Czy nietypowe akcesorium może być jeszcze bardziej wyjątkowe? Czy elektroniczna kostka do gry może zwiększyć poziom bezpieczeństwa danych w naszych smartwonach? Okazuje się, że tak, jeśli tylko wykorzystamy ją w odpowiedni sposób
Niedawno na łamach Komórkomanii można było przeczytać informację o nowym produkcie, oferowanym przez polską firmę Game Technologies, DICE+. Jest to nafaszerowana elektroniką, dość sporych rozmiarów kostka do gry, która może służyć jako kontroler do gier na smartfony i tablety. Jednak przede wszystkim, jak każda tradycyjna sześcienna kostka do gry, umożliwia wykonanie nią rzutu i wylosowania numeru z przedziału 1-6. Na wszystkich portalach technologicznych na których dane mi było przeczytać na ten temat informację (a pojawiała się dość często, jako osiągnięcie polskiej myśli technologicznej docenione w szerokim świecie) przewijały się komentarze, wg których DICE+ wykorzystać będzie można jedynie do specyficznych zastosowań. To fakt, obecnie użytkownicy cyfrowej kostki mają do dyspozycji jedynie kilka tytułów, w których mogą sprawdzić jej potencjał. Ja, gdy tylko przeczytałem o tym specyficznym urządzeniu od razu pomyślałem, że można ją wykorzystać do zapewnienia użytkownikom smartfonów i tabletów bezpieczeństwa na bardzo wysokim poziomie.
W jednym z komentarzy do przywołanego tekstu na Komórkomanii przeczytałem, że w grach już dawno mamy komputerowe losowanie. Jest to tylko częściowo prawda, gdyż komputery (a tym samym smartfony i tablety) są z natury deterministyczne i dlatego mogą oferować jedynie pewien poziom pseudolosowości. Oznacza to, że wartości generowane przez komputery obliczane są w sposób deterministyczne na podstawie algorytmu generatora liczb pseudolosowych z tzw. „ziarna”. Znając ziarno i generator można więc przewidzieć wynik z prawdopodobieństwem równym 1, a co za tym idzie wynik ten pozbawiony jest cechy losowości. Problemu tego nie ma w przypadku sprzętowego generatora liczb losowych, jakim może być kostka DICE+ (o ile oczywiście jest symetryczna i równomiernie wyważona). W jaki sposób możemy skonsumować tę niewątpliwą zaletę produktu polskiej firmy? Do generowania bezpiecznych haseł głównych (tzw. master passwords)!
W dziedzinie bezpieczeństwa znana jest metoda Diceware, służąca do generowania bezpiecznych haseł (dokładniej, haseł o dużej entropii, tj. takich, których odgadnięcie przy pomocy ataku brute-force trwa niesamowicie długo i dlatego jest nieskuteczne). W metodzie tej używamy kostki do gry, przy pomocy której losujemy 5 liczb (np. 3, 1, 5, 4, 4), następnie tworzymy z nich pięciocyfrową liczbę (31544) i wyszukujemy w słowniku języka polskiego (lub jeśli ktoś woli – angielskiego czy innego) słowo o tym numerze (nie obejdzie się bez specjalnego słownika z ponumerowanymi słowami). Pojedyncze słowo oczywiście bardzo łatwo byłoby odgadnąć, ale szacuje się, że już przy haśle powstałym z pięciu w ten sposób wylosowanych, połączonych słów entropia jest już na tyle wysoka, że hasło można uznać za bezpieczne.
Hasło wygenerowane za pomocą metody Diceware spełnia też inne warunki bezpieczeństwa: jest wystarczająco długie, całkowicie losowe, nie wiąże się w żaden sposób z jego użytkownikiem (nie jest to np. ulubiony cytat czy połączone imiona członków rodziny). Oczywiście, wpisywanie każdorazowo takiego hasła może być trochę kłopotliwe, ale możemy użyć go jako tzw. master password do zabezpieczenia innych naszych haseł. Przewagą hasła z metody Diceware nad hasłami, które do tej pory uznawane były za bezpieczne (tj. takie, które składają się z małych i wielkich liter, znaków specjalnych i cyfr) jest to, że bardzo łatwo je zapamiętać i trudno sie pomylić przy ich wprowadzaniu. Obrazowo przedstawione jest w poniższym komiksie.
Jedynym brakującym elementem układanki jest aplikacja, która wykorzystując DICE+ załatwiłaby cały mechanizm wyszukiwania słów za nas, a my po kilkunastu rzutach elektroniczną kostką zyskalibyśmy zupełnie niezłe, całkowicie losowe hasło. Ja w każdym razie widzę ogromny potencjał w polskim produkcie, wystarczy tylko spojrzeć szerzej na jego możliwości. A może warto by było zaproponować firmie Game Technologies napisanie takiej aplikacji?
