क्रिप्टोकरंसीज पर हमले
वर्तमान युग में, न केवल व्यापार बल्कि मानव जीवन के लगभग सभी पहलुओं को जानकारी द्वारा संचालित किया जाता है। इसलिए, उपयोगी जानकारी जैसे कि दुर्भावनापूर्ण गतिविधियों से हमलों की रक्षा करना अनिवार्य हो गया है। आइए हम उन हमलों के प्रकारों पर विचार करें जिनके बारे में जानकारी आम तौर पर होती है।
हमलावरों द्वारा की गई कार्रवाई के आधार पर हमलों को आम तौर पर वर्गीकृत किया जाता है। इस प्रकार, एक हमला हो सकता हैpassive या active।
निष्क्रिय हमलों
एक निष्क्रिय हमले का मुख्य लक्ष्य प्राप्त करना है unauthorized access to the information। उदाहरण के लिए, संचार चैनल पर इंटरसेपिंग और ईव्सड्रॉपिंग जैसी क्रियाओं को निष्क्रिय हमला माना जा सकता है।
ये क्रियाएं प्रकृति में निष्क्रिय हैं, क्योंकि वे न तो सूचना को प्रभावित करती हैं और न ही संचार चैनल को बाधित करती हैं। एक निष्क्रिय हमले को अक्सर चोरी की जानकारी के रूप में देखा जाता है। भौतिक वस्तुओं को चुराने और जानकारी चुराने में एकमात्र अंतर यह है कि डेटा की चोरी अभी भी मालिक को उस डेटा के कब्जे में छोड़ देती है। इस तरह निष्क्रिय जानकारी का हमला माल की चोरी से अधिक खतरनाक है, क्योंकि जानकारी की चोरी मालिक द्वारा किसी का ध्यान नहीं जा सकती है।
सक्रिय हमलों
एक सक्रिय हमले में सूचना पर कुछ प्रक्रिया आयोजित करके किसी तरह से जानकारी को बदलना शामिल है। उदाहरण के लिए,
जानकारी को अनधिकृत तरीके से संशोधित करना।
जानकारी के अनपेक्षित या अनधिकृत प्रसारण की शुरुआत करना।
ऑथेंटिकेशन डेटा में बदलाव जैसे कि ओरिजिलेटर का नाम या जानकारी से जुड़ा टाइमस्टैम्प
डेटा का अनधिकृत विलोपन।
वैध उपयोगकर्ताओं (सेवा से वंचित) के लिए सूचना तक पहुंच से इनकार।
क्रिप्टोग्राफी क्रिप्टोसिस्टम को लागू करने के लिए कई उपकरण और तकनीक प्रदान करता है जो ऊपर वर्णित अधिकांश हमलों को रोकने में सक्षम है।
हमलावर की मान्यताएँ
आइए इन प्रणालियों को तोड़ने के लिए कार्यरत क्रिप्टोकरंसी के आसपास के प्रचलित वातावरण को देखें।
क्रिप्टोकरेंसी के आसपास का माहौल
क्रिप्टोसिस्टम पर संभावित हमलों पर विचार करते समय, क्रिप्टोकरंसी पर्यावरण को जानना आवश्यक है। हमलावर की मान्यताओं और पर्यावरण के बारे में ज्ञान उसकी क्षमताओं को तय करता है।
क्रिप्टोग्राफी में, सुरक्षा पर्यावरण और हमलावर की क्षमताओं के बारे में निम्नलिखित तीन धारणाएं बनाई गई हैं।
एन्क्रिप्शन योजना का विवरण
एक क्रिप्टोकरेंसी का डिज़ाइन निम्नलिखित दो क्रिप्टोग्राफी एल्गोरिदम पर आधारित है -
Public Algorithms - इस विकल्प के साथ, एल्गोरिथ्म के सभी विवरण सार्वजनिक डोमेन में हैं, जो सभी को ज्ञात हैं।
Proprietary algorithms - एल्गोरिथ्म का विवरण केवल सिस्टम डिजाइनरों और उपयोगकर्ताओं द्वारा जाना जाता है।
