HackerBox 0027: Cypherpunk: 16 kroków

2024 Autor: John Day | [email protected]. Ostatnio zmodyfikowany: 2024-01-30 11:32

Cypherpunk - W tym miesiącu hakerzy HackerBox badają prywatność i kryptografię. Ta instrukcja zawiera informacje dotyczące pracy z HackerBox #0027, które możesz odebrać tutaj do wyczerpania zapasów. Ponadto, jeśli chcesz otrzymywać co miesiąc taki HackerBox bezpośrednio do swojej skrzynki pocztowej, zasubskrybuj na HackerBoxes.com i dołącz do rewolucji!

Tematy i cele edukacyjne dla HackerBox 0027:

• Zrozum ważne społeczne implikacje prywatności
• Zabezpiecz kamery na osobistych urządzeniach elektronicznych
• Poznaj historię i matematykę kryptografii
• Kontekstualizuj popularne oprogramowanie kryptograficzne
• Skonfiguruj płytkę „Black Pill” procesora STM32 ARM
• Zaprogramuj czarną pigułkę STM32 za pomocą Arduino IDE
• Zintegruj klawiaturę i wyświetlacz TFT z czarną pigułką
• Replikuj funkcjonalność maszyny Enigma z czasów II wojny światowej
• Zrozumienie uwierzytelniania wieloskładnikowego
• Zmierz się z wyzwaniem lutowania, aby zbudować token U2F Zero USB

HackerBoxes to miesięczna usługa subskrypcji dla elektroniki DIY i technologii komputerowej. Jesteśmy hobbystami, twórcami i eksperymentatorami. Jesteśmy marzycielami marzeń. ZHAKUJ PLANETĘ!

Krok 1: HackerBox 0027: Zawartość pudełka

• HackerBoxes #0027 Karta referencyjna kolekcjonerska
• Moduł Black Pill STM32F103C8T6
• Programator USB STLink V2
• Pełnokolorowy wyświetlacz TFT 2,4 cala - 240x320 pikseli
• Klawiatura matrycowa 4x4
• 830-punktowa płytka bez lutowania
• 140-częściowy zestaw zworek z drutu
• Dwa zestawy wyzwań do lutowania zerowego U2F
• Duża 9x15 cm zielona płytka prototypowa
• Ekskluzywne winylowe blokery szpiegowskie GawkStop
• Ekskluzywna aluminiowa magnetyczna obrotowa osłona kamery internetowej
• Ekskluzywna naszywka EFF
• Naklejka z Badger prywatności
• Naklejka Tor

Kilka innych rzeczy, które będą pomocne:

• Lutownica, lut i podstawowe narzędzia lutownicze
• Lupa i mała pęseta do wyzwania lutowania SMT
• Komputer do uruchamiania narzędzi programowych

Co najważniejsze, będziesz potrzebować poczucia przygody, ducha DIY i ciekawości hakerskiej. Hardkorowa elektronika DIY nie jest trywialnym zajęciem i nie rozwadniamy jej dla Ciebie. Celem jest postęp, a nie doskonałość. Kiedy będziesz wytrwać i cieszyć się przygodą, wiele satysfakcji można czerpać z nauki nowych technologii i, miejmy nadzieję, z udanych projektów. Sugerujemy, aby każdy krok robić powoli, pamiętając o szczegółach i nie bój się prosić o pomoc.

Pamiętaj, że w często zadawanych pytaniach HackerBox znajduje się mnóstwo informacji dla obecnych i przyszłych członków.

Krok 2: Cypherpunki

Cypherpunk [wikipedia] to aktywista opowiadający się za powszechnym stosowaniem silnej kryptografii i technologii zwiększających prywatność jako drogi do zmian społecznych i politycznych. Początkowo komunikując się za pośrednictwem elektronicznej listy mailingowej Cypherpunks, nieformalne grupy miały na celu osiągnięcie prywatności i bezpieczeństwa poprzez aktywne wykorzystanie kryptografii. Cypherpunki są zaangażowani w aktywny ruch od późnych lat 80-tych.

