HackerBox 0027: Cypherpunk: 16 шагов

2024 Автор: John Day | [email protected]. Последнее изменение: 2024-01-30 11:53

Cypherpunk - В этом месяце хакеры HackerBox исследуют вопросы конфиденциальности и криптографии. Это руководство содержит информацию по работе с HackerBox # 0027, которую вы можете получить здесь, пока расходные материалы есть в наличии. Кроме того, если вы хотите получать такой HackerBox каждый месяц прямо в свой почтовый ящик, пожалуйста, подпишитесь на HackerBoxes.com и присоединяйтесь к революции!

Темы и цели обучения для HackerBox 0027:

• Понять важные социальные последствия конфиденциальности
• Защищайте камеры на личных электронных устройствах
• Изучите историю и математику криптографии
• Контекстуализировать распространенное криптографическое программное обеспечение
• Сконфигурируйте плату "Black Pill" процессора STM32 ARM.
• Запрограммируйте STM32 Black Pill с помощью Arduino IDE
• Интегрируйте клавиатуру и TFT-дисплей с Black Pill
• Воспроизвести функциональность машины загадки Второй мировой войны.
• Понять многофакторную аутентификацию
• Примите решение проблемы пайки, чтобы создать U2F Zero USB Token

HackerBoxes - это ежемесячный абонентский ящик для электроники и компьютерной техники своими руками. Мы любители, творцы и экспериментаторы. Мы мечтатели мечты. ВЗЛОМАЙТЕ ПЛАНЕТУ!

Шаг 1: HackerBox 0027: Содержимое коробки

• Коллекционная справочная карточка HackerBoxes # 0027
• Модуль Black Pill STM32F103C8T6
• USB-программатор STLink V2
• Полноцветный 2,4-дюймовый TFT-дисплей - 240x320 пикселей
• Матричная клавиатура 4x4
• Макетная плата без пайки на 830 точек
• Комплект перемычек из 140 предметов
• Два набора U2F Zero Soldering Challenge Kit
• Большая печатная плата для прототипирования зеленого цвета 9x15 см
• Эксклюзивные виниловые шпионские блокираторы GawkStop
• Эксклюзивный алюминиевый магнитный поворотный чехол для веб-камеры
• Эксклюзивный патч EFF
• Наклейка Privacy Badger
• Наклейка Tor

Еще кое-что, что будет полезно:

• Паяльник, припой и основные паяльные инструменты
• Лупа и маленький пинцет для пайки поверхностным монтажом
• Компьютер для запуска программных средств

Самое главное, вам понадобится чувство приключений, дух DIY и хакерское любопытство. Хардкорная электроника своими руками - нетривиальное занятие, и мы не пытаемся избавиться от него. Цель - прогресс, а не совершенство. Когда вы упорствуете и получаете удовольствие от приключений, большое удовлетворение можно получить, изучая новые технологии и, надеюсь, заставляя некоторые проекты работать. Мы предлагаем делать каждый шаг медленно, обращая внимание на детали, и не бояться просить о помощи.

Обратите внимание, что в разделе часто задаваемых вопросов HackerBox есть много информации для нынешних и потенциальных участников.

Шаг 2: шифропанки

Cypherpunk [википедия] - активист, выступающий за широкое использование сильной криптографии и технологий повышения конфиденциальности в качестве пути к социальным и политическим изменениям. Изначально общаясь через электронный список рассылки Cypherpunks, неформальные группы стремились достичь конфиденциальности и безопасности за счет активного использования криптографии. Шифропанки занимаются активным движением с конца 1980-х годов.

В конце 1992 года Эрик Хьюз, Тимоти С. Мэй и Джон Гилмор основали небольшую группу, которая ежемесячно собиралась в компании Гилмора Cygnus Solutions в районе залива Сан-Франциско, и на одной из первых встреч Джуд Милхон с юмором назвал ее шифровальщиками. шифр и киберпанк. В ноябре 2006 года слово «шифропанк» было добавлено в Оксфордский словарь английского языка.

Основные идеи можно найти в Манифесте шифропанка (Эрик Хьюз, 1993): «Конфиденциальность необходима для открытого общества в эпоху электроники… Мы не можем ожидать, что правительства, корпорации или другие крупные безликие организации предоставят нам конфиденциальность… Мы должны защищать свою конфиденциальность, если мы ожидаем, что она будет … Шифропанки пишут код. Мы знаем, что кто-то должен писать программное обеспечение для защиты конфиденциальности, и … мы собираемся его написать ». Некоторые заслуживающие внимания шифровальщики являются или были старшими сотрудниками в крупных технологических компаниях, университетах и других известных исследовательских организациях.

