Польські дослідники працюють над методами зменшення спільного використання акаунтів
Протягом тривалого часу Netflix, один з найдорожчих потокових сервісів, "переслідував" людей, які ділилися своїми акаунтами (фактично, вони, ймовірно, надавали доступ за "невелику плату"). Хоча ці дії не є порушенням закону, вони призводять до величезних фінансових втрат для компаній, які надають доступ до цього контенту, а, як ми всі знаємо, вартість ведення бізнесу не є низькою. За підрахунками Citygroup, Netflix може втратити до 6 мільярдів доларів на рік через користувачів, які надають доступ до контенту іншим особам.
Хоча вирішення цієї проблеми дозволить розважальному гіганту максимізувати свої прибутки (і він досяг значного прогресу в цьому напрямку за останні місяці), для багатьох менших друкованих видавництв або стартапів такі дії користувачів можуть підірвати життєздатність їхнього бізнесу. Рішенням може стати персоналізована криптографія – концепція, розроблена польськими дослідниками.
Команда дослідників, пов'язаних з IDEAS NCBR, пройшла відбір на міжнародну конференцію Crypto 2023 завдяки науковій роботі, що описує запатентований метод "індивідуальної криптографії". Цей метод покликаний допомогти постачальникам цифрового контенту та інструментів, які регулярно програють через важко виявлену практику нерегульованого обміну паролями між користувачами з різних домогосподарств.
Концепція індивідуальної криптографії була описана в науковій статті "Індивідуальна криптографія" професором Стефаном Дзембовським і Томашем Лізуреєм (обидва працюють в UW та IDEAS NCBR) та професором Себастьяном Фаустом (Технічний університет Дармштадта). Робота увійшла до шорт-листа цьогорічної Міжнародної конференції з криптографії Crypto 2023 у Санта-Барбарі, США, яка відбудеться з 19 по 24 серпня. Там польські дослідники розкажуть про те, як за допомогою методів індивідуальної криптографії нейтралізувати атаки типу MPC і TEE, які дозволяють імітувати криптографічні протоколи без фізичного доступу до секретної інформації, яка повинна ідентифікувати цих користувачів.
Атаки з використанням техніки
Багатосторонні обчислення (MPC) або довірене середовище виконання (TEE) покладаються на той факт, що деякі користувачі, розпорошуючи свої знання про секрет, можуть відповісти на контрольні запитання про секрет, не знаючи його насправді", пояснює Томаш Лізурей, аспірант IDEAS NCBR. Прикладом може слугувати використання технології SGX від Intel для продажу своєї ідентичності (identity lease) в Інтернеті, запропонованої у 2019 році групою дослідників з Швейцарської вищої технічної школи Цюріха (ETH Zurich). Це технологія, яка дозволяє використовувати чужий акаунт на певному сервісі, навіть не знаючи пароля та логіна. Якщо постачальник послуг може захистити себе від атак такого типу, він може розраховувати на те, що правильний користувач зазнає фінансових втрат, якщо секретна інформація буде передана несанкціонованому користувачеві.
Криптографічні протоколи – це спеціальні інструкції, за допомогою яких користувачі можуть спілкуватися один з одним і отримувати доступ до певних даних у безпечний спосіб. Високий рівень безпеки досягається тоді, коли доступ до секретної інформації, що використовується в цих протоколах, мають лише уповноважені особи, і коли протоколи вимагають, щоб ці особи мали реальний доступ до цієї інформації. На жаль, якщо користувач, який володіє секретною інформацією, наприклад, паролем доступу, передає її кільком неавторизованим користувачам, протокол перестає бути ефективним заходом безпеки. "Щоб змусити учасників протоколу мати повне уявлення про секретну інформацію, яка використовується в криптографічних протоколах, ми запровадили нову парадигму індивідуальної криптографії і спробували формально змоделювати функції, які важко обійти за допомогою методів MPC і TEE. Після застосування нашого методу криптографічні протоколи змушують учасників обробляти свою інформацію індивідуально і не можуть покладатися на інформацію, якою вони поділилися з іншими користувачами", – говорить Томаш Лізурей.
Наразі використання рішень, представлених у статті, вимагатиме від пересічного користувача використання спеціалізованого інструменту на кшталт Bitcoin Miner, тому це буде відносно складно. Очікується, що подальша робота над індивідуальною криптографією призведе до створення простих протоколів, які можна буде використовувати масово, наприклад, користувачами платформ з передплаченим доступом.
Рекомендуємо прочитати: 5 переваг установки кавомашини на робочому місці
