목시 말린스피크

Moxie Marlinspike
목시 말린스피크
Moxie Marlinspike TC.jpg
2017년 말린스피크
태어난1980년대[1] 초반
미국 조지아 주
로 알려져 있다
과학 경력
필드암호화
컴퓨터 보안
소프트웨어 아키텍처
웹 사이트moxie.org Edit this at Wikidata

Moxie Marlinspike는 미국의 기업가, 암호학자, 컴퓨터 보안 [1][2]연구자입니다.Marlinspike는 Signal Technology Foundation의 공동 설립자이자 Signal Messenger LLC의 초대 CEO를 역임했습니다.또한 Signal, WhatsApp,[3] Google Messages,[4] Facebook [5]Messenger [6]Skype에서 사용되는 Signal Protocol 암호화의 공동 저자이기도 합니다.

Marlinspike는 Twitter 보안팀장[7] 지냈으며 [8]Convergence라고 불리는 SSL 인증 시스템 대체 제안의 저자입니다.그는 이전에 클라우드 기반의 WPA [10]크래킹[9] 서비스와 GoogleSharing이라고 불리는 표적 익명 서비스를 유지했습니다.

직업

원래 [3]조지아 주에서 온 Marlinspike는 1990년대 후반 [1][11]18세의 나이로 샌프란시스코로 이사했다.그 후 엔터프라이즈 인프라 소프트웨어 제조업체인 BEA Systems Inc.[3][11]를 비롯한 여러 기술 회사에서 근무했습니다.2004년, 말린스피크는 버려진 범선을 구입했고, 세 명의 친구들과 함께 그것을 개조하고, 그들의 여행에 대한 "홀드 패스트"[1][3][11]라고 불리는 비디오를 만들면서 바하마 주변을 항해했다.

2010년 Marlinspike는 엔터프라이즈 모바일 보안 스타트업 회사인 Whisper [12]Systems의 최고 기술 책임자 겸 공동 설립자입니다.2010년 5월 위스퍼 시스템즈는 TextSecure와 RedPhone출시했습니다.이들은 각각 엔드엔드의 암호화된 SMS 메시지와 음성 통화를 제공하는 애플리케이션입니다.트위터는 2011년 [13]말에 공개되지 않은 금액에 회사를 인수했다.이번 인수는 "당초 말린스파이크씨가 당시 신생기업의 보안 개선을 돕기 위해 이루어졌다"[11]고 말했다.그가 Twitter의 사이버 [14]보안 책임자로 있는 동안, 이 회사는 Whisper Systems의 앱을 오픈 [15][16]소스로 만들었습니다.

Marlinspike는 2013년 초 Twitter를 떠나 [17][18][19]TextSecure와 RedPhone의 지속적인 개발을 위한 공동 오픈 소스 프로젝트로 Open Whisper Systems를 설립했습니다.당시 Marlinspike와 Trevor Perrin은 Signal Protocol을 개발하기 시작했습니다. 프로토콜의 초기 버전은 2014년 [20]2월에 TextSecure 앱에 처음 소개되었습니다.2015년 11월 Open Whisper Systems는 TextSecure 및 RedPhone 애플리케이션을 [21]Signal로 통합했습니다.Marlinspike는 2014년부터 2016년까지 WhatsApp, Facebook 및 Google협력하여 Signal Protocol을 메시징 [22][23][24]서비스에 통합했습니다.

2018년 2월 21일 Marlinspike와 WhatsApp의 공동 설립자인 Brian Acton은 Signal Technology Foundation과 그 자회사인 Signal Messenger [25][1]LLC의 설립을 발표했습니다.Marlinspike는 2022년 [26]1월 10일 사임할 때까지 Signal Messenger의 초대 CEO를 역임했습니다.

조사.

SSL 스트리핑

Marlinspike는 2009년 논문에서 SSL 스트리핑 개념을 도입했습니다.이것은 네트워크 공격자가 사용자가 눈치채지 못할 가능성이 높은 방법으로 웹 브라우저를 SSL 접속으로 업그레이드하는 것을 방지할 수 있는 중간자 공격입니다.그는 또한 도구의 출시를 발표했습니다.sslstrip이러한 유형의 man-in-the-middle [28][29]공격이 자동으로 실행됩니다.[27]HTTP Strict Transport Security(HSTS) 사양은 이후 이러한 [citation needed]공격에 대응하기 위해 개발되었습니다.