Pod koniec 1992 roku Eric Hughes, Timothy C. May i John Gilmore założyli małą grupę, która spotykała się co miesiąc w firmie Gilmore’a Cygnus Solutions w San Francisco Bay Area i została żartobliwie nazwana cypherpunkami przez Jude Milhon na jednym z pierwszych spotkań – szyfr i cyberpunk. W listopadzie 2006 roku słowo „cypherpunk” zostało dodane do Oxford English Dictionary.

Podstawowe idee można znaleźć w Manifeście Cypherpunka (Eric Hughes, 1993): „Prywatność jest niezbędna dla otwartego społeczeństwa w erze elektronicznej… Nie możemy oczekiwać, że rządy, korporacje lub inne duże organizacje bez twarzy zapewnią nam prywatność… My musimy bronić naszej własnej prywatności, jeśli spodziewamy się, że będziemy mieć jakąkolwiek. … Cypherpunki piszą kod. Wiemy, że ktoś musi napisać oprogramowanie do obrony prywatności i … zamierzamy je napisać”. Niektórzy godne uwagi cypherpunki są lub byli pracownikami wyższego szczebla w głównych firmach technologicznych, uniwersytetach, a inni są dobrze znanymi organizacjami badawczymi.

Krok 3: Fundacja Electronic Frontier Foundation (EFF)

EFF [wikipedia] to międzynarodowa organizacja non-profit zajmująca się prawami cyfrowymi z siedzibą w San Francisco w Kalifornii. Fundacja została założona w lipcu 1990 roku przez Johna Gilmore'a, Johna Perry'ego Barlowa i Mitcha Kapora w celu promowania swobód obywatelskich w Internecie.

EFR zapewnia fundusze na obronę prawną w sądzie, przedstawia opinie amicus curiae, chroni osoby i nowe technologie przed tym, co uważa za nadużycia prawne, działa na rzecz ujawnienia nadużyć rządu, udziela wskazówek rządowi i sądom, organizuje akcje polityczne i masowe wysyłki, wspiera niektóre nowe technologie, które jego zdaniem chronią wolności osobiste i wolności obywatelskie w Internecie, prowadzi bazę danych i strony internetowe z powiązanymi wiadomościami i informacjami, monitoruje i kwestionuje potencjalne przepisy, które jego zdaniem naruszyłyby wolności osobiste i dozwolone użycie, oraz prosi o listę tego, co uważa patenty stanowiące nadużycie z zamiarem pokonania tych, które uważa za bezpodstawne. EFF dostarcza również wskazówki, narzędzia, poradniki, samouczki i oprogramowanie dla bezpieczniejszej komunikacji online.

HackerBoxes jest dumny z bycia głównym darczyńcą na rzecz Electronic Frontier Foundation. Gorąco zachęcamy wszystkich do kliknięcia tutaj i okazania swojego wsparcia tej niezwykle ważnej grupie non-profit, która chroni cyfrową prywatność i swobodę wypowiedzi. Działalność prawnicza, aktywizm i wysiłki na rzecz rozwoju oprogramowania w interesie publicznym EFF mają na celu ochronę naszych podstawowych praw w cyfrowym świecie. EFF jest organizacją non-profit 501(c)(3) w Stanach Zjednoczonych, a Twoje darowizny mogą podlegać odliczeniu od podatku.

Krok 4: Godne uwagi projekty EFR

Privacy Badger to dodatek do przeglądarki, który uniemożliwia reklamodawcom i innym zewnętrznym narzędziom śledzącym potajemne śledzenie, dokąd się udajesz i jakie strony przeglądasz w sieci. Jeśli wydaje się, że reklamodawca śledzi Cię w wielu witrynach bez Twojej zgody, program Privacy Badger automatycznie blokuje temu reklamodawcy ładowanie kolejnych treści w Twojej przeglądarce. Dla reklamodawcy to tak, jakbyś nagle zniknął.

Neutralność sieci polega na tym, że dostawcy usług internetowych (ISP) powinni traktować wszystkie dane przesyłane w ich sieciach uczciwie, bez niewłaściwej dyskryminacji na korzyść określonych aplikacji, witryn lub usług. Jest to zasada, której należy przestrzegać, aby chronić przyszłość naszego otwartego Internetu.

