すでにファイルを復号化している場合、ランサムウェアキーを見つけることができますか?
免責事項:私はランサムウェア/暗号化の経験がほとんどないので、何か愚かなことを聞いたら申し訳ありません。
ランサムウェアへの攻撃は、特に今年はニュースで広まっています。そして、これは私に現実世界の非常に典型的な状況を不思議に思いました:
- ユーザーXのPCには多くのファイルがあります
- 彼は時々それらをバックアップします(彼はそれが良い考えだと聞いた)が、彼は怠惰で、それを非常にまれにしかしません
- 彼はランサムウェアに感染し、10,000の重要なファイルすべてが暗号化されています(10,000はここでの例にすぎません)
- しかし、良いニュースは、彼は外付けハードドライブに自分のファイルの1,000をバックアップしたことです
だからここに他の9,000ファイルを回復するためのアイデアがあります:(彼の感染したコンピューターからの)1,000の暗号化ファイルを(バックアップからの)同じ1,000の元のファイルと比較し、その方法で暗号化キーを推測しようとするソフトウェアがある場合はどうでしょうか?
1,000ファイルは、パターン検索に数百万の比較ポイントとスペースを許可するのに十分なデータを提供するはずです。これにより、通常のブルートフォースアプローチよりもはるかに高速/効率的になります(たとえば、通常の1万年ではなく6時間の計算時間) )。
暗号化キー(1,000から1,000の比較)が見つかったら、それを使用して他の9,000ファイルを復号化でき、身代金を支払う必要はありません。
だから私の質問は:
- このようなことは実現可能/可能ですか?それはうまくいくでしょうか?私が見た/聞いたもの(私は自分でランサムウェアに感染したことはありません)から、通常受け取るランサムメッセージは、使用された暗号化方法、キーの大きさなどを通知します。
- これは特定の暗号化アルゴリズムでのみ機能し、他のアルゴリズムでは機能しないものですか?
推測するとしたら、答えは[〜#〜] no [〜#〜]であると2つの理由で言えます。
- 可能であれば、私よりもはるかに賢い人がそれについて考え、すでにやったことでしょう
- そのようなパターンを見つけて比較を行うことは、暗号化システムの弱点に気づいていることを意味し、これは脆弱な暗号化システムを意味します。つまり、そもそもそのような攻撃には使用されません。
このすべてについてあなたの考えは何ですか? (上部の免責事項を覚えておいてください)
ええ、あなたはあなた自身の質問にかなりよく答えましたが、ここにもう少し文脈があります。
wikipedia から、あなたが思いついたものには名前があることがわかります。
known-plaintext attack(KPA)は、攻撃者が平文(ベビーベッドと呼ばれる)とその両方にアクセスできる暗号解読の攻撃モデルです。暗号化されたバージョン(暗号文)。これらを使用して、秘密鍵やコードブックなどの秘密情報をさらに明らかにすることができます。
これは、現代のすべての暗号が耐性を持つ必要がある基本的なセキュリティプロパティです。既知の平文攻撃に対して安全でない場合、確かに深刻な脆弱性として数えられ、暗号はおそらく「破壊された」と見なされます。通常、ファイルごとに一意の 初期化ベクトル(IV) を使用してブロック暗号を連鎖させることで、異なる平文と暗号文のペア間の相関関係を見つける試みを妨げます。