SSL 실장 공격

Marlinspike는 일반적인 SSL 구현에서 여러 가지 다른 취약성을 발견했습니다.특히, 그는 공개 키 증명서 체인 X.509 v3 "Basic Constraints" 확장을 올바르게 검증하지 않은 SSL/TLS 구현의 이용에 관한 2002년[30] 논문을 발표했습니다.이것에 의해, 임의의 도메인명에 대해서 유효한 CA 서명이 끝난 증명서를 가지는 모든 유저는, 다른 도메인에 대해서 유효한 CA 서명이 끝난 증명서를 작성할 수 있게 되었습니다.취약한 SSL/TLS 구현에는 Microsoft CryptoAPI가 포함되어 있어 Internet Explorer 및 SSL/TLS 연결에 의존하는 다른 모든 Windows 소프트웨어가 중간자 공격에 취약합니다.2011년에는 Apple Inc.[31][32] iOS의 SSL/TLS 구현에서도 동일한 취약성이 남아 있는 것이 발견되었습니다.또한 Marlinspike는 SSL 증명서에 대한 늘 프리픽스 공격의 개념을 소개한 2009년[33] 논문을 발표했습니다.그는 모든 주요 SSL 구현이 증명서의 Common Name 값을 올바르게 검증하지 못했기 때문에 CN [34][35]필드에 늘 문자를 삽입함으로써 위조 증명서를 받아들이도록 속일 수 있음을 밝혀냈습니다.

CA 문제의 해결 방법

2011년 Marlinspike는 라스베이거스에서 열린 Black Hat 보안 회의에서 "SSL And The Future Of Authenticity"[36]라는 강연을 했습니다.그는 인증 기관과 관련된 많은 문제점들의 개요를 설명하고 이를 [37][38]대체할 Convergence라는 소프트웨어 프로젝트의 출시를 발표했다.Marlinspike와 Perrin은 2012년에 [39]TACK의 인터넷 초안을 제출했습니다.이것은 SSL 증명서 핀 접속을 제공하고 CA 문제를 해결하는 것을 목적으로 하고 있습니다.이것은 인터넷 기술 태스크 [40]포스에 제출되었습니다.

MS-CHAPv2의 균열

2012년 Marlinspike와 David Hulton은 MS-CHAPv2 핸드쉐이크의 보안을 단일 DES 암호화로 줄일 수 있는 연구를 발표했습니다.Hulton은 나머지 DES 암호화를 24시간 이내에 해독할 수 있는 하드웨어를 구축하여 누구나 인터넷 [41]서비스로 사용할 수 있도록 하였습니다.

감시 논란

2013년 Marlinspike는 자신의 블로그에 사우디아라비아의 통신 서비스 Mobily에서 다양한 애플리케이션을 통해 실행되는 통신을 차단하는 등 고객을 감시하는 데 도움을 요청하는 이메일을 게시했습니다.Marlinspike는 도움을 거절하고 대신 이메일을 공개했습니다.모빌리는 혐의를 부인했다."우리는 해커들과 절대 소통하지 않습니다,"라고 회사는 말했다.[42]

여행

Marlinspike는 미국 내에서 비행기를 탈 때는 자신의 탑승권을 인쇄할 수 없으며, 항공권 발행 대리인에게 전화를 걸도록 요구되며, TSA 보안 [43]검색대에서 2차 심사를 받아야 한다고 말합니다.

2010년 도미니카공화국에서 비행기를 타고 미국에 입국하던 중 말린스피크는 연방요원에 의해 5시간 가까이 구금됐고 그의 전자기기들은 모두 압수됐다.처음 요원들은 그가 암호를 해독할 수 있도록 암호를 제공해야만 돌려받을 수 있다고 주장했다.Marlinspike는 이 처리를 거부했고, 디바이스는 결국 반환되었습니다.그러나 그는 "하드웨어를 수정하거나 [44]새로운 키보드 펌웨어를 설치할 수 있었습니다."라고 말하며 디바이스를 더 이상 신뢰할 수 없게 되었습니다.

강연 약속

  • DEF CON 17: [45]"SSL을 물리치기 위한 추가 트릭"
  • DEF CON 18 및 Black Hat 2010: "위협을 [46]사생활로 변경"
  • DEF CON 19 및 Black Hat 2011: "SSL과 [47]인증의 미래"
  • DEF CON 20: "MS-CHAPv2를 [48]사용한PPTP VPN 및 WPA2의 격퇴"
  • Webstock '15: "개인 커뮤니케이션을 심플하게"[49]
  • 36C3: "생태계가 [50]움직이고 있다"

인식

  • 2013년과 2014년, Shuttleworth Foundation은 Marlinspike에게 오픈 위스퍼 [51]시스템에 총 $289,487.18의 자금을 제공했습니다.
  • 2016년 Fortune지는 오픈 위스퍼 시스템의 설립자이자 전 [52]세계 10억 명 이상의 통신을 암호화한 공로를 인정받아 Marlinspike를 40세 미만 중 한 명으로 선정했습니다.와이어드는 또한 말린스피크를 [53]"비즈니스의 미래를 창조하는 25명의 천재들" 중 한 명으로 "Next List 2016"에 이름을 올렸다.
  • 2017년 Marlinspike와 Perrin은 "시그널 [54][55]프로토콜의 개발과 광범위한 배포"로 Real World Cryptography 부문에서 Levchin 상을 받았습니다.