मालिकाना एल्गोरिदम के मामले में, अस्पष्टता के माध्यम से सुरक्षा सुनिश्चित की जाती है। निजी एल्गोरिदम सबसे मजबूत एल्गोरिदम नहीं हो सकता है क्योंकि वे घर में विकसित किए जाते हैं और कमजोरी के लिए बड़े पैमाने पर जांच नहीं की जा सकती है।
दूसरे, वे केवल बंद समूह के बीच संचार की अनुमति देते हैं। इसलिए वे आधुनिक संचार के लिए उपयुक्त नहीं हैं जहां लोग बड़ी संख्या में ज्ञात या अज्ञात संस्थाओं के साथ संवाद करते हैं। इसके अलावा, केर्खॉफ के सिद्धांत के अनुसार, एल्गोरिथ्म को कुंजी में पड़े एन्क्रिप्शन की ताकत के साथ सार्वजनिक होना पसंद किया जाता है ।
इस प्रकार, सुरक्षा वातावरण के बारे में पहली धारणा यह है कि encryption algorithm is known to the attacker।
सिफरटेक्स्ट की उपलब्धता
हम जानते हैं कि एक बार प्लेनटेक्स्ट को सिफरटेक्स्ट में एन्क्रिप्ट करने के बाद, इसे ट्रांसमिशन के लिए असुरक्षित सार्वजनिक चैनल (ईमेल) कह दिया जाता है। इस प्रकार, हमलावर स्पष्ट रूप से मान सकता है कि उसके पास हैaccess to the ciphertext generated by the cryptosystem।
Plaintext और Ciphertext की उपलब्धता
यह धारणा अन्य की तरह स्पष्ट नहीं है। हालांकि, ऐसी परिस्थितियां हो सकती हैं जहां हमलावर हो सकता हैaccess to plaintext and corresponding ciphertext। ऐसी कुछ संभावित परिस्थितियाँ हैं -
हमलावर अपनी पसंद के प्लेनटेक्स्ट को बदलने के लिए प्रेषक को प्रभावित करता है और सिफरटेक्स्ट प्राप्त करता है।
रिसीवर अनजाने में हमलावर को प्लेनटेक्स्ट को विभाजित कर सकता है। हमलावर के पास खुले चैनल से एकत्रित इसी सिफरटेक्स्ट की पहुंच है।
एक सार्वजनिक-कुंजी क्रिप्टोसिस्टम में, एन्क्रिप्शन कुंजी खुले डोमेन में है और किसी भी संभावित हमलावर के लिए जानी जाती है। इस कुंजी का उपयोग करते हुए, वह संबंधित प्लेनटेक्स्ट और सिफरटेक्स के जोड़े उत्पन्न कर सकता है।
क्रिप्टोग्राफिक हमलों
एक हमलावर का मूल उद्देश्य क्रिप्टोकरंसी को तोड़ना और साइंटेक्स से प्लेनटेक्स्ट का पता लगाना है। प्लेनटेक्स्ट प्राप्त करने के लिए, हमलावर को केवल गुप्त डिक्रिप्शन कुंजी का पता लगाने की आवश्यकता होती है, क्योंकि एल्गोरिथ्म पहले से ही सार्वजनिक डोमेन में है।
इसलिए, वह क्रिप्टोसिस्टम में प्रयुक्त गुप्त कुंजी का पता लगाने की दिशा में अधिकतम प्रयास लागू करता है। एक बार जब हमलावर कुंजी को निर्धारित करने में सक्षम होता है, तो हमला किया गया सिस्टम टूटा हुआ या समझौता माना जाता है ।
उपयोग की गई कार्यप्रणाली के आधार पर, क्रिप्टोकरंसीज पर होने वाले हमलों को निम्नानुसार वर्गीकृत किया गया है -
