এই গবেষণাপত্রটি প্রত্যাশা এনট্রপি উপস্থাপন করে, যা এলোমেলো বা এলোমেলো-সদৃশ পাসওয়ার্ডের শক্তি অনুমান করার জন্য নকশাকৃত একটি অভিনব মেট্রিক। এর প্রেরণা এসেছে বিদ্যমান পাসওয়ার্ড শক্তি মূল্যায়ন সরঞ্জামগুলির একটি ব্যবহারিক ফাঁক থেকে। শাস্ত্রীয় কম্বিনেটরিক্স-ভিত্তিক সূত্রগুলি (যেমন, $\log_2(\text{অক্ষর স্থান}^{\text{দৈর্ঘ্য}})$) ফলাফল দেয় কয়েক ডজন বিটে, অন্যদিকে শিল্প-মান NIST এনট্রপি অনুমান স্যুট ০ থেকে ১ এর মধ্যে একটি স্বাভাবিককৃত সর্বনিম্ন-এনট্রপি স্কোর প্রদান করে। এই অসঙ্গতি সরাসরি তুলনা এবং স্বজ্ঞাত ব্যাখ্যাকে চ্যালেঞ্জিং করে তোলে। প্রত্যাশা এনট্রপি NIST-এর সরঞ্জামের মতো একই ০-১ স্কেলে একটি শক্তি অনুমান প্রদান করে এই ফাঁকটি পূরণ করে, যেখানে উদাহরণস্বরূপ, ০.৪ মান নির্দেশ করে যে আক্রমণকারীকে পাসওয়ার্ড খুঁজে পেতে মোট সম্ভাব্য অনুমানের কমপক্ষে ৪০% সম্পূর্ণভাবে অনুসন্ধান করতে হবে।
এই কাজটি "PHY2APP" প্রকল্পের প্রেক্ষাপটে স্থাপন করা হয়েছে, যা ফিজিক্যাল লেয়ার সিকিউরিটি পদ্ধতি ব্যবহার করে Wi-Fi ডিভাইস প্রোভিশনিং (ComPass প্রোটোকল) এর জন্য শক্তিশালী প্রতিসম পাসওয়ার্ড তৈরির উপর দৃষ্টি নিবদ্ধ করে, একটি শক্তিশালী, স্কেলযোগ্য শক্তি মেট্রিকের প্রয়োজনীয়তা তুলে ধরে।
এনট্রপি বিশৃঙ্খলা, এলোমেলোতা বা অনিশ্চয়তা পরিমাপ করে। পাসওয়ার্ড শক্তির জন্য বিভিন্ন সংজ্ঞা ভিন্নভাবে প্রযোজ্য।
সংজ্ঞায়িত করা হয় $H_{\infty} = -\log_2(\max(p_i))$ হিসাবে, যেখানে $p_i$ হল একটি উপাদানের সম্ভাব্যতা। এটি সবচেয়ে খারাপ পরিস্থিতি উপস্থাপন করে, সবচেয়ে সম্ভাব্য ফলাফল অনুমান করার কঠিনতা পরিমাপ করে। এটি NIST স্যুটের আউটপুটের ভিত্তি।
সংজ্ঞায়িত করা হয় $H_1 = -\sum_{i=1}^{N} p_i \log_2 p_i$ হিসাবে। এটি তথ্যের গড় পরিমাপ প্রদান করে কিন্তু পাসওয়ার্ড ক্র্যাকিং প্রেক্ষাপটে প্রকৃত অনুমান কঠিনতার সাথে সম্পর্কহীন হওয়ার জন্য সমালোচিত, কারণ এটি পাসওয়ার্ডের দৈর্ঘ্য এবং আক্রমণকারীর সর্বোত্তম কৌশলকে উপেক্ষা করে।
সংজ্ঞায়িত করা হয় $H_0 = \log_2 N$ হিসাবে, এটি শুধুমাত্র বন্টনের আকার (বর্ণমালার আকার) পরিমাপ করে, অক্ষরের সম্ভাব্যতাগুলিকে সম্পূর্ণরূপে উপেক্ষা করে।