레퍼런스

  1. ^ a b c d e Wiener, Anna (October 19, 2020). "Taking Back Our Privacy : Moxie Marlinspike, the founder of the end-to-end encrypted messaging service Signal, is "trying to bring normality to the Internet."". The New Yorker. Retrieved October 27, 2020.
  2. ^ Rosenblum, Andrew (April 26, 2016). "Moxie Marlinspike Makes Encryption for Everyone". Popular Science. Bonnier Corporation. Retrieved July 9, 2016.
  3. ^ a b c d Greenberg, Andy (July 31, 2016). "Meet Moxie Marlinspike, the Anarchist Bringing Encryption to All of Us". Wired. Condé Nast. Retrieved July 31, 2016.
  4. ^ Amadeo, Ron (June 16, 2021). "Google enables end-to-end encryption for Android's default SMS/RCS app". Ars Technica. Retrieved March 3, 2022.
  5. ^ Greenberg, Andy (October 4, 2016). "You can finally encrypt Facebook Messenger, so do it". Wired.
  6. ^ Newman, Lily Hay (January 11, 2018). "Skype Finally Starts Rolling Out End-to-End Encryption". Wired.
  7. ^ Hern, Alex (October 17, 2014). "Twitter's former security head condemns Whisper's privacy flaws". The Guardian. Retrieved January 22, 2015.
  8. ^ Messmer, Ellen (October 12, 2011). "The SSL certificate industry can and should be replaced". Network World. IDG. Archived from the original on March 1, 2014. Retrieved September 25, 2016.
  9. ^ "New Cloud-Based Service Steals Wi-fi Passwords". PC World. Archived from the original on April 20, 2012. Retrieved December 9, 2013.
  10. ^ "A Better Way To Hide From Google". Forbes. November 25, 2013. Archived from the original on October 12, 2013. Retrieved December 9, 2013.
  11. ^ a b c d Yadron, Danny (July 9, 2015). "Moxie Marlinspike: The Coder Who Encrypted Your Texts". The Wall Street Journal. Archived from the original on July 10, 2015. Retrieved September 27, 2016.
  12. ^ Mills, Elinor (March 15, 2011). "CNet: WhisperCore App Encrypts All Data For Android". News.cnet.com. Retrieved December 9, 2013.
  13. ^ "Twitter Acquires Moxie Marlinspike's Encryption Startup Whisper Systems". Forbes. Retrieved October 4, 2013.
  14. ^ Powers, Shawn M.; Jablonski, Michael (February 2015). The Real Cyber War: The Political Economy of Internet Freedom. University of Illinois Press. p. 198. ISBN 978-0-252-09710-2. JSTOR 10.5406/j.ctt130jtjf.
  15. ^ Chris Aniszczyk (December 20, 2011). "The Whispers Are True". The Twitter Developer Blog. Twitter. Archived from the original on October 24, 2014. Retrieved January 22, 2015.
  16. ^ "RedPhone is now Open Source!". Whisper Systems. July 18, 2012. Archived from the original on July 31, 2012. Retrieved January 22, 2015.
  17. ^ Yadron, Danny (July 10, 2015). "What Moxie Marlinspike Did at Twitter". Digits. The Wall Street Journal. Archived from the original on March 18, 2016. Retrieved September 27, 2016.
  18. ^ Andy Greenberg (July 29, 2014). "Your iPhone Can Finally Make Free, Encrypted Calls". Wired. Retrieved January 18, 2015.
  19. ^ "A New Home". Open Whisper Systems. January 21, 2013. Retrieved July 11, 2015.
  20. ^ Donohue, Brian (February 24, 2014). "TextSecure Sheds SMS in Latest Version". Threatpost. Retrieved July 14, 2016.
  21. ^ Greenberg, Andy (November 2, 2015). "Signal, the Snowden-Approved Crypto App, Comes to Android". Wired. Condé Nast. Retrieved November 24, 2015.
  22. ^ Metz, Cade (April 5, 2016). "Forget Apple vs. the FBI: WhatsApp Just Switched on Encryption for a Billion People". Wired. Condé Nast. Retrieved August 2, 2016.
  23. ^ Greenberg, Andy (July 8, 2016). "'Secret Conversations:' End-to-End Encryption Comes to Facebook Messenger". Wired. Condé Nast. Retrieved September 24, 2016.
  24. ^ Greenberg, Andy (May 18, 2016). "With Allo and Duo, Google Finally Encrypts Conversations End-to-End". Wired. Condé Nast. Retrieved September 24, 2016.
  25. ^ Marlinspike, Moxie; Acton, Brian (February 21, 2018). "Signal Foundation". Signal.org. Retrieved February 21, 2018.