Security Education Companion to nowe źródło informacji dla osób, które chciałyby pomóc swoim społecznościom w poznawaniu bezpieczeństwa cyfrowego. Zapotrzebowanie na solidne osobiste zabezpieczenia cyfrowe rośnie z każdym dniem. Od grup oddolnych, przez organizacje społeczeństwa obywatelskiego po indywidualnych członków EFF, ludzie z całej naszej społeczności wyrażają potrzebę udostępnienia dostępnych materiałów edukacyjnych w zakresie bezpieczeństwa, którymi można by się dzielić z przyjaciółmi, sąsiadami i współpracownikami.

Onion Router (Tor) umożliwia swoim użytkownikom anonimowe surfowanie po Internecie, czatowanie i wysyłanie wiadomości błyskawicznych. Tor jest wolnym oprogramowaniem i otwartą siecią, która pomaga bronić się przed analizą ruchu, formą nadzoru sieciowego, która zagraża wolności osobistej i prywatności, poufnym działaniom i związkom biznesowym oraz bezpieczeństwu państwa.

Krok 5: Zabezpiecz swoje kamery

Według magazynu WIRED „narzędzia szpiegowskie, zaprojektowane przez agencje wywiadowcze, cyberprzestępców lub przestępców internetowych, mogą włączyć kamerę bez podświetlania wskaźnika”. [PRZEWODOWA]

Pełniąc funkcję dyrektora FBI, James Comey wygłosił przemówienie na temat szyfrowania i prywatności. Skomentował, że przykleił kawałek taśmy do obiektywu kamery internetowej na swoim laptopie. [NPR]

Mark Zuckerberg zrobił wiadomości, gdy opinia publiczna zauważyła, że postępuje zgodnie z tą samą praktyką. [CZAS]

HackerBox #0027 zawiera kolekcję spersonalizowanych winylowych blokad szpiegowskich GAWK STOP, a także aluminiową, obrotową osłonę kamery internetowej.

Krok 6: Kryptografia

Kryptografia [wikipedia] to praktyka i nauka technik bezpiecznej komunikacji w obecności osób trzecich zwanych adwersarzami. Kryptografia sprzed ery nowożytnej była praktycznie synonimem szyfrowania, konwersji informacji ze stanu czytelnego do pozornego nonsensu. Twórca zaszyfrowanej wiadomości udostępnił technikę dekodowania potrzebną do odzyskania oryginalnych informacji tylko zamierzonym odbiorcom, uniemożliwiając tym samym niechcianym osobom zrobienie tego samego. Literatura kryptograficzna często używa imienia Alicja ("A") jako nadawca, Bob ("B") jako zamierzony odbiorca, a Ewa ("podsłuchujący") jako przeciwnik. Od czasu rozwoju maszyn szyfrujących rotorowych w czasie I wojny światowej i pojawienia się komputerów w czasie II wojny światowej, metody wykorzystywane do prowadzenia kryptologii stały się coraz bardziej złożone, a ich zastosowanie coraz powszechniejsze. Współczesna kryptografia jest mocno oparta na teorii matematycznej. Algorytmy kryptograficzne są zaprojektowane wokół założeń dotyczących twardości obliczeniowej, co sprawia, że takie algorytmy są trudne do złamania przez jakiegokolwiek przeciwnika.

Istnieje wiele zasobów internetowych, w których można dowiedzieć się więcej o kryptografii. Oto kilka punktów wyjścia:

Podróż do kryptografii w Khan Academy to doskonała seria filmów, artykułów i ćwiczeń.

Uniwersytet Stanforda oferuje bezpłatny kurs kryptografii online.

Bruce Schneier opublikował link do internetowej kopii swojej klasycznej książki, Applied Cryptography. Tekst zawiera obszerny przegląd współczesnej kryptografii. Opisuje dziesiątki algorytmów kryptograficznych i daje praktyczne porady, jak je wdrożyć.

Krok 7: Wspólne oprogramowanie kryptograficzne

Z praktycznego punktu widzenia istnieje kilka konkretnych zastosowań kryptografii, o których powinniśmy wiedzieć:

Pretty Good Privacy (PGP) to program szyfrujący, który zapewnia prywatność kryptograficzną i uwierzytelnianie przechowywanych danych. PGP służy do podpisywania, szyfrowania i deszyfrowania tekstu, wiadomości e-mail, plików, katalogów, a nawet całych partycji dyskowych.