Шаг 3: Фонд электронных рубежей (EFF)

EFF [wikipedia] - международная некоммерческая группа по цифровым правам, базирующаяся в Сан-Франциско, Калифорния. Фонд был основан в июле 1990 года Джоном Гилмором, Джоном Перри Барлоу и Митчем Капором для продвижения гражданских свобод в Интернете.

EFF предоставляет средства для правовой защиты в суде, представляет записки amicus curiae, защищает людей и новые технологии от того, что считает неправомерными правовыми угрозами, работает над разоблачением государственных должностных преступлений, предоставляет рекомендации правительству и судам, организует политические действия и массовые рассылки, поддерживает некоторые новые технологии, которые, по его мнению, сохраняют личные свободы и гражданские свободы в Интернете, поддерживает базу данных и веб-сайты с соответствующими новостями и информацией, отслеживает и оспаривает потенциальное законодательство, которое, по его мнению, нарушит личные свободы и добросовестное использование, и запрашивает список того, что оно рассматривает неправомерные патенты с намерением победить те, которые считает необоснованными. EFF также предоставляет советы, инструменты, практические инструкции, учебные пособия и программное обеспечение для более безопасного онлайн-общения.

HackerBoxes гордится тем, что является крупным спонсором Electronic Frontier Foundation. Мы настоятельно призываем всех и каждого щелкнуть здесь и выразить свою поддержку этой чрезвычайно важной некоммерческой группе, которая защищает цифровую конфиденциальность и свободу выражения. Юридическая деятельность, активизм и разработка программного обеспечения EFF направлены на защиту наших основных прав в цифровом мире. EFF является некоммерческой организацией в соответствии с 501 (c) (3) США, и ваши пожертвования могут не облагаться налогом.

Шаг 4: Интересные проекты EFF

Privacy Badger - это надстройка браузера, которая не позволяет рекламодателям и сторонним трекерам тайно отслеживать, куда вы идете и какие страницы просматриваете в Интернете. Если кажется, что рекламодатель отслеживает вас на нескольких веб-сайтах без вашего разрешения, Privacy Badger автоматически блокирует загрузку какого-либо контента в ваш браузер для этого рекламодателя. Для рекламодателя это как будто вы внезапно исчезли.

Сетевой нейтралитет - это идея о том, что интернет-провайдеры (ISP) должны справедливо обращаться со всеми данными, которые передаются по их сетям, без ненадлежащей дискриминации в пользу определенных приложений, сайтов или услуг. Это принцип, который необходимо соблюдать, чтобы защитить будущее нашего открытого Интернета.

Security Education Companion - это новый ресурс для людей, которые хотели бы помочь своим сообществам узнать о цифровой безопасности. Потребность в надежной личной цифровой безопасности растет с каждым днем. От групп на низовом уровне до организаций гражданского общества и отдельных членов EFF, люди со всего нашего сообщества заявляют о необходимости доступных учебных материалов по вопросам безопасности, которыми можно поделиться со своими друзьями, соседями и коллегами.

Луковый маршрутизатор (Tor) позволяет пользователям просматривать Интернет, общаться в чате и отправлять мгновенные сообщения анонимно. Tor - это бесплатное программное обеспечение и открытая сеть, которая помогает защититься от анализа трафика, формы сетевого наблюдения, которая угрожает личной свободе и конфиденциальности, конфиденциальной деловой деятельности и отношениям, а также государственной безопасности.

Шаг 5. Защитите свои камеры

Согласно WIRED Magazine, «шпионские инструменты, разработанные спецслужбами, кибер-преступниками или интернет-мошенниками, могут включать вашу камеру, не загорая индикатор». [ПРОВОДНЫЙ]

Будучи директором ФБР, Джеймс Коми выступил с речью о шифровании и конфиденциальности. Он прокомментировал, что наклеивает кусок ленты на объектив веб-камеры своего ноутбука. [ЭНЕРГЕТИЧЕСКИЙ ЯДЕРНЫЙ РЕАКТОР]

Марк Цукерберг попал в новости, когда общественность заметила, что он придерживается той же практики. [ВРЕМЯ]

HackerBox # 0027 включает коллекцию персонализированных виниловых блокировщиков шпионов GAWK STOP, а также алюминиевую крышку веб-камеры с магнитным шарниром.

