Black Hat-deltagare: Sponsrad session var ‘Snake Oil Crypto’
LAS VEGAS — Säkerhetskonferensen i Black Hat är inte främmande för kontroverser, men det är vanligtvis begränsat till djärva hack eller uppvärmda debatter om integritet. I år drog en sponsrad session hån från deltagare som hävdar att det var lite mer än pseudovetenskap, och upproret fick Black Hat-arrangörerna att ta bort innehållet från webbplatsen.
Black Hat räknar ut sig själv som en ledande samling av säkerhetsforskare och industrin och erbjuder utbildningar och omfattande samtal om säkerhetsfrågor; Vi har skrivit om flera under den senaste veckan. Black Hat erbjuder också sponsrade sessioner. Det här är samtal som hålls av företag i säkerhetsbranschen – vanligtvis stora namn som RSA, AWS, Bitdefender och andra – och listas separat från de sessioner som presenteras av forskare.
Regelbundna sessioner på Black Hat måste samlas med organisationens granskningskommitté, men det verkar inte vara fallet för sponsrade sessioner.
Namnet på den sponsrade sessionen i fråga är ganska munfull: “The Discovery of Quasi-Prime Numbers 2019: What Does This Mean For Encryption?” Det presenterades av Robert E. Grant, och företaget noterades som Crown Sterling. Enligt Crown Sterling-webbplatsen är Grant “grundare, styrelseordförande och verkställande partner för Strathspey Crown LLC, ett tillväxtaktiebolag med säte i Newport Beach, Kalifornien med en bred portfölj av företags- och tillgångsinnehav som omfattar sjukvård, ren energi, social media och finansiell teknik. ” Webbplatsen noterar också att han är “en skicklig skulptör.”
Den här reportern kunde inte delta i sessionen, men om det är något som den här videon från Crown Sterlings YouTube-konto, är det verkligen mind-bending.
Denna reporter har inte heller en bakgrund inom avancerad matematik, men påståendena i videon är förvirrande.
En av publiken för Grants föredrag var Jean-Philippe Aumasson, som har en doktorsexamen. inom kryptografi och är grundaren av Teserakt.
Aumasson mötte Crown Sterling först när han såg ovanstående video för några veckor sedan. Efter att ha undersökt företagets webbplats beskrev han att den hade “alla tecken på” ormolja “-krypto: extravaganta påståenden, total brist på erfarenhet inom domänen, ingen teknisk dokumentation, ingen testbar programvara, inga referenser.”
“Innehållet i tidningen och de så kallade upptäckterna är antingen 1) uppenbara, välkända matematiska egenskaper som alla gymnasieelever lätt skulle kunna hitta, eller 2) helt felaktiga”, säger Aumasson. Till exempel berättade Aumasson för PCMag att under Black Hat-samtalet tog Grant kredit för en upptäckt som först tillskrevs den grekiska matematikern Eratosthenes.
Sammanfattningen för Grants sponsrade session nämner att hans “matematiska upptäckt nyligen publicerades genom Cornell University.” Ett pressmeddelande från Crown Sterling förtydligar att artikeln publicerades på arXiv.org, ett arkiv för akademiska artiklar som förvaltas av Cornell University. Papper om arXiv är inte peer-reviewed.
Senior säkerhetsforskare Mark Carney kom också över Grants tidning i april och var förbryllad. En doktorsexamen student skrev Carney upp ett kritiskt svar. Även om det inte är peer-reviewed, är Carney säker på sin analys. “Jag visste att om jag hade fel så var det mycket, mycket osannolikt att det skulle bero på att Grant hade rätt.”
Carney var djupt skeptisk till Grants påstående att ha revolutionerat faktureringsprocessen. “Att säga att du har en algoritm som dramatiskt påskyndar denna process är ett massivt påstående!” Carney berättade för PCMag. “Det är en sådan sak som professorer, postdoktorer och doktorander drömmer om.”
Med tanke på PCMag sa Carney att Grants arbete är “saknar någon noggrannhet som skulle höja den från numerologi.”
Tja, jag antydde ett utkast till förtryck av några argument som pekade på de stora problemen med Grants papper som han presenterar på @BlackHatEvents. Här är det utkastet:
Granska senaste Prime Generation-metoder för att bryta kryptografiska nycklarhttps: //t.co/LBohVHuEOK https://t.co/FjTHBioi0Y
– Mark C. (@LargeCardinal) 7 augusti 2019
Aumasson gav flera exempel på felaktiga uttalanden från Grant under den sponsrade sessionen. Till exempel sa Grant enligt uppgift att all kryptering baseras på faktorisering, medan Aumasson förklarade att faktorisering är “bara kärnproblemet med RSA [encryption]. “
Aumasson sa också att Grant hävdade att han hade en effektiv metod för att känna igen primtal, men verkade inte vara medveten om AKS primality-test, en accepterad algoritm för testning av primtal, när han frågades hur hans metod jämfördes. Grant frågades enligt uppgift också varför han inte har lämnat in sin metod för en akademisk konferens “Han svarade att han tror att han inte behöver”, säger Aumasson.
Grant sa också att elektroner är från det förflutna, positroner är från framtiden. “Så, för att sammanfatta, det är kryptos platta jordare,” sa Aumasson och hänvisade till människor som trots alla tillgängliga bevis tror att vår planet är platt.
Dan Guido, VD för Trail of Bits, deltog också vid Grants sponsrade session. I videon nedan kan han höras konfrontera Grant. Guido sa till PCMag att presentationen uppgick till “ordsoppa”.
“De lurar människor. De är här för att använda Black Hat för att lura folk att ge dem pengar”, sa Guido till PCMag. “Andra människor i publiken försökte resonera med dem, att matematiken inte stämmer, etc., men de bryr sig inte om det. Det är stötande och de borde inte få nytta av att använda våra namn och vårt evenemang. att begå bedrägeri.
“De är inte här för att prata med någon i en ärlig konversation. De måste jagas ut ur evenemanget och utsättas för vad de är.”
Jag skrek åt Time AI-killen. Det är ok att bli arg på någon som försöker skada människor. Jag blev chockad över att fler inte har gjort detsamma. https://t.co/Mwe7yrihgk
– Dan Guido (@dguido) 8 augusti 2019
“Jag vill att det lätt kan upptäckas på Google att detta företag är ett bedrägeri”, sa Guido till PCMag. “Jag hoppas också att Black Hat skärmar sina sponsorer för tydliga tecken på bedrägeri.”
Detta företag kommer att använda foton och video från @BlackHatEvents för att legitimera sig i flera månader. Blackhat bör utöva upphovsrätt över sin logotyp för att ta ner allt. https://t.co/GKrNIjoolZ
– Dan Guido (@dguido) 8 augusti 2019
Crown Sterling och Robert Grant svarade inte omedelbart på PCMags begäran om kommentarer.
Medan Aumasson ansåg att den sponsrade sessionen var utan rigorös, vetenskaplig merit, tror han inte att Black Hat-arrangörerna är skyldiga. “Det är olyckligt att få sådana clowner att få en mikrofon”, sa Aumasson. Han betonade att det inte är ovanligt att konferenser erbjuder tid till företag som sponsrar dem, och Black Hat markerade tydligt Grants talade som en sponsrad session.
“Jag klandrar inte [Black Hat] alls för det, och det är ett marginellt fall, så återigen inte säker på att de behöver vidta åtgärder, “sa han.” Och ja, det var ett gott skratt. “
Black Hat-arrangörerna sa till PCMag: “Vi är medvetna om situationen med Crown Sterling-samtalet och kommer att ta bort det från vår webbplats så snart som möjligt. Innehåll som diskuteras i Black Hat-sponsrade sessioner bestäms av den enskilda sponsorn, men vi arbetar att genomföra en starkare kontrollprocess framåt för att undvika att detta händer i framtiden. “
I skrivande stund har Crown Sterling-material tagits bort från Black Hat-webbplatsen.
