Польские исследователи работают над методами уменьшения совместного использования аккаунтов
В течение длительного времени Netflix, один из самых дорогих потоковых сервисов, "преследовал" людей, которые делились своими аккаунтами (фактически, они, вероятно, предоставляли доступ за "небольшую плату"). Хотя эти действия не являются нарушением закона, они приводят к огромным финансовым потерям для компаний, которые предоставляют доступ к этому контенту, а, как мы все знаем, стоимость ведения бизнеса не является низкой. По подсчетам Citygroup, Netflix может потерять до 6 миллиардов долларов в год из-за пользователей, которые предоставляют доступ к контенту другим лицам.
Хотя решение этой проблемы позволит развлекательному гиганту максимизировать свои прибыли (и он достиг значительного прогресса в этом направлении за последние месяцы), для многих меньших печатных издательств или стартапов такие действия пользователей могут подорвать жизнеспособность их бизнеса. Решением может стать персонализированная криптография – концепция, разработанная польскими исследователями.
Команда исследователей, связанных с IDEAS NCBR, прошла отбор на международную конференцию Crypto 2023 благодаря научной работе, описывающей запатентованный метод "индивидуальной криптографии". Этот метод призван помочь поставщикам цифрового контента и инструментов, которые регулярно проигрывают из-за трудно обнаруживаемой практики нерегулируемого обмена паролями между пользователями из разных домохозяйств.
Концепция индивидуальной криптографии была описана в научной статье "Индивидуальная криптография" профессором Стефаном Дзембовским и Томашем Лизуреем (оба работают в UW и IDEAS NCBR) и профессором Себастьяном Фаустом (Технический университет Дармштадта). Работа вошла в шорт-лист нынешней Международной конференции по криптографии Crypto 2023 в Санта-Барбаре, США, которая состоится с 19 по 24 августа. Там польские исследователи расскажут о том, как с помощью методов индивидуальной криптографии нейтрализовать атаки типа MPC и TEE, которые позволяют имитировать криптографические протоколы без физического доступа к секретной информации, которая должна идентифицировать этих пользователей.
Атаки с использованием техники
Многосторонние вычисления (MPC) или доверенная среда выполнения (TEE) полагаются на тот факт, что некоторые пользователи, распыляя свои знания о секрете, могут ответить на контрольные вопросы о секрете, не зная его на самом деле", объясняет Томаш Лизурей, аспирант IDEAS NCBR. Примером может служить использование технологии SGX от Intel для продажи своей идентичности (identity lease) в Интернете, предложенной в 2019 году группой исследователей из Швейцарской высшей технической школы Цюриха (ETH Zurich). Это технология, которая позволяет использовать чужой аккаунт на определенном сервисе, даже не зная пароля и логина. Если поставщик услуг может защитить себя от атак такого типа, он может рассчитывать на то, что правильный пользователь понесет финансовые потери, если секретная информация будет передана несанкционированному пользователю.
Криптографические протоколы – это специальные инструкции, с помощью которых пользователи могут общаться друг с другом и получать доступ к определенным данным безопасным образом. Высокий уровень безопасности достигается тогда, когда доступ к секретной информации, используемой в этих протоколах, имеют только уполномоченные лица, и когда протоколы требуют, чтобы эти лица имели реальный доступ к этой информации. К сожалению, если пользователь, владеющий секретной информацией, например, паролем доступа, передает ее нескольким неавторизованным пользователям, протокол перестает быть эффективной мерой безопасности. "Чтобы заставить участников протокола иметь полное представление о секретной информации, используемой в криптографических протоколах, мы ввели новую парадигму индивидуальной криптографии и попытались формально смоделировать функции, которые трудно обойти с помощью методов MPC и TEE. После применения нашего метода криптографические протоколы заставляют участников обрабатывать свою информацию индивидуально и не могут полагаться на информацию, которой они поделились с другими пользователями", – говорит Томаш Лизурей.
Сейчас использование решений, представленных в статье, потребует от рядового пользователя использования специализированного инструмента вроде Bitcoin Miner, поэтому это будет относительно сложно. Ожидается, что дальнейшая работа над индивидуальной криптографией приведет к созданию простых протоколов, которые можно будет использовать массово, например, пользователями платформ с подписным доступом.
Рекомендуем к прочтению: 5 преимуществ установки кофемашины на рабочем месте