Ciphertext Only Attacks (COA)- इस विधि में, हमलावर के पास सिफरटेक्स (एस) के सेट तक पहुंच होती है। उसके पास संबंधित समतल जगह तक पहुंच नहीं है। सीओए को तब सफल कहा जाता है जब संबंधित प्लेटेक्स्ट को सिफरटेक्स्ट के दिए गए सेट से निर्धारित किया जा सकता है। कभी-कभी, एन्क्रिप्शन कुंजी को इस हमले से निर्धारित किया जा सकता है। आधुनिक क्रिप्टोकरंसीज को सिफरटेक्स्ट-केवल हमलों के खिलाफ संरक्षित किया जाता है।
Known Plaintext Attack (KPA)- इस विधि में, हमलावर को सिफरटेक्स्ट के कुछ हिस्सों के लिए प्लेटेक्स्ट पता है। इस जानकारी का उपयोग करके शेष सिफरटेक्स्ट को डिक्रिप्ट करना कार्य है। यह कुंजी का निर्धारण या किसी अन्य विधि के माध्यम से किया जा सकता है। इस हमले का सबसे अच्छा उदाहरण ब्लॉक सिफर्स के खिलाफ रैखिक क्रिप्टोनालिसिस है।
Chosen Plaintext Attack (CPA)- इस विधि में, हमलावर के पास अपनी पसंद का पाठ एन्क्रिप्टेड होता है। इसलिए उसके पास अपनी पसंद की सिफरटेक्स्ट-प्लेटेक्स्ट जोड़ी है। यह एन्क्रिप्शन कुंजी निर्धारित करने के उसके कार्य को सरल करता है। इस हमले का एक उदाहरण है अंतर क्रिप्टोनालिसिस जिसे ब्लॉक सिफर्स के साथ-साथ हैश फ़ंक्शन के खिलाफ भी लागू किया गया है। एक लोकप्रिय सार्वजनिक कुंजी क्रिप्टोसिस्टम, आरएसए भी चुना-प्लेनटेक्स्ट हमलों के लिए असुरक्षित है।
Dictionary Attack- इस हमले के कई प्रकार हैं, जिनमें सभी एक 'शब्दकोश' को संकलित करते हैं। इस हमले की सबसे सरल विधि में, हमलावर सिफरटेक्स्ट का एक शब्दकोश बनाता है और इसी तरह के सादे शब्द जो उसने समय के साथ सीखा है। भविष्य में, जब किसी हमलावर को सिफरटेक्स्ट मिलता है, तो वह संबंधित प्लेनटेक्स्ट को खोजने के लिए शब्दकोश को संदर्भित करता है।
Brute Force Attack (BFA)- इस विधि में, हमलावर हर संभव कुंजी का प्रयास करके कुंजी को निर्धारित करने की कोशिश करता है। यदि कुंजी 8 बिट्स लंबी है, तो संभावित कुंजियों की संख्या 2 8 = 256 है। हमलावर सिफरटेक्स्ट और एल्गोरिदम को जानता है, अब वह डिक्रिप्शन के लिए एक-एक करके सभी 256 कुंजी का प्रयास करता है। यदि कुंजी लंबी है तो हमले को पूरा करने का समय बहुत अधिक होगा।
Birthday Attack- यह हमला ब्रूट-फोर्स तकनीक का एक प्रकार है। इसका उपयोग क्रिप्टोग्राफिक हैश फ़ंक्शन के खिलाफ किया जाता है। जब किसी कक्षा के छात्रों से उनके जन्मदिन के बारे में पूछा जाता है, तो उत्तर संभावित 365 तिथियों में से एक होता है। मान लेते हैं कि पहले छात्र की जन्मतिथि 3 आरडी अगस्त है। फिर अगले छात्र जिसकी जन्मतिथि 3 आरडी अगस्त है, को खोजने के लिए हमें 1.25 * ?? 65365 students 25 छात्रों से पूछताछ करनी होगी ।
इसी तरह, यदि हैश फ़ंक्शन 64 बिट हैश मान का उत्पादन करता है, तो संभव हैश मान 1.8x10 19 हैं । विभिन्न इनपुट के लिए फ़ंक्शन का बार-बार मूल्यांकन करके, लगभग 5.1x10 9 यादृच्छिक इनपुट के बाद एक ही आउटपुट प्राप्त होने की उम्मीद है ।
