HackerBox 0027: Cypherpunk: 16 sammu

2024 Autor: John Day | [email protected]. Viimati modifitseeritud: 2024-01-30 08:49

Cypherpunk - Sel kuul uurivad HackerBoxi häkkerid privaatsust ja krüptograafiat. See juhend sisaldab teavet HackerBox #0027 -ga töötamiseks, mille saate siit hankida, kuni tarneid jätkub. Samuti, kui soovite saada sellist hackerboksi iga kuu otse oma postkasti, tellige see aadressil HackerBoxes.com ja liituge revolutsiooniga!

HackerBox 0027 teemad ja õpieesmärgid:

• Mõista privaatsuse olulisi sotsiaalseid tagajärgi
• Turvalised kaamerad isiklikel elektroonikaseadmetel
• Uurige krüptograafia ajalugu ja matemaatikat
• Kontekstualiseeri tavaline krüptograafiatarkvara
• Seadistage STM32 ARM protsessori "Black Pill" plaat
• Programmeerige STM32 must pill Arduino IDE abil
• Integreerige klaviatuur ja TFT -ekraan musta pilliga
• Teise maailmasõja Enigma masina funktsionaalsuse kordamine
• Mõistke mitmefaktorilist autentimist
• Seiske silmitsi jootmisprobleemiga, et luua U2F Zero USB Token

HackerBoxes on igakuine tellimuste kasti teenus DIY elektroonika ja arvutitehnoloogia jaoks. Oleme harrastajad, tegijad ja eksperimenteerijad. Me oleme unistuste unistajad. HACK PLANET!

1. toiming: häkkerkast 0027: karbi sisu

• HackerBoxes #0027 kogutav viitekaart
• Must pill STM32F103C8T6 moodul
• USB programmeerija STLink V2
• 2,4 -tolline täisvärviline TFT -ekraan - 240x320 pikslit
• 4x4 maatriksi klaviatuur
• 830 Point Solderless Leivalaud
• 140 -osaline traadi hüppaja komplekt
• Kaks U2F nulljootmise väljakutse komplekti
• Suur 9x15 cm roheline prototeeriv trükkplaat
• Eksklusiivsed Vinyl GawkStop spiooniblokeerijad
• Eksklusiivne alumiiniumist pöörlev veebikaamera kate
• Eksklusiivne EFF -plaaster
• Privaatsuse mägra kleebis
• Tor -kleebis

Mõned muud asjad, mis aitavad:

• Jootekolb, joodis ja põhilised jootetööriistad
• Luup ja väikesed pintsetid SMT jootmiseks
• Arvuti tarkvara tööriistade käitamiseks

Kõige tähtsam on see, et vajate seiklustunnet, isetegemise vaimu ja häkkerite uudishimu. Hardcore DIY elektroonika pole tühine tegevus ja me ei tee seda teie jaoks. Eesmärk on progress, mitte täiuslikkus. Kui te jätkate ja naudite seiklust, võib uue tehnoloogia õppimisest ja loodetavasti mõne projekti toimimisest saada suurt rahulolu. Soovitame teha iga sammu aeglaselt, pidades silmas üksikasju ja ärge kartke abi küsida.

Pange tähele, et HackerBoxi KKK -s on praeguste ja tulevaste liikmete jaoks palju teavet.

2. samm: Cypherpunks

Cypherpunk [wikipedia] on aktivist, kes pooldab tugeva krüptograafia ja privaatsust parandavate tehnoloogiate laialdast kasutamist sotsiaalsete ja poliitiliste muutuste teekonnana. Algselt suhtlesid Cypherpunksi elektroonilise meililisti kaudu mitteametlikud rühmitused, mille eesmärk oli saavutada krüptograafia ennetava kasutamise kaudu privaatsus ja turvalisus. Cypherpunks on aktiivse liikumisega tegelenud alates 1980. aastate lõpust.

