics que generen un nombre aleatori que serveix de clau per desbloquejar la comunicació xifrada. El problema és que els petits errors de programació poden fer que aquests sistemes siguin vulnerables, i aquestes vulnerabilitats sovint poden ser molt difícils de detectar.
Cada vegada que es fa una connexió a Amazon per proporcionar el número de la targeta de crèdit, i sempre que s'inicia una sessió en algun lloc a través d'una connexió segura, aquestes, depenen de les claus criptogràfiques generades de forma aleatòria. Per tant, donat un potencial atacant que intenti llegir els missatges o suplantar-los, podria endevinar aquest nombre aleatori que s'utilitzava en l'ordinador, llavors podria saber quina clau usar i podrà suplantar el trànsit i llegir els missatges.
Aquesta investigació d'Appel s'ha centrat durant molt de temps en la intersecció entre la informàtica i les polítiques públiques. S'ha escrit àmpliament sobre la tecnologia de les màquines electorals i s'ha testificat davant el Congrés sobre mètodes per assegurar el sistema electoral nord-americà. En treballs recents, la recerca s'ha centrat en la verificació formal, un conjunt d'eines que permetin especificar quins programes han de fer-se, per crear programes que s'ajustin a aquestes especificacions, i així, poder verificar que els programes es comporten exactament com s'ha especificat.
En un exemple de comprovació matemàtica de la correcció d'una funció crítica, el grup d'Appel va desenvolupar un mètode per verificar la potencia dels generadors de nombres aleatoris que constitueixen la base de la majoria dels sistemes de xifratge. En un article que va créixer a partir de la tesi doctoral de Katherine Ye'16, l'equip (que també incloïa investigadors de la Universitat de Johns Hopkins i Oracle) van examinar un generador de nombres aleatoris d'ús comú i van realitzar una comprovació verificada de manera que el sistema de fet fos segur. Els mètodes convencionals com ara són les proves exhaustives, no permeten saber si un generador de nombres aleatoris és segur.
Comentant sobre el treball, Eugene Spafford, líder en seguretat de la informació de la Universitat de Purdue, va dir que la recerca és un avanç significatiu. Igu
al que moltes altres investigacions, pot ser que no s'apliqui directament en aquest moment, sinó que està generant un conjunt de resultats que podrien [conduir] a resultats molt importants en el futur.
Cap comentari:
Publica un comentari a l'entrada