Transport Layer Security (TLS) to protokół kryptograficzny zapewniający bezpieczeństwo komunikacji w sieci komputerowej. TLS jest używany w aplikacjach, takich jak przeglądanie stron internetowych, poczta e-mail, faksowanie internetowe, wiadomości błyskawiczne i Voice over IP (VoIP). Strony internetowe mogą używać TLS do zabezpieczania całej komunikacji między ich serwerami a przeglądarkami internetowymi. Protokół TLS jest oparty na wcześniejszych specyfikacjach protokołu Secure Sockets Layer (SSL).

Internet Protocol Security (IPsec) to pakiet protokołów sieciowych, który uwierzytelnia i szyfruje pakiety danych przesyłane przez sieć. IPsec zawiera protokoły do ustanawiania wzajemnego uwierzytelniania między agentami na początku sesji i negocjowania kluczy kryptograficznych używanych podczas sesji.

Wirtualna sieć prywatna (VPN) rozszerza sieć prywatną w sieci publicznej i umożliwia użytkownikom wysyłanie i odbieranie danych w sieciach współdzielonych lub publicznych, tak jakby ich urządzenia komputerowe były bezpośrednio podłączone do sieci prywatnej. Systemy na każdym końcu tunelu VPN szyfrują dane wchodzące do tunelu i odszyfrowują je na drugim końcu.

Blockchain to stale rosnąca lista rekordów, zwanych blokami, które są połączone i zabezpieczone za pomocą kryptografii. Pierwszy blockchain został wdrożony w 2009 roku jako podstawowy składnik bitcoina, gdzie służy jako księga publiczna dla wszystkich transakcji. Wynalezienie łańcucha bloków dla bitcoina sprawiło, że stała się pierwszą walutą cyfrową, która rozwiązała problem podwójnego wydatkowania bez potrzeby posiadania zaufanego organu lub serwera centralnego.

Krok 8: Czarna pigułka STM32

Czarna pigułka to najnowsza tablica pigułek STM32. Jest to ulepszony wariant popularnej niebieskiej pigułki i mniej popularnej czerwonej pigułki.

Black Pill jest wyposażony w 32-bitowy mikrokontroler ARM M3 STM32F103C8T6 (karta katalogowa), czteropinowy nagłówek ST-Link, port MicroUSB i diodę LED użytkownika na PB12. W celu poprawnego działania portu USB zainstalowany jest odpowiedni rezystor podciągający na PA12. To podciąganie zwykle wymagało modyfikacji tablicy na innych tablicach do pigułek.

Choć podobny wyglądem do typowego Arduino Nano, Black Pill jest znacznie potężniejszy. 32-bitowy mikrokontroler ARM STM32F103C8T6 może pracować z częstotliwością 72 MHz. Może wykonywać mnożenie w jednym cyklu i dzielenie sprzętowe. Posiada 64 KB pamięci Flash i 20 KB SRAM.

Krok 9: Flashowanie czarnej pigułki za pomocą Arduino IDE i STLink

Jeśli nie masz zainstalowanego najnowszego środowiska Arduino IDE, pobierz je tutaj.

Następnie pobierz repozytorium Arduino_STM32 Rogera Clarka. Obejmuje to pliki sprzętowe do obsługi płyt STM32 w Arduino IDE 1.8.x. Jeśli pobierzesz to ręcznie, upewnij się, że Arduino_STM32-master.zip zostanie rozpakowany do folderu „hardware” Arduino IDE. Zwróć uwagę, że istnieje forum pomocy technicznej dla tego pakietu.

Podłącz przewody połączeniowe STLink, jak pokazano tutaj.

Uruchom Arduino IDE i wybierz te opcje w Narzędziach:

Płyta: Ogólna seria STM32F103CWariant: STM32F103C8 (20k RAM. 64k Flash)Prędkość procesora (MHz): "72MHz (Normal)"Metoda przesyłania: "STLink"

Otwórz przykłady plików > podstawy > blinkZmień wszystkie trzy wystąpienia „LED_BUILTIN” na PB12Uderz w strzałkę „upload” (dioda LED na STLink będzie migotać podczas przesyłania)

Ten przesłany szkic będzie co sekundę migał diodą LED użytkownika na czarnej pigułce. Następnie zmień wartość w dwóch oświadczeniach delay(1000) z 1000 na 100 i prześlij ponownie. Dioda powinna teraz migać dziesięć razy szybciej. To jest nasze standardowe ćwiczenie "Hello World", aby upewnić się, że możemy skompilować prosty program i załadować go na tablicę docelową.