1992. aasta lõpus asutasid Eric Hughes, Timothy C. May ja John Gilmore väikese grupi, mis kohtus kord kuus Gilmore'i ettevõttes Cygnus Solutions San Francisco lahe piirkonnas ja keda kutsuti ühel esimesel koosolekul humoorikalt Jude Milhoni cypherpunks - tuletatud šifr ja küberpunk. 2006. aasta novembris lisati Oxfordi inglise sõnaraamatusse sõna "cypherpunk".

Põhiideed leiate A Cypherpunk'i manifestist (Eric Hughes, 1993): "Privaatsus on elektroonikaajastul avatud ühiskonna jaoks vajalik.… Me ei saa eeldada, et valitsused, ettevõtted või muud suured, näota organisatsioonid annavad meile privaatsust … peame kaitsma oma privaatsust, kui me seda eeldame.… Cypherpunks kirjutab koodi. Me teame, et keegi peab privaatsuse kaitsmiseks tarkvara kirjutama ja… me hakkame seda kirjutama. " Mõned tähelepanuväärsed cypherpunks on või olid kõrgemate tehnoloogiaettevõtete, ülikoolide jt kõrgemad töötajad ja teised on tuntud teadusorganisatsioonid.

3. samm: elektroonilise piiri sihtasutus (EFF)

EFF [wikipedia] on rahvusvaheline mittetulunduslik digitaalsete õiguste rühm, mis asub Californias San Franciscos. Sihtasutuse asutasid juulis 1990 John Gilmore, John Perry Barlow ja Mitch Kapor Interneti kodanikuvabaduste edendamiseks.

Euroopa Kalandusfond eraldab vahendeid kohtus õiguskaitseks, esitleb amicus curiae lühikokkuvõtteid, kaitseb üksikisikuid ja uusi tehnoloogiaid nende arvates kuritahtlike juriidiliste ohtude eest, püüab paljastada valitsuse väärtegusid, annab juhiseid valitsusele ja kohtutele, korraldab poliitilist tegevust ja masspostitusi, toetab mõned uued tehnoloogiad, mis tema arvates kaitsevad isikuvabadusi ja veebipõhiseid kodanikuvabadusi, haldavad andmebaasi ja seotud uudiste ja teabe veebisaite, jälgivad ja vaidlustavad võimalikke õigusakte, mis tema arvates rikuksid isikuvabadusi ja õiglast kasutamist, ning küsivad nimekirja kaalub kuritahtlikke patente, mille eesmärk on võita need, mida ta põhjendamatult peab. EFF pakub ka näpunäiteid, tööriistu, juhendeid, õpetusi ja tarkvara turvalisemaks veebisuhtluseks.

HackerBoxes on uhke, et on Electronic Frontier Foundationi peamine annetaja. Soovitame tungivalt kõigil ja kõigil siin klõpsata ja näidata oma toetust sellele üliolulisele mittetulundusühingule, mis kaitseb digitaalset privaatsust ja sõnavabadust. EFFi avaliku huvi õiguslik töö, aktivism ja tarkvaraarendus püüavad säilitada meie põhiõigusi digitaalses maailmas. EFF on USA 501 (c) (3) mittetulundusühing ja teie annetused võivad olla maksust mahaarvatavad.

4. samm: tähelepanuväärsed EKFi projektid

Privaatsusmäger on brauseri lisandmoodul, mis takistab reklaamijatel ja muudel kolmanda osapoole jälgijatel salaja jälgimast, kuhu lähete ja milliseid lehti veebis vaatate. Kui tundub, et reklaamija jälgib teid ilma teie loata mitmel veebisaidil, blokeerib Privacy Badger selle reklaamija automaatselt teie brauserisse sisu laadimise. Reklaamijale tundub, et olete äkki kadunud.

Võrguneutraalsus on idee, et Interneti -teenuse pakkujad peaksid kohtlema kõiki andmeid, mis liiguvad nende võrkudes, õiglaselt, ilma et see sobimatult diskrimineeriks teatud rakendusi, saite või teenuseid. See on põhimõte, mida tuleb järgida, et kaitsta meie avatud Interneti tulevikku.