Шаг 6: криптография

Криптография [википедия] - это практика и изучение методов безопасной связи в присутствии третьих лиц, называемых противниками. Криптография до современной эпохи была фактически синонимом шифрования, преобразования информации из удобочитаемого состояния в кажущуюся бессмыслицу. Отправитель зашифрованного сообщения поделился техникой декодирования, необходимой для восстановления исходной информации, только предполагаемым получателям, тем самым не позволяя нежелательным лицам делать то же самое. В литературе по криптографии часто используется имя Алиса («А») для отправителя, Боб («Б») для предполагаемого получателя и Ева («подслушивающая») для злоумышленника. С момента разработки роторных шифровальных машин во время Первой мировой войны и появления компьютеров во Второй мировой войне методы, используемые для выполнения криптологии, становились все более сложными, а ее применение более широко распространенным. Современная криптография во многом основана на математической теории. Криптографические алгоритмы разработаны на основе предположений о вычислительной надежности, что делает такие алгоритмы трудными для взлома любым злоумышленником.

Есть много онлайн-ресурсов для получения дополнительной информации о криптографии. Вот несколько отправных точек:

Путешествие в криптографию в Khan Academy - отличная серия видео, статей и мероприятий.

В Стэнфордском университете есть бесплатный онлайн-курс по криптографии.

Брюс Шнайер разместил ссылку на онлайн-копию своей классической книги «Прикладная криптография». Текст представляет собой исчерпывающий обзор современной криптографии. В нем описаны десятки криптографических алгоритмов и даны практические советы по их реализации.

Шаг 7. Распространенное криптографическое программное обеспечение

С практической точки зрения есть несколько конкретных приложений криптографии, о которых мы должны знать:

Pretty Good Privacy (PGP) - это программа шифрования, которая обеспечивает криптографическую конфиденциальность и аутентификацию для хранимых данных. PGP используется для подписи, шифрования и дешифрования текста, электронной почты, файлов, каталогов и даже целых разделов диска.

Безопасность транспортного уровня (TLS) - это криптографический протокол, обеспечивающий безопасность связи в компьютерной сети. TLS используется в таких приложениях, как просмотр веб-страниц, электронная почта, отправка факсов через Интернет, обмен мгновенными сообщениями и передача голоса по IP (VoIP). Веб-сайты могут использовать TLS для защиты всей связи между своими серверами и веб-браузерами. TLS основан на более ранних спецификациях Secure Sockets Layer (SSL).

Безопасность интернет-протокола (IPsec) - это набор сетевых протоколов, который аутентифицирует и шифрует пакеты данных, отправляемые по сети. IPsec включает протоколы для установления взаимной аутентификации между агентами в начале сеанса и согласования криптографических ключей для использования во время сеанса.

Виртуальная частная сеть (VPN) расширяет частную сеть через общедоступную сеть и позволяет пользователям отправлять и получать данные через общие или общедоступные сети, как если бы их вычислительные устройства были напрямую подключены к частной сети. Системы на каждом конце туннеля VPN шифруют данные, поступающие в туннель, и расшифровывают их на другом конце.

Блокчейн - это постоянно растущий список записей, называемых блоками, которые связаны и защищены с помощью криптографии. Первый блокчейн был реализован в 2009 году в качестве основного компонента биткойна, где он служит публичным реестром для всех транзакций. Изобретение блокчейна для биткойнов сделало его первой цифровой валютой, решившей проблему двойных расходов без необходимости в доверенном органе или центральном сервере.

Шаг 8: Черная таблетка STM32

Black Pill - это новейшая доска для таблеток STM32. Это улучшенный вариант обычной синей таблетки и менее распространенной красной таблетки.

Black Pill оснащен 32-битным микроконтроллером ARM M3 STM32F103C8T6 (таблица данных), четырехконтактным разъемом ST-Link, портом MicroUSB и пользовательским светодиодом на PB12. Подходящий подтягивающий резистор на PA12 устанавливается для правильной работы USB-порта. Это подтягивание обычно требовало модификации доски на других досках для таблеток.

Хотя Black Pill внешне похож на типичный Arduino Nano, он намного мощнее. 32-битный микроконтроллер ARM STM32F103C8T6 может работать на частоте 72 МГц. Он может выполнять однократное умножение и аппаратное деление. Он имеет 64 Кбайт флеш-памяти и 20 Кбайт SRAM.

