Vitalik新文:后深度伪造时代下如何保证信息安全?
원래 제목: 보안 질문하기
원작자: 비탈릭
원곡: Luccy, BlockBeats
편집자 주: 2월 4일, 한 다국적 기업의 재무 담당자가 화상 회의 통화 중 2,500만 달러를 사기당했습니다. 사기꾼은 딥페이크 기술을 사용하여 회사의 최고 재무 책임자를 사칭했습니다. 해당 직원은 영국에 본사를 둔 회사의 최고재무책임자(CFO)로부터 비밀 거래가 필요하다는 내용의 메시지를 받은 후 처음에는 피싱 이메일을 의심했습니다. 그러나 영상통화 이후 이 직원은 참석한 다른 사람들이 자신이 아는 동료들과 똑같이 보이고 들리자 처음의 불안감을 접어두었지만 실제로는 모두 딥페이크 엔터테인먼트 제품이었습니다.
이와 관련하여 Vitalik은 암호화가 모든 문제를 해결하지는 못한다고 믿으며 인간이 자연스럽게 기억하는 정보 기반을 활용하고 보안 질문을 설정하는 것이 다른 보호 계층과 더불어 작업 흐름에 통합할 가치가 있다고 지적합니다. 그러나 그는 또한 보안 문제가 유용하지만 아직 충분히 인도적이지 않다고 말했습니다. BlockBeats는 다음과 같이 원본 텍스트를 컴파일합니다.
피드백과 검토를 해주신 Hudson Jameson, OfficerCIA 및 samczsun에게 특별히 감사드립니다.
지난주에 기사가 하나 나왔는데기사매우 현실적인 딥페이크 영상 통화를 통해 재무 직원이 CFO로 가장한 사기꾼에게 돈을 보내도록 속인 후 2,500만 달러의 손실을 입은 회사에 대한 이야기가 돌고 있습니다.
최근 딥페이크(인공 지능이 생성한 가짜 오디오 및 비디오)가 암호화폐 공간과 그 너머에서 점점 더 자주 등장하고 있습니다. 지난 몇 달 동안 내 딥페이크 동영상은 다양한 사기와 Dogecoin을 유포하는 데 사용되었습니다. 딥페이크의 품질은 빠르게 향상되고 있으며, 2020년의 딥페이크 동영상은 꽤 나빴지만 최근 몇 달 동안 구별하기가 점점 어려워졌습니다. 저를 잘 아시는 분들은 제가 도지코인을 파는 영상이 가짜라는 걸 아직도 알 수 있을 겁니다. 제가 영상에서 X발 쑤셔넣자라고 말하고 있고, LFG는 그룹을 찾는다는 뜻으로만 사용하고 있기 때문입니다. 하지만 내 목소리를 몇 번만 들어본 사람들은 쉽게 속을 수도 있다.
보안 전문가들에게 위에서 언급한 2,500만 달러의 절도에 대해 언급했는데, 그들은 모두 이것이 여러 수준에서 기업 운영 보안의 비정상적이고 당혹스러운 실패였으며 표준 관행은 이체를 승인하기 전에 100% 이상의 자금을 요구한다는 데 동의했습니다. 해당 금액에 가까운 서명 수준.그러나 2024년 현재 개인의 오디오나 비디오 스트리밍은 더 이상 신원을 확인하는 안전한 방법이 아니라는 사실은 여전히 남아 있습니다.
이는 다음과 같은 질문을 던집니다. 안전한 인증 방법은 무엇입니까?
암호화 방법만으로는 문제가 해결되지 않습니다.
사람들의 신원을 안전하게 확인할 수 있다는 것은 모든 상황에서 모든 사람들에게 중요합니다.개인은 자신의 상태를 회복해야 합니다.다중 서명 또는 사회 복구 지갑, 기업은 비즈니스 거래에 대한 승인이 필요하고, 개인은 암호화폐나 명목화폐를 사용하는지 여부에 관계없이 개인 용도의 대규모 거래(예: 창업 투자, 주택 구입, 송금 보내기) 또는 가족 구성원이 서로 통신해야 하는 경우 승인이 필요합니다. 기타 긴급 확인. 따라서 다가오는 딥페이크 영상 시대에 대처할 수 있는 좋은 솔루션이 필요합니다.
암호화폐 업계에서 제가 자주 듣는 이 질문에 대한 대답 중 하나는 ENS/인간 증명 프로필/공개 PGP 키 주소의 암호화 서명을 제공하여 자신을 인증할 수 있습니다.입니다. 대답은 매혹적입니다. 그러나 거래에 서명할 때 다른 사람을 참여시키는 것이 왜 유용한지 완전히 무시합니다. 개인 다중 서명 지갑을 사용하는 개인 사용자를 대표하고 여러 공동 서명자의 승인이 필요한 거래를 보내고 있다고 가정해 보겠습니다. 어떤 상황에서 승인이 될까요? 그들이 당신이 실제로 전송을 원하는 사람이라고 확신할 때. 거래자가 귀하의 키를 훔친 해커이거나 납치범이라고 판단되면 거래를 승인하지 않습니다. 기업 환경에는 더 많은 방어 계층이 있는 경우가 많지만, 그럼에도 불구하고 공격자는 최종 요청뿐만 아니라 승인 프로세스 초기에도 관리자를 사칭할 수 있습니다. 잘못된 주소를 제공하여 진행 중인 합법적인 요청을 가로챌 수도 있습니다.
그러므로 많은 경우에,다른 서명자가 당신은 당신입니다를 확인하기 위해 귀하의 키로 서명하는 것을 수락하면 전체 목적이 무산됩니다. 이는 전체 계약을 단일 키만 제어해야 하는 1대1 다중 서명으로 전환합니다. 자금을 훔칠 수 있습니다!
이것은 실제로 의미가 있는 우리가 생각해낸 답변입니다.보안 질문.
보안 질문
어떤 사람이 당신의 친구 누구누구라고 주장하면서 당신에게 문자 메시지를 보냈다고 가정해 보십시오. 그들은 한 번도 본 적 없는 계정에서 문자를 보내며, 자신의 기기를 모두 잃어버렸다고 주장합니다. 그들이 실제 사람인지 어떻게 판단하나요?
분명한 대답이 있습니다. 자신만이 알 수 있는 다음과 관련된 사항을 물어보십시오.
알잖아
당신이 그들이 기억하기를 기대하는 것
인터넷이 모르는 것
추측하기 어렵다
이상적으로는 기업 및 정부 데이터베이스를 손상시킨 사람들도 이에 대해 알지 못할 것입니다.
다음과 같은 공유된 경험에 대해 자유롭게 질문하세요.
지난번 만났을 때 어느 식당에서 저녁을 먹었고, 무엇을 먹었나요?
우리 친구 중 고대 정치가에 대해 농담을 한 사람은 누구입니까? 어떤 정치인인가요?
우리가 최근에 본 영화가 마음에 들지 않았나요?
지난주에 XXX에 대한 우리 연구에 도움이 될 수 있는지 알아보기 위해 누구누구와 이야기를 나누자고 제안하셨나요?
누군가가 내 신원을 확인하는 데 사용한 보안 질문의 최근 실제 사례
질문이 독특할수록 좋습니다. 사람들이 몇 초 동안 생각해야 하고 답을 잊어버릴 수도 있는 바로 그 가장자리에 있는 질문이 가장 좋습니다. 그러나 질문하는 사람이 잊어버렸다고 주장하는 경우 세 가지 질문을 더 물어보세요. 미시적 세부 사항(누군가가 좋아하거나 싫어하는 것, 특정 농담 등)을 묻는 것이 거시적 세부 사항을 요청하는 것보다 더 나은 경우가 많습니다. 전자는 일반적으로 제3자가 실수로 알아내기가 더 어렵기 때문입니다. 한 명 Instagram에 저녁 식사 사진을 게시하면 현대 LLM이 해당 사진을 신속하게 캡처하고 실시간으로 위치를 제공할 수 있습니다. 귀하의 질문이 추측될 가능성이 있는 경우, 즉 가능한 합리적인 옵션이 몇 가지만 있는 경우 다른 질문을 추가하여 엔트로피를 높이십시오.
사람들은 보안 질문이 지루해지면 보안 관행에 참여하지 않는 경우가 많으므로 보안 질문을 흥미롭게 만드세요. 이는 긍정적인 공유 경험을 기억하는 방법이 될 수 있으며 실제로 그러한 경험을 하도록 동기를 부여할 수 있습니다.
보안 문제가 추가됨
단일 보안 전략은 완벽하지 않으므로 항상 여러 기술을 함께 결합하는 것이 가장 좋습니다.
사전 동의된 비밀번호: 함께 있을 때, 향후 서로 인증할 때 사용할 수 있도록 공통 비밀번호를 의도적으로 동의합니다.
패닉 버튼에 동의할 수도 있습니다. 즉, 자신이 강압적이거나 위협을 받고 있음을 다른 사람에게 암시하기 위해 실수로 문장에 삽입할 수 있는 단어입니다. 그 단어는 사용할 때 자연스럽게 느껴질 만큼 흔해야 하지만, 실수로 말에 삽입하지 않을 만큼 드물어야 합니다.
누군가가 귀하에게 ETH 주소를 보내면 여러 채널(예: Signal 및 Twitter의 비공개 메시지, 회사 웹사이트 또는 지인을 통해)을 통해 주소를 확인하도록 요청하세요.
중간자 공격 방지: Signal의 안전 번호, Telegram의 이모티콘 및 유사한 기능은 이해하고 경계할 가치가 있습니다.
일일 한도 및 지연: 매우 중요하고 되돌릴 수 없는 작업에 지연을 부과하기만 하면 됩니다. 이는 정책 수준(서명하기 전에 N 시간 또는 며칠을 기다리도록 서명자와 사전 동의) 또는 코드 수준(스마트 계약 코드에 제한 및 지연 부과)에서 수행할 수 있습니다.
잠재적으로 발전된 공격은 공격자가 승인 프로세스의 여러 단계에서 임원 및 수혜자를 가장하는 것입니다. 보안 문제와 지연 모두 이를 방지할 수 있으므로 둘 다 사용하는 것이 가장 좋습니다.
보안 질문은 다른 많은 기술과 달리 비우호적이어서가 아니라 충분히 사용자 친화적이지 않기 때문에 실패하기 때문에 유용합니다. 보안 문제는 인간이 선천적으로 기억하는 데 능숙한 정보를 기반으로 합니다. 저는 수년 동안 보안 질문을 사용해 왔으며 이는 실제로 다른 보호 계층 외에도 작업 흐름에 통합할 가치가 있는 매우 자연스럽고 어색하지 않은 습관입니다.
위에 설명된 개인 대 개인 보안 문제는 기업 대 개인 보안 문제와는 매우 다른 사용 사례입니다. 예를 들어 다른 곳으로 여행을 갔기 때문에 신용 카드를 여러 번 비활성화한 후 전화를 거는 경우가 있습니다. 신용 카드를 재활성화하기 위해 은행에 가서 음악이 들릴 때까지 40분 동안 줄을 서면 은행 직원이 나타나서 귀하의 이름, 생일 및 최근 3번의 거래 내역을 묻습니다. 개인이 답을 알고 있는 질문의 종류와 기업이 답을 알고 있는 질문의 종류는 매우 다릅니다. 그러므로 이 두 가지 경우를 별도로 고려해 볼 가치가 있다.
모든 사람의 상황은 저마다 다르기 때문에 신원 확인이 필요한 사람과 공유하는 고유 정보의 종류도 다양합니다. 사람들을 기술에 적응시키는 것보다 사람들의 상황에 기술을 적응시키는 것이 더 나은 경우가 많습니다. 기술이 완벽할 필요는 없습니다. 이상적인 접근 방식은 여러 기술을 동시에 결합하여 가장 적합한 기술을 선택하는 것입니다. 포스트 딥페이크 시대에 우리는 현재 가짜하기 쉬운 것과 여전히 가짜하기 어려운 새로운 현실에 적응하기 위해 전략을 조정해야 합니다. 하지만 그렇게 하는 한 안전을 유지하는 것은 여전히 전적으로 가능합니다. .
