Saltar al contenido

Las soluciones de los científicos informáticos de UC San Diego a los problemas de seguridad resisten la prueba

23 de diciembre de 2022

Los detectives de seguridad de UC San Diego que han ganado cinco premios Test of Time este año.

Cinco premios Test of Time de organizaciones líderes en ciencias de la computación han sido otorgados este año a los investigadores de UC San Diego y sus equipos por dejar un impacto duradero en la seguridad y la criptografía.

“UC San Diego tiene enormes fortalezas en seguridad cibernética, ya que los miembros de nuestro grupo de Seguridad y Criptografía han obtenido cinco premios prestigiosos este año, y ocho en los últimos cuatro años”, dijo el presidente del departamento de CSE, Sorin Lerner. “El entorno de colaboración aquí fomenta la investigación de vanguardia en este importante campo. Estoy emocionado de ver qué se les ocurrirá a nuestros investigadores a continuación”.

Los trabajos, equipos e impacto son los siguientes, en orden de fecha de adjudicación:

1. El profesor Daniele Micciancio ganó el premio Test of Time de 2022 en el 63.er Simposio IEEE sobre Fundamentos de la informática por su artículo de 2002, “Mochilas compactas generalizadas, celosías cíclicas y funciones unidireccionales eficientes a partir de suposiciones de complejidad en el peor de los casos.”

El artículo de Micciancio transformó el campo de la criptografía basada en celosías, un área importante de la criptografía poscuántica diseñada para proteger las computadoras clásicas contra los ataques de las computadoras cuánticas. El artículo de Micciancio fue clave para demostrar que la criptografía basada en celosías tiene un impacto teórico y práctico inmenso. Demostró que la criptografía basada en redes puede ser tanto eficiente como segura bajo los supuestos de complejidad del peor de los casos, una hazaña nunca alcanzada por la criptografía basada en la teoría de números.

Con notable previsión, el artículo primero presentó audazmente una conjetura sobre la dureza en el peor de los casos de las redes «estructuradas algebraicamente», luego probó rigurosamente que tal dureza da lugar a una dureza del caso promedio estructurada de manera similar, y finalmente argumentó de manera convincente que esta estructura admite rápido Implementación en microprocesadores modernos. Las técnicas presentadas en este documento han evolucionado y crecido hasta convertirse en un inmenso cuerpo de trabajo, dando forma a muchos resultados futuros en el área.

Recomendado:  Los funcionarios de salud brasileños tienen grandes brechas de datos en medio del aumento de COVID y la gripe

2. El profesor asociado Deian Stefan y sus colaboradores recibieron el premio Test of Time en la Conferencia Internacional de Programación Funcional de la ACM de 2022 por su artículo de 2012, «Abordaje de terminación encubierta y canales de temporización en sistemas de flujo de información concurrentes.Este documento desarrolla un marco, LIO, que hace posible que los desarrolladores creen aplicaciones seguras que preservan la confidencialidad de los datos del usuario, incluso en presencia de código malicioso que puede explotar canales encubiertos y secundarios.

En seguridad informática, los atacantes pueden explotar diferentes abstracciones, desde funciones de lenguaje de programación hasta cachés de hardware, para filtrar información confidencial de forma encubierta. Por ejemplo, si un programa finaliza basándose en datos secretos, un atacante puede saber si ese secreto es verdadero (el programa finalizó) o falso (el programa no finalizó). El artículo de Stefan es “uno de los primeros en describir los canales encubiertos causados ​​por la terminación y el tiempo”, según el comité del premio. El sistema LIO que construyeron los investigadores para eliminar estos canales encubiertos abrió el camino hacia nuevas direcciones para la seguridad del flujo de información y nuevas formas de construir sistemas seguros.

3. La profesora asociada Nadia Heninger fue reconocida por su trabajo «Extracción de sus Ps y Qs: detección de claves débiles generalizadas en dispositivos de red.” Este documento de 2012 encontró que los algoritmos de generación de números aleatorios, que se utilizan para generar claves secretas criptográficas, tenían fallas y habían llevado al uso generalizado de claves comprometidas en la naturaleza.

Recomendado:  El procesamiento del lenguaje natural se combina con la curación de big data

Heninger y sus coautores pudieron calcular las claves secretas de la mitad de todos los servidores de seguridad de la capa de transporte que pudieron observar en Internet utilizando un algoritmo eficiente que explotó los factores primos comunes compartidos en sus claves públicas RSA. RSA es un criptosistema de clave pública que se usa ampliamente para asegurar la transmisión de datos. También pudieron calcular las claves secretas para el uno por ciento de los servidores SSH visibles que utilizaron poca aleatoriedad para generar claves y firmas digitales. El protocolo Secure Shell (SSH) permite que las computadoras remotas realicen conexiones encriptadas a los servidores.

Es importante destacar que este documento también ilustró que la medición de red activa podría usarse para encontrar vulnerabilidades criptográficas previamente desconocidas en la naturaleza. Esto resultó en un parche inmediato al kernel de Linux para arreglar la colección de entropía en el sistema de generación de números aleatorios, y a lo largo de los años ha contribuido a repensar todo el diseño del generador de números aleatorios.

4. Hace once años, los profesores de CSE Stefan Savage y Geoff Voelker, junto con sus colegas, publicaron un análisis exhaustivo del spam cadena de valor criminal titulada, “Haga clic en Trayectorias: de extremo a extremo Análisis de la Cadena de Valor del Spam.” Su impacto, una cuantificación holística del conjunto completo de recursos empleados para monetizar el correo electrónico no deseado, también se celebró con un premio Test of Time, presentado en el 2022 IEEE Security and Conferencia de privacidad.

El documento describió las formas en que se puede monetizar el spam, incluidos el nombramiento, el alojamiento, el pago y el cumplimiento. El equipo de Savage y Voelker utilizó estos datos para caracterizar las perspectivas relativas de las intervenciones defensivas en cada eslabón de la cadena de valor del spam. En particular, proporcionaron la primera evidencia sólida de cuellos de botella de pago en la cadena de valor del spam, y concluyeron que el 95 por ciento de los productos farmacéuticos, de réplica y de software anunciados con spam se monetizan utilizando los servicios comerciales de solo un puñado de bancos. Este cuello de botella fue luego utilizado con éxito por titulares de marcas importantes para interrumpir los sitios falsificados anunciados con spam.

Recomendado:  Cuando la ciencia de los datos se une al SEO técnico

5. El profesor Mihir Bellare, nuevamente, recibió el premio Test of Time de la Asociación Internacional de Investigación Criptológica por segundo año consecutivo, esta vez por su artículo de 2007 «Cifrado determinista y de búsqueda eficiente.» Bellare y sus coautores hicieron posible realizar búsquedas en datos cifrados sin comprometer la seguridad, y también hicieron posible mantener la seguridad frente a los compromisos de los procesos de generación de números aleatorios.

Sugirieron métodos de encriptación de bases de datos que permiten una búsqueda rápida (es decir, tiempo sublineal) y al mismo tiempo brindan la mayor privacidad posible. Su enfoque finalmente condujo a RSA-DOAEP, el primer ejemplo de un cifrado de clave pública. También propusieron esquemas de encriptación de búsqueda eficiente, que permiten una privacidad más flexible para las compensaciones de tiempo de búsqueda a través de una técnica llamada segmentación.