यदि हमलावर दो अलग-अलग इनपुटों को खोजने में सक्षम है जो एक ही हैश मान देते हैं, तो यह एक है collision और उस हैश फ़ंक्शन को टूटा हुआ कहा जाता है।
Man in Middle Attack (MIM) - इस हमले के लक्ष्य ज्यादातर सार्वजनिक कुंजी क्रिप्टोकरंसी हैं जहां संचार होने से पहले प्रमुख एक्सचेंज शामिल होता है।
होस्ट एक की मेजबानी के लिए बातचीत करना चाहता बी , इसलिए की सार्वजनिक कुंजी का अनुरोध करता है बी ।
एक हमलावर इस अनुरोध को स्वीकार करता है और इसके बजाय अपनी सार्वजनिक कुंजी भेजता है।
इस प्रकार, जो कुछ भी मेजबान एक मेजबान के लिए भेजता है बी , हमलावर को पढ़ने में सक्षम है।
संचार बनाए रखने के लिए, हमलावर अपनी सार्वजनिक कुंजी के साथ पढ़ने के बाद डेटा को फिर से एन्क्रिप्ट करता है और बी को भेजता है ।
हमलावर अपनी सार्वजनिक कुंजी को A की सार्वजनिक कुंजी के रूप में भेजता है ताकि B इसे ऐसे ले जाए जैसे वह इसे A से ले रहा है ।
Side Channel Attack (SCA)- इस प्रकार का हमला किसी विशेष प्रकार के क्रिप्टोकरेंसी या एल्गोरिथम के खिलाफ नहीं है। इसके बजाय, यह क्रिप्टोकरेंसी के भौतिक कार्यान्वयन में कमजोरी का फायदा उठाने के लिए लॉन्च किया गया है।
Timing Attacks- वे इस तथ्य का फायदा उठाते हैं कि प्रोसेसर पर गणना करने के लिए अलग-अलग गणना अलग-अलग समय लेती हैं। इस तरह के समय को मापने के द्वारा, एक विशेष कम्प्यूटेशन के बारे में जानना संभव है जो प्रोसेसर ले जा रहा है। उदाहरण के लिए, यदि एन्क्रिप्शन में अधिक समय लगता है, तो यह इंगित करता है कि गुप्त कुंजी लंबी है।
Power Analysis Attacks - ये हमले समय हमलों के समान हैं सिवाय इसके कि बिजली की खपत की मात्रा का उपयोग अंतर्निहित गणनाओं की प्रकृति के बारे में जानकारी प्राप्त करने के लिए किया जाता है।
Fault analysis Attacks - इन हमलों में, त्रुटियों को क्रिप्टोकरेंसी में प्रेरित किया जाता है और हमलावर उपयोगी जानकारी के लिए परिणामी आउटपुट का अध्ययन करता है।
हमलों की व्यावहारिकता
यहां वर्णित क्रिप्टोकरंसी पर हमले अत्यधिक अकादमिक हैं, क्योंकि उनमें से अधिकांश अकादमिक समुदाय से आते हैं। वास्तव में, कई शैक्षणिक हमलों में पर्यावरण के साथ-साथ हमलावर की क्षमताओं के बारे में काफी अवास्तविक धारणाएं शामिल हैं। उदाहरण के लिए, चुने हुए सिफरटेक्स्ट हमले में, हमलावर को जानबूझकर चुने गए प्लेनटेक्स्ट-सिफरटेक्स्ट जोड़े की एक अव्यवहारिक संख्या की आवश्यकता होती है। यह पूरी तरह से व्यावहारिक नहीं हो सकता है।
बहरहाल, यह तथ्य कि कोई भी हमला मौजूद है, चिंता का कारण होना चाहिए, खासकर अगर हमले की तकनीक में सुधार की क्षमता है।