Шаг 9: прошивка черной таблетки с помощью Arduino IDE и STLink

Если у вас не установлена последняя версия Arduino IDE, скачайте ее здесь.

Затем получите репозиторий Arduino_STM32 Роджера Кларка. Сюда входят файлы оборудования для поддержки плат STM32 в Arduino IDE 1.8.x. Если вы загружаете его вручную, убедитесь, что Arduino_STM32-master.zip распакован в папку «оборудования» Arduino IDE. Обратите внимание, что для этого пакета есть форум поддержки.

Присоедините перемычки STLink, как показано здесь.

Запустите IDE Arduino и выберите эти параметры в разделе Инструменты:

Плата: Generic серии STM32F103C Вариант: STM32F103C8 (ОЗУ 20 КБ, флэш-память 64 КБ) Частота процессора (МГц): «72 МГц (нормальный)» Метод загрузки: «STLink»

Откройте примеры файлов> основы> blink Измените все три экземпляра «LED_BUILTIN» на PB12 Нажмите стрелку «Загрузить» (светодиод на STLink будет мигать во время загрузки)

Этот загруженный скетч будет мигать пользовательским светодиодом на Black Pill каждую секунду. Затем измените значение в двух операторах задержки (1000) с 1000 на 100 и загрузите снова. Теперь светодиод должен мигать в десять раз быстрее. Это наше стандартное упражнение «Hello World», чтобы убедиться, что мы можем скомпилировать простую программу и загрузить ее на целевую доску.

Шаг 10: таблетка утки

Pill Duck - это USB HID-устройство с поддержкой сценариев, использующее STM32. Конечно … Почему бы и нет?

Шаг 11: TFT-дисплей

Жидкокристаллический дисплей (TFT LCD) на тонкопленочных транзисторах - это вариант жидкокристаллического дисплея (LCD), в котором используется технология тонкопленочных транзисторов для улучшения качества изображения, например адресуемости и контрастности. TFT LCD - это LCD с активной матрицей, в отличие от LCD с пассивной матрицей или простых LCD с прямым управлением с несколькими сегментами.

Этот полноцветный TFT-дисплей имеет размер 2,4 дюйма и разрешение 240x320 пикселей.

Контроллер представляет собой ILI9341 (таблица данных), который может подключаться к STM32 через шину последовательного периферийного интерфейса (SPI) в соответствии со схемой подключения, показанной здесь.

Чтобы проверить дисплей, загрузите скетч из:

примеры> Adafruit_ILI9341_STM> stm32_graphicstest

Измените три определения управляющих контактов следующим образом:

#define TFT_CS PA1 # define TFT_DC PA3 # define TFT_RST PA2

Обратите внимание, что пример графического теста выполняется очень быстро из-за улучшенной производительности STM32 по сравнению с традиционным микроконтроллером Arduino AVR.

Шаг 12: матричный ввод с клавиатуры

Подключите матричную клавиатуру 4x4, как показано, и загрузите прикрепленный эскиз TFT_Keypad. В этом примере выполняется считывание клавиатуры и отображение ключа на экране. Обратите внимание, что этот простой пример чтения с клавиатуры блокируется, потому что он использовал функцию delay (). Это можно улучшить, переключившись на модель опроса или управления прерываниями.

Сборка клавиатуры и TFT-дисплея вместе с Black Pill на беспаечной макетной плате или зеленой макетной плате создает прекрасную «вычислительную платформу» с вводом и дисплеем.

Шаг 13: вызов машинного кода Enigma

Машины Enigma были электромеханическими шифровальными машинами с ротором, разработанными и использовавшимися в начале-середине 20 века. Они были приняты на вооружение военными и правительственными службами нескольких стран, в первую очередь нацистской Германии. Вооруженные силы Германии полагали, что их сообщения, зашифрованные с помощью Enigma, были недоступны для союзников. Но у тысяч взломщиков кодов, базировавшихся в деревянных хижинах в британском Блетчли-парке, были другие идеи.

Задача кодирования в этом месяце - превратить «вычислительную платформу» в вашу собственную машину Enigma.

Мы уже реализовали примеры входов клавиатуры и выходов дисплея.