Krok 10: Kaczka pigułka

Pill Duck jest skryptowalnym urządzeniem USB HID używającym STM32. Jasne, czemu nie?

Krok 11: Wyświetlacz TFT

Wyświetlacz ciekłokrystaliczny z tranzystorem cienkowarstwowym (TFT LCD) to wariant wyświetlacza ciekłokrystalicznego (LCD), który wykorzystuje technologię tranzystora cienkowarstwowego w celu poprawy jakości obrazu, takich jak adresowalność i kontrast. TFT LCD to wyświetlacz LCD z aktywną matrycą, w przeciwieństwie do wyświetlaczy LCD z pasywną matrycą lub prostych, sterowanych bezpośrednio wyświetlaczy LCD z kilkoma segmentami.

Ten kolorowy wyświetlacz TFT mierzy 2,4 cala i ma rozdzielczość 240x320.

Kontroler to ILI9341 (karta danych), który można podłączyć do STM32 za pośrednictwem magistrali szeregowego interfejsu peryferyjnego (SPI) zgodnie ze schematem połączeń pokazanym tutaj.

Aby przetestować wyświetlanie, wczytaj szkic z:

przykłady > Adafruit_ILI9341_STM > stm32_graphicstest

Zmodyfikuj trzy piny kontrolne w następujący sposób:

#define TFT_CS PA1#define TFT_DC PA3#define TFT_RST PA2

Zwróć uwagę, że przykład testu graficznego wykonuje się bardzo szybko ze względu na lepszą wydajność STM32 w porównaniu z tradycyjnym mikrokontrolerem Arduino AVR.

Krok 12: Wejście matrycy klawiatury

Podłącz klawiaturę matrycy 4x4, jak pokazano i załaduj załączony szkic TFT_Keypad. Ten przykład odczytuje klawiaturę i wyświetla klawisz na ekranie. Zauważ, że ten prosty przykład odczytu klawiatury jest blokujący, ponieważ używał funkcji delay(). Można to poprawić, przełączając się na model odpytywania lub oparty na przerwaniach.

Montaż klawiatury i wyświetlacza TFT wraz z czarną pigułką na płytce stykowej bez lutowania lub zielonej płytce prototypowej tworzy ładną „platformę komputerową” z wejściem i wyświetlaczem.

Krok 13: Wyzwanie kodu maszynowego Enigma

Enigma Machines to elektromechaniczne maszyny szyfrujące z wirnikiem opracowane i używane od początku do połowy XX wieku. Zostały one przyjęte przez służby wojskowe i rządowe kilku krajów, w szczególności nazistowskich Niemiec. Siły zbrojne Niemiec wierzyły, że ich komunikacja zaszyfrowana Enigmą jest nie do przeniknięcia dla aliantów. Ale tysiące łamaczy kodów – pracujących w drewnianych chatach w brytyjskim Bletchley Park – miało inne pomysły.

Wyzwaniem w tym miesiącu jest przekształcenie „platformy obliczeniowej” w twoją własną maszynę Enigma.

Zaimplementowaliśmy już przykłady wejść klawiatury i wyjść wyświetlacza.

Oto kilka przykładów ustawień i obliczeń między wejściami i wyjściami:

ENIGMuino

Otwórz Enigmę

Symulator Arduino Enigma

Instruktaż od ST-Geotronics

Krok 14: Uwierzytelnianie dwuetapowe - klucz bezpieczeństwa U2F Zero

Uwierzytelnianie dwuskładnikowe (znane również jako 2FA) to metoda potwierdzania deklarowanej tożsamości użytkownika poprzez wykorzystanie kombinacji dwóch różnych czynników: 1) czegoś, co znają, 2) czegoś, co posiada, lub 3) czegoś, czym są. Dobrym przykładem uwierzytelniania dwuskładnikowego jest wypłata pieniędzy z bankomatu, gdzie tylko prawidłowa kombinacja karty bankowej (coś, co użytkownik posiada) i PIN (coś, co użytkownik zna) pozwala na przeprowadzenie transakcji.

