新颖的解决方案 以更好地保护互联网语音通

阿拉巴马大学伯明翰分校的研究人员开发出一种新方法,可以更好地保护加密电话免受窃听和其他形式的中间人攻击。

加密电话包括智能手机应用程序,移动设备,个人计算机或基于Web的互联网语音协议应用程序,这些应用程序使用端到端加密来确保只有用户和与之通信的人才能读取发送的内容。为了保护正在通信的内容,加密电话要求用户执行身份验证任务。

UAB艺术学院副教授Nitesh Saxena说:“研究表明,这些任务容易出现人为错误,使得这些VoIP应用程序和设备极易受到中间人攻击和窃听攻击。”科学系计算机科学系。

在11月份计算机与计算机协会计算机与通信安全会议上发表的一篇论文中,Saxena和Ph.D.学生Maliheh Shirvanian介绍隐藏式字幕加密电话,以解决当前部署的加密电话中的问题。

为了确保中间人攻击者不会干扰消息的传输,传统的加密电话依赖于用户口头通信并匹配每个用户设备上显示的称为校验和的密钥。用户必须验证宣布校验和的语音确实是他们希望与之通信的其他用户的语音。Closed Captioning Crypto Phones完全自动化校验和比较。

“隐藏式字幕加密手机通过利用语音转录从校验和比较过程中去除人体因素,”Saxena说。

当用户向另一个人宣布校验和时,CCCP自动转录口头代码并为用户执行代码或校验和比较。在一个旨在模仿现实生活中的VoIP呼叫的在线实验中,超过1100个包含4个字和8个字校验和的音频文件由各种人CCCP使用,消除了数据被人员拦截或捕获的机会。由于人为错误或点击任务并完成检测到不匹配的校验和而进行的中间攻击。

Saxena说:“我们的工作表明,通过自动化校验和比较,验证用户不必担心只需要执行一项验证任务.CCCP不仅可以消除人为错误,还可以利用更长的校验和,从而进一步增强安全性。”这也可能有助于提高人类用户对攻击者发现恶意语音模仿企图的认识。“

在一项分析以用户为中心的代码验证任务的安全性和可用性的研究中,Saxena,Shirvanian和合作者Jesvin James George发现,大多数端到端加密代码验证方法提供的安全性较差,用户体验评级较低。该研究发表于12月的2017年度计算机安全应用大会。

在受监控的实验室环境中,25名参与者被要求执行并报告QR,图像和数字代码验证的成功或失败,同时使用基于互联网的通信应用程序,Telegram,WhatsApp,Viber和Signal在近距离设置和远程设置。由于人为错误,远程验证设置下的安全性和可用性安全性明显低于近距离验证设置。