Вот несколько примеров настроек и расчетов между входами и выходами:

ENIGMuino

Откройте Enigma

Симулятор Arduino Enigma

Обучается от ST-Geotronics

Шаг 14: Двухфакторная аутентификация - нулевой ключ безопасности U2F

Двухфакторная аутентификация (также известная как 2FA) - это метод подтверждения заявленной личности пользователя с использованием комбинации двух разных факторов: 1) что-то, что они знают, 2) что-то, что у них есть, или 3) то, что они есть. Хорошим примером двухфакторной аутентификации является снятие денег в банкомате, где только правильная комбинация банковской карты (то, что есть у пользователя) и ПИН-кода (то, что пользователь знает), позволяет провести транзакцию..

Universal 2nd Factor (U2F) - это открытый стандарт аутентификации, который усиливает и упрощает двухфакторную аутентификацию с использованием специализированных устройств USB или NFC, основанных на аналогичной технологии безопасности, используемой в смарт-картах. Ключи безопасности U2F поддерживаются Google Chrome с версии 38 и Opera с версии 40. Ключи безопасности U2F могут использоваться в качестве дополнительного метода двухэтапной проверки в онлайн-сервисах, поддерживающих протокол U2F, включая Google, Dropbox, GitHub, GitLab, Bitbucket, Nextcloud, Facebook и другие.

U2F Zero - это токен U2F с открытым исходным кодом для двухфакторной аутентификации. Он оснащен криптографическим сопроцессором Microchip ATECC508A, который поддерживает:

• Безопасное аппаратное хранилище ключей
• Алгоритмы высокоскоростного открытого ключа (PKI)
• ECDSA: алгоритм цифровой подписи с эллиптической кривой FIPS186-3
• ECDH: алгоритм Диффи-Хеллмана для эллиптических кривых, соответствующий стандарту FIPS SP800-56A
• Поддержка эллиптических кривых стандарта NIST P256
• Алгоритм хеширования SHA-256 с опцией HMAC
• Хранение до 16 ключей - длина ключа 256 бит
• Уникальный 72-битный серийный номер
• Генератор случайных чисел (ГСЧ) FIPS

Шаг 15: комплект для пайки

Если вам предстоит серьезная проблема с пайкой, вы можете создать свой собственный U2F Zero Key.

Комплект для испытаний без пайки U2F:

• Плата U2F с нулевым токеном
• Микроконтроллер с ядром 8051 (E0) EFM8UB11F16G
• Защитный элемент (A1) ATECC508A
• Светодиод состояния (RGB1) 0603 Общий анод
• Стабилитрон для защиты от электростатических разрядов (Z1) SOT553
• Резистор 100 Ом (R1) 0603
• 4,7 мкФ байпасный конденсатор (C4) 0603
• Обходной конденсатор 0,1 мкФ (C3) 0403
• Тактильная кнопка мгновенного действия (SW1)
• Брелок с разрезным кольцом

Обратите внимание, что есть два компонента размером 0603. Они выглядят очень похоже, но внимательное изучение покажет, что R1 - черный, а C4 - коричневый. Также обратите внимание, что E0, A1 и RGB1 имеют требуемую ориентацию, как указано на шелкографии печатной платы.

U2F Zero Wiki показывает подробности программирования микроконтроллера.

ПРИМЕЧАНИЕ: Каждый HackerBox # 0027 включает в себя два набора Soldering Challenge именно потому, что пайка очень сложная и случаются несчастные случаи. Не расстраивайтесь. Используйте большое увеличение, пинцет, хороший утюг, припой и двигайте очень медленно и осторожно. Если вы не можете успешно спаять этот комплект, вы точно не одиноки. Даже если это никогда не сработает, это хорошая практика пайки для различных корпусов SMT.

Возможно, вы захотите посмотреть этот выпуск шоу Бена Хека о пайке на поверхности.

Шаг 16: взломайте планету

Если вам понравился этот Instrucable, и вы хотите, чтобы ящик с электронными и компьютерными проектами, подобными этому, доставлялся прямо в ваш почтовый ящик каждый месяц, пожалуйста, присоединяйтесь к революции HackerBox, ПОДПИСавшись ЗДЕСЬ.

Сообщите о своем успехе в комментариях ниже или на странице HackerBoxes в Facebook. Обязательно дайте нам знать, если у вас возникнут какие-либо вопросы или вам понадобится помощь. Спасибо за то, что вы являетесь частью HackerBoxes. Пожалуйста, продолжайте присылать ваши предложения и отзывы. HackerBoxes - это ВАШИ коробки. Сделаем что-нибудь отличное!