Universal 2nd Factor (U2F) to otwarty standard uwierzytelniania, który wzmacnia i upraszcza uwierzytelnianie dwuskładnikowe przy użyciu wyspecjalizowanych urządzeń USB lub NFC opartych na podobnej technologii zabezpieczeń stosowanej w kartach inteligentnych. Klucze bezpieczeństwa U2F są obsługiwane przez Google Chrome od wersji 38 i Operę od wersji 40. Klucze bezpieczeństwa U2F mogą być używane jako dodatkowa metoda weryfikacji dwuetapowej w serwisach internetowych obsługujących protokół U2F, m.in. Google, Dropbox, GitHub, GitLab, Bitbucket, Nextcloud, Facebook i inne.

U2F Zero to token U2F typu open source do uwierzytelniania dwuskładnikowego. Zawiera koprocesor kryptograficzny Microchip ATECC508A, który obsługuje:

• Bezpieczne przechowywanie kluczy oparte na sprzęcie
• Algorytmy szybkiego klucza publicznego (PKI)
• ECDSA: FIPS186-3 Algorytm podpisu cyfrowego z krzywą eliptyczną
• ECDH: FIPS SP800-56A Krzywa eliptyczna Algorytm Diffiego-Hellmana
• Obsługa krzywej eliptycznej NIST Standard P256
• Algorytm skrótu SHA-256 z opcją HMAC
• Przechowywanie do 16 kluczy - długość klucza 256-bitowego
• Unikalny 72-bitowy numer seryjny
• Generator liczb losowych FIPS (RNG)

Krok 15: Zestaw wyzwań lutowania

Jeśli masz ochotę na poważne wyzwanie lutowania, możesz zbudować własny klucz U2F Zero.

Zestaw do lutowania zerowego U2F:

• U2F Zero Token PCB
• Mikrokontroler rdzeniowy 8051 (E0) EFM8UB11F16G
• Bezpieczny element (A1) ATECC508A
• Dioda LED stanu (RGB1) 0603 Wspólna anoda
• Dioda ochronna Zenera ESD (Z1) SOT553
• Rezystor 100 Ohm (R1) 0603
• Kondensator obejściowy 4,7 uF (C4) 0603
• Kondensator bocznikujący 0,1 uF (C3) 0403
• Chwilowy przycisk dotykowy (SW1)
• Brelok z dzielonym pierścieniem

Zauważ, że są dwa komponenty o rozmiarze 0603. Wyglądają dość podobnie, ale uważne badanie ujawni, że R1 jest czarny, a C4 jest podpalany. Należy również zauważyć, że E0, A1 i RGB1 mają wymagane orientacje, jak wskazano na sitodruku PCB.

U2F Zero Wiki pokazuje szczegóły programowania mikrokontrolera.

WYZWANIE UWAGA: Każdy HackerBox #0027 zawiera dwa zestawy Soldering Challenge dokładnie dlatego, że lutowanie jest bardzo trudne i zdarzają się wypadki. Nie denerwuj się. Używaj dużego powiększenia, pęsety, dobrego żelazka, topnika lutowniczego i poruszaj się bardzo powoli i ostrożnie. Jeśli nie możesz z powodzeniem zlutować tego zestawu, na pewno nie jesteś sam. Nawet jeśli nigdy nie działa, jest to dobra praktyka lutowania na różnych pakietach SMT.

Możesz sprawdzić ten odcinek programu Ben Heck Show na temat lutowania powierzchniowego.

Krok 16: ZHAKUJ PLANETĘ

Jeśli podobał Ci się ten Instrucable i chciałbyś, aby pudełko z projektami elektronicznymi i komputerowymi takimi jak ten dostarczane było co miesiąc prosto do Twojej skrzynki pocztowej, dołącz do rewolucji HackerBox, SUBSKRYBUJĄC TUTAJ.

Sięgnij po swój sukces i podziel się nim w komentarzach poniżej lub na stronie HackerBoxes na Facebooku. Daj nam znać, jeśli masz jakieś pytania lub potrzebujesz pomocy. Dziękujemy za bycie częścią HackerBoxes. Prosimy o nadsyłanie swoich sugestii i opinii. HackerBox to TWOJE pudełka. Zróbmy coś wspaniałego!