Turvahariduse kaaslane on uus ressurss inimestele, kes soovivad aidata oma kogukondadel õppida digitaalse turvalisuse kohta. Vajadus tugeva isikliku digitaalse turvalisuse järele kasvab iga päevaga. Alates rohujuuretasandi rühmadest kuni kodanikuühiskonna organisatsioonide ja üksikute Euroopa Kalandusfondi liikmete poole on inimesed kogu meie kogukonnast väljendanud vajadust juurdepääsetavate turvaharidusmaterjalide järele, mida jagada oma sõprade, naabrite ja kolleegidega.

Sibulate ruuter (Tor) võimaldab kasutajatel anonüümselt Internetis surfata, vestelda ja kiirsõnumeid saata. Tor on tasuta tarkvara ja avatud võrk, mis aitab kaitsta liikluse analüüsi eest, võrguseire vorm, mis ohustab isikuvabadust ja privaatsust, konfidentsiaalset äritegevust ja suhteid ning riigi turvalisust.

Samm: turvake oma kaamerad

Ajakirja WIRED andmetel võivad "luurevahendid, olenemata sellest, kas need on välja töötanud luureagentuurid, küberkurjategijad või Interneti -judinad, võivad teie kaamera sisse lülitada ilma märgutuld valgustamata." [ÜHENDATUD]

FBI direktorina töötades pidas James Comey kõne krüpteerimisest ja privaatsusest. Ta kommenteeris, et paneb oma sülearvuti veebikaamera objektiivi kohale lindi. [NPR]

Mark Zuckerberg tegi uudiseid, kui avalikkus märkas, et ta järgib sama tava. [TIME]

HackerBox #0027 sisaldab kollektsiooni kohandatud vinüülist GAWK STOP spiooniblokeerijaid ja alumiiniumist magnetiga pööratavat veebikaamera katet.

6. samm: krüptograafia

Krüptograafia [wikipedia] on turvalise suhtluse tehnikate harjutamine ja uurimine kolmandate osapoolte, keda nimetatakse vastasteks, juuresolekul. Krüptograafia enne tänapäeva oli tegelikult krüpteerimise sünonüüm - teabe muundamine loetavast olekust näiliseks jamaks. Krüpteeritud sõnumi algataja jagas algse teabe taastamiseks vajalikku dekodeerimistehnikat ainult ettenähtud adressaatidega, välistades sellega soovimatutel isikutel sama teha. Krüptograafia kirjandus kasutab saatja jaoks sageli nime Alice ("A"), soovitud saajaks Bob ("B") ja vastase jaoks Eve ("pealtkuulaja"). Alates rootori šifreerimismasinate väljatöötamisest I maailmasõjas ja arvutite tulekust II maailmasõjas on krüptoloogia läbiviimiseks kasutatud meetodid muutunud üha keerukamaks ja selle rakendamine üha laiemaks. Kaasaegne krüptograafia põhineb suuresti matemaatilisel teoorial. Krüptograafilised algoritmid on välja töötatud arvutusliku kõvaduse eelduste alusel, mistõttu on neid algoritme vastase raske murda.

Krüptograafia kohta lisateabe saamiseks on palju veebipõhiseid ressursse. Siin on mõned lähtepunktid:

Khan Academy'i teekond krüptograafiasse on suurepärane videote, artiklite ja tegevuste sari.

Stanfordi ülikoolil on tasuta veebipõhine krüptograafiakursus.

Bruce Schneier on postitanud lingi oma klassikalise raamatu Applied Cryptography veebikoopiale. Tekst annab põhjaliku ülevaate kaasaegsest krüptograafiast. See kirjeldab kümneid krüptoalgoritme ja annab praktilisi nõuandeid nende rakendamiseks.

Samm: tavaline krüptograafiatarkvara

Praktilisest aspektist peaksime teadma mõnda krüptograafia konkreetset rakendust:

Päris hea privaatsus (PGP) on krüptimisprogramm, mis pakub krüptograafilist privaatsust ja salvestatud andmete autentimist. PGP-d kasutatakse teksti, e-kirjade, failide, kataloogide ja isegi tervete kettapartitsioonide allkirjastamiseks, krüptimiseks ja dekrüpteerimiseks.