সংজ্ঞায়িত করা হয় $G = \sum_{i=1}^{N} p_i \cdot i$ হিসাবে, যেখানে অনুমানগুলি হ্রাসমান সম্ভাব্যতা অনুসারে সাজানো হয়। এটি একটি সর্বোত্তম আক্রমণকারীর প্রয়োজনীয় প্রত্যাশিত অনুমানের সংখ্যা পরিমাপ করে। এটি ব্যবহারিক ক্র্যাকিং সময়ের সাথে সরাসরি সম্পর্কিত কিন্তু স্বাভাবিককৃত নয়।
প্রত্যাশা এনট্রপি অনুমান এনট্রপির ধারণার উপর নির্মিত কিন্তু [০, ১] স্কেলে স্বাভাবিককৃত। মূল ধারণাটি হল একটি একক পাসওয়ার্ডের গঠন থেকে শক্তি অনুমান করা। এটি পৃথক অক্ষর সেট বিবেচনা করে: ছোট হাতের অক্ষর $L$ (|L|=২৬), বড় হাতের অক্ষর $U$ (২৬), সংখ্যা $D$ (১০), এবং চিহ্ন $S$ (৩২), যা ইংরেজির জন্য মোট ৯৪ আকারের একটি মোট অক্ষর স্থান $K$ গঠন করে।
যদিও একটি একক পাসওয়ার্ডের জন্য সম্পূর্ণ গাণিতিক উদ্ভব প্রস্তাবিত উদ্ধৃতিতে অন্তর্নিহিত কিন্তু সম্পূর্ণ স্পষ্ট নয়, মেট্রিকটি মূলত মোট অনুসন্ধান স্থানের সাপেক্ষে একটি সর্বোত্তম আক্রমণকারীর প্রয়োজনীয় প্রচেষ্টাকে স্বাভাবিক করে। যদি $G$ অনুমান এনট্রপি হয় এবং $N$ সম্ভাব্য পাসওয়ার্ডের মোট সংখ্যা হয় (যেমন, সম্পূর্ণ স্থানের জন্য $94^{\text{দৈর্ঘ্য}}$), একটি স্বাভাবিককৃত ফর্ম ধারণাগতভাবে $E \approx G / N_{eff}$ এর সাথে সম্পর্কিত হতে পারে, যেখানে $N_{eff}$ হল পাসওয়ার্ডের গঠন বিবেচনা করে একটি কার্যকর অনুসন্ধান স্থানের আকার।
এর মূল উদ্ভাবন হল এর ব্যাখ্যাযোগ্য স্কেল। প্রত্যাশা এনট্রপির মান $\alpha$ (যেখানে $0 \le \alpha \le ১$) মানে একটি আক্রমণকারীকে পাসওয়ার্ড ক্র্যাক করতে মোট প্রয়োজনীয় অনুমানের কমপক্ষে $\alpha$ ভগ্নাংশ (একটি সর্বোত্তম ক্রমে) সম্পাদন করতে হবে। ১ মানটি আদর্শ এলোমেলোতা নির্দেশ করে যেখানে আক্রমণকারীকে একটি সম্পূর্ণ ব্রুট-ফোর্স অনুসন্ধান করতে হবে। এটি স্বজ্ঞাতভাবে NIST সর্বনিম্ন-এনট্রপি স্কেলের সাথে সামঞ্জস্যপূর্ণ, সিস্টেম ডিজাইনারদের জন্য তুলনা এবং সিদ্ধান্ত গ্রহণ সহজ করে।
মূল অন্তর্দৃষ্টি: রেজ এবং ওয়ান্ডার শুধু আরেকটি এনট্রপি মেট্রিক প্রস্তাব করছেন না; তারা নিরাপত্তা প