  26. ^ Marlinspike, Moxie (January 10, 2022). "New year, new CEO". signal.org. Signal Messenger. Retrieved January 10, 2022.
  27. ^ "sslstrip". Thoughtcrime.org. Retrieved December 9, 2013.
  28. ^ Greenberg, Andy (February 18, 2009). "Breaking Your Browser's Padlock". Forbes. Archived from the original on February 27, 2014.
  29. ^ Kelly Jackson Higgins February 24, 2009 (February 24, 2009). "SSLStrip Hacking Tool Released". Darkreading.com. Retrieved December 9, 2013.
  30. ^ "BasicConstraints Vulnerability". Retrieved December 9, 2013.
  31. ^ Apple iOS의 버그가 광고보다 심각하다/
  32. ^ "iPhone data interception tool released". Scmagazine.com.au. July 27, 2011. Archived from the original on December 14, 2013. Retrieved December 9, 2013.
  33. ^ "More New Tricks For Defeating SSL In Practice". Youtube.com. January 15, 2011. Archived from the original on December 21, 2021. Retrieved December 9, 2013.
  34. ^ Zetter, Kim (July 30, 2009). "Vulnerabilities Allow Attackers To Impersonate Any Website". Wired.com. Retrieved December 9, 2013.
  35. ^ Goodin, Dan (July 30, 2009). "Wildcard certificate spoofs web authentication". Theregister.co.uk. Retrieved December 9, 2013.
  36. ^ "SSL And The Future Of Authenticity". Youtube.com. August 18, 2011. Archived from the original on December 21, 2021. Retrieved December 9, 2013.
  37. ^ "New SSL Alternative". Informationweek.com. Archived from the original on October 1, 2011. Retrieved December 9, 2013.
  38. ^ "Future of SSL in doubt?". Infosecurity-magazine.com. August 9, 2011. Retrieved December 9, 2013.
  39. ^ "Trust Assertions For Certificate Keys". Tack.io. Retrieved December 9, 2013.
  40. ^ Goodin, Dan (May 23, 2012). "SSL fix flags forged certificates". Arstechnica.com. Retrieved December 9, 2013.
  41. ^ "New Tool From Moxie Marlinspike Cracks Some Crypto Passwords". threatpost. August 19, 2012. Archived from the original on August 19, 2012.{{cite web}}: CS1 maint: bot: 원래 URL 상태를 알 수 없습니다(링크).
  42. ^ Smith, Matt (May 15, 2013). "Saudi's Mobily denies asking for help to spy on customers". Reuters. Retrieved February 21, 2018.
  43. ^ Mills, Elinor (November 18, 2010). "Security researcher: I keep getting detained by feds". CNET. Retrieved June 19, 2019.
  44. ^ Zetter, Kim (November 18, 2010). "Another Hacker's Laptop, Cellphones Searched At Border". Wired.com. Retrieved June 19, 2019.
  45. ^ "DEF CON 17 - Moxie Marlinspike - More Tricks for Defeating SSL". YouTube. DEF CON. Archived from the original on December 21, 2021. Retrieved January 22, 2015.
  46. ^ "DEF CON 18 - Moxie Marlinspike - Changing Threats To Privacy: From TIA to Google". YouTube. DEF CON. Archived from the original on December 21, 2021. Retrieved January 22, 2015.
  47. ^ "DEF CON 19 - Moxie Marlinspike - SSL And The Future Of Authenticity". YouTube. DEF CON. Archived from the original on December 21, 2021. Retrieved January 22, 2015.
  48. ^ "DEF CON 20 - Marlinspike Hulton and Ray - Defeating PPTP VPNs and WPA2 Enterprise with MS-CHAPv2". YouTube. DEF CON. Archived from the original on December 21, 2021. Retrieved January 22, 2015.
  49. ^ "Webstock '15: Moxie Marlinspike - Making private communication simple". Vimeo. Webstock. April 13, 2015. Retrieved April 22, 2015.
  50. ^ "36C3 - The ecosystem is moving". media.ccc.de. 36C3. Retrieved January 6, 2020.
  51. ^ "Moxie Marlinspike". Shuttleworth Foundation. n.d. Archived from the original on November 15, 2016. Retrieved September 25, 2016.
  52. ^ "Moxie Marlinspike - 40 under 40". Fortune. Time Inc. 2016. Retrieved September 22, 2016.
  53. ^ Staff, WIRED (April 26, 2016). "25 Geniuses Who Are Creating the Future of Business". Wired. ISSN 1059-1028. Retrieved March 19, 2020.
  54. ^ "The Levchin Prize for Real World Cryptography". RealWorldCrypto.
  55. ^ Levchin, Max (January 4, 2017). "2017 Levchin Prize for Real World Cryptography". Yahoo! Finance. Retrieved February 7, 2018.

외부 링크