Transport Layer Security (TLS) on krüptograafiline protokoll, mis tagab side turvalisuse arvutivõrgu kaudu. TLS -i kasutatakse sellistes rakendustes nagu veebibrauser, e -post, Interneti -faksimine, kiirsõnumid ja hääl -IP (VoIP). Veebisaidid saavad TLS -i abil kaitsta kogu suhtlust oma serverite ja veebibrauserite vahel. TLS põhineb varasematel SSL (Secure Sockets Layer) spetsifikatsioonidel.

Interneti -protokolli turvalisus (IPsec) on võrguprotokolli komplekt, mis autentib ja krüpteerib võrgu kaudu saadetud andmepaketid. IPsec sisaldab protokolle seansi alguses agentide vahelise vastastikuse autentimise loomiseks ja seansi ajal kasutatavate krüptovõtmete läbirääkimiseks.

Virtuaalne privaatvõrk (VPN) laiendab privaatvõrku üle avaliku võrgu ja võimaldab kasutajatel saata ja vastu võtta andmeid jagatud või avalikes võrkudes nii, nagu oleks nende arvutusseadmed otse privaatvõrguga ühendatud. VPN -tunneli mõlemas otsas olevad süsteemid krüpteerivad tunnelisse sisenevad andmed ja dekrüpteerivad need teises otsas.

Plokiahel on pidevalt kasvav kirjete loend, mida nimetatakse plokkideks ja mis on lingitud ja turvatud krüptograafia abil. Esimene plokiahel rakendati 2009. aastal bitcoini põhikomponendina, kus see toimib kõigi tehingute avaliku pearaamatuna. Bitcoini plokiahela leiutamine tegi sellest esimese digitaalse valuuta, mis lahendas topeltkulude probleemi ilma usaldusväärse asutuse või keskserverita.

8. samm: STM32 must pill

Must pill on uusim STM32 pilliplaat. See on täiustatud variant tavalisel sinisel pillil ja vähem levinud punasel pillil.

Mustal pillil on 32-bitine ARM M3 mikrokontroller (andmeleht) STM32F103C8T6 (andmeleht), nelja kontaktiga ST-Linki päis, MicroUSB-port ja PB12 kasutaja LED. USB-pordi õigeks toimimiseks on paigaldatud PA12-le õige tõmbetakisti. See tõmbamine nõudis tavaliselt plaadi muutmist teistel pilliplaatidel.

Kuigi välimuselt sarnaneb tüüpiline Arduino Nano, on Black Pill palju võimsam. 32 -bitine STM32F103C8T6 ARM mikrokontroller võib töötada sagedusel 72 MHz. See võib teostada ühe tsükli korrutamist ja riistvara jagamist. Sellel on 64 kbyte Flash -mälu ja 20 KB SRAM -i.

Samm: musta pilli vilkumine Arduino IDE ja STLinki abil

Kui teil pole hiljuti installitud Arduino IDE, hankige see siit.

Seejärel hankige Roger Clarki Arduino_STM32 hoidla. See hõlmab riistvarafaile, mis toetavad STM32 tahvleid Arduino IDE 1.8.x. Kui laadite selle käsitsi alla, veenduge, et Arduino_STM32-master.zip pakitakse lahti Arduino IDE riistvara kausta. Pange tähele, et selle paketi jaoks on olemas tugifoorum.

Kinnitage STLinki hüppaja juhtmed, nagu siin näidatud.

Käivitage Arduino IDE ja valige tööriistade alt järgmised suvandid:

Tahvel: üldine STM32F103C seeriaVariant: STM32F103C8 (20k RAM. 64k Flash) CPU kiirus (MHz): "72MHz (tavaline)" Üleslaadimisviis: "STLink"

Avage failinäited> põhitõed> vilgutage Muuda kõik kolm "LED_BUILTIN" eksemplari PB12 -ks Vajutage üleslaadimise noolt (STLinki LED -tuli vilgub üleslaadimise ajal)

See üles laaditud visand vilgutab musta pilli kasutaja LED -i iga sekund sisse ja välja. Seejärel muutke kahe viivituse (1000) avalduse väärtus 1000 -lt 100 -le ja laadige uuesti üles. LED peaks nüüd vilkuma kümme korda kiiremini. See on meie tavaline "Tere maailm" harjutus, et veenduda, et suudame koostada lihtsa programmi ja laadida selle sihtlauale.

Samm 10: Pill Duckie

Pill Duck on skriptitav USB HID -seade, mis kasutab STM32. Muidugi miks mitte?

11. samm: TFT -ekraan

Õhukese kilega transistorvedelkristallekraan (TFT LCD) on vedelkristallkuvari (LCD) variant, mis kasutab õhukese kilega transistoritehnoloogiat, et parandada pildikvaliteeti, näiteks adresseeritavust ja kontrasti. TFT LCD on aktiivmaatriksiga LCD, erinevalt passiivmaatriksiga LCD-ekraanidest või lihtsatest otsejuhtimisega LCD-ekraanidest, millel on mõned segmendid.

See täisvärviline TFT -ekraan on 2,4 tolli ja eraldusvõimega 240x320.

Kontroller on ILI9341 (andmeleht), mis saab ühendada STM32 -ga SPI (Serial Peripheral Interface) siinide kaudu vastavalt siin näidatud ühendusskeemile.

Ekraani testimiseks laadige visand siit:

näited> Adafruit_ILI9341_STM> stm32_graphicstest

Muutke kolme juhtnõela määratlusi järgmiselt:

#define TFT_CS PA1#define TFT_DC PA3#define TFT_RST PA2

Pange tähele, et graafiline testinäide käivitub väga kiiresti, kuna STM32 on paranenud võrreldes traditsioonilise Arduino AVR mikrokontrolleriga.

12. samm: klaviatuuri maatriksi sisend

Ühendage 4x4 maatriksi klahvistik joonisel näidatud viisil ja laadige üles lisatud visand TFT_Klaviatuur. See näide loeb klaviatuuri ja kuvab klahvi ekraanil. Pange tähele, et see lihtne näide klaviatuuri lugemiseks blokeeritakse, kuna see kasutas funktsiooni delay (). Seda saab parandada küsitlus- või katkestuspõhisele mudelile üleminekuga.

Klaviatuuri ja TFT -ekraani ning musta pilli kokkupanek jooteta leivaplaadile või rohelisele protoplaadile teeb kena "arvutusplatvormi" sisendi ja ekraaniga.

Samm 13: Enigma masinakoodi väljakutse

Enigma-masinad olid elektromehaanilised rootori šifreerimismasinad, mis töötati välja ja kasutati 20. sajandi alguses ja keskel. Neid võtsid vastu mitme riigi sõjaväe- ja valitsusasutused, eriti natsi -Saksamaa. Saksamaa relvajõud uskusid, et nende Enigma krüpteeritud side on liitlaste jaoks läbitungimatu. Kuid tuhandetel koodimurdjatel - Suurbritannia Bletchley pargi puitmajades - oli muid ideid.

Selle kuu kodeerimisülesanne on muuta "arvutiplatvorm" teie enda Enigma -masinaks.

Oleme juba rakendanud näiteid klaviatuuri sisendite ja kuva väljundite kohta.

Siin on mõned näited seadete ja arvutuste kohta sisendite ja väljundite vahel:

ENIGMuino

Avage Enigma

Arduino Enigma simulaator

Juhendatav ST-Geotronicsilt

14. samm: kahefaktoriline autentimine - turvavõti U2F null

Kahefaktoriline autentimine (tuntud ka kui 2FA) on meetod kasutaja väidetava identiteedi kinnitamiseks, kasutades kahe erineva teguri kombinatsiooni: 1) midagi, mida nad teavad, 2) midagi, mis neil on, või 3) midagi, mis nad on. Hea näide kahefaktorilisest autentimisest on raha väljavõtmine sularahaautomaadist, kus ainult pangakaardi (midagi, mis kasutajal on) ja PIN-koodi (midagi, mida kasutaja teab) õige kombinatsioon võimaldab tehingut teostada.

Universal 2nd Factor (U2F) on avatud autentimisstandard, mis tugevdab ja lihtsustab kahefaktorilist autentimist spetsiaalsete USB- või NFC-seadmete abil, mis põhinevad kiipkaartidel leiduval sarnasel turvatehnoloogial. U2F turvavõtmeid toetab Google Chrome alates versioonist 38 ja Opera alates versioonist 40. U2F-i turvavõtmeid saab kasutada täiendava kaheastmelise kinnitamise meetodina U2F-protokolli toetavatel võrguteenustel, sh Google, Dropbox, GitHub, GitLab, Bitbucket, Nextcloud, Facebook ja teised.

U2F Zero on avatud lähtekoodiga U2F -märk kahe teguri autentimiseks. Sellel on mikrokiibiga ATECC508A krüptograafiline kaasprotsessor, mis toetab järgmist:

• Turvaline riistvarapõhine võtmehoidla
• Kiire avaliku võtme (PKI) algoritmid
• ECDSA: FIPS186-3 elliptilise kõvera digitaalallkirja algoritm
• ECDH: FIPS SP800-56A elliptilise kõvera diferentsiaal-Hellmani algoritm
• NIST Standard P256 elliptilise kõvera tugi
• SHA-256 räsialgoritm koos HMAC-valikuga
• Salvestusruum kuni 16 võtme jaoks - 256 -bitine võtmepikkus
• Unikaalne 72-bitine seerianumber
• FIPS juhuslike numbrite generaator (RNG)

15. samm: jootmise väljakutsekomplekt

Kui teil on tõsine jootmisprobleem, võite luua oma U2F nullvõtme.

U2F Zero Soldering Challenge Kit:

• U2F Zero Token PCB
• 8051 südamikuga mikrokontroller (E0) EFM8UB11F16G
• Turvaline element (A1) ATECC508A
• Olekutuli (RGB1) 0603 Ühine anood
• Zeneri ESD kaitsediood (Z1) SOT553
• 100 oomi takisti (R1) 0603
• 4.7 uF möödavoolukondensaator (C4) 0603
• 0,1 uF möödavoolukondensaator (C3) 0403
• Hetkeline kompimisnupp (SW1)
• Split-Ring võtmehoidja

Pange tähele, et on kaks 0603 suurust komponenti. Nad näevad välja üsna sarnased, kuid hoolikas uurimine näitab, et R1 on must ja C4 on pruun. Samuti pange tähele, et E0, A1 ja RGB1 on nõutavad suunad, nagu on näidatud PCB siiditrükil.

U2F Zero Wiki näitab mikrokontrolleri programmeerimise üksikasju.

VÄLJAKUTSE MÄRKUS. Iga HackerBox #0027 sisaldab kahte Soldering Challenge komplekti täpselt sellepärast, et jootmine on väga raske ja juhtub õnnetusi. Ära ole pettunud. Kasutage suurt suurendust, pintsette, head triikrauda, jootmisvoogu ja liikuge väga aeglaselt ja ettevaatlikult. Kui te ei saa seda komplekti edukalt jootma, pole te kindlasti üksi. Isegi kui see kunagi ei tööta, on see hea jootmistava erinevate SMT -pakettide puhul.

Võite vaadata seda Ben Heck Show episoodi Surface Mount Solderingil.

16. samm: häkkige planeet

Kui teile on see juhendamine meeldinud ja soovite, et selline elektroonika- ja arvutitehnoloogiaprojektide kast saadetaks teile iga kuu otse postkasti, siis liituge HackerBoxi revolutsiooniga, tellides SIIT.

Võtke ühendust ja jagage oma edu allolevates kommentaarides või HackerBoxesi Facebooki lehel. Kindlasti andke meile teada, kui teil on küsimusi või vajate abi. Täname, et olete osa HackerBoxesist. Palun jätke oma ettepanekud ja tagasiside tulemas. HackerBoxes on teie kastid. Teeme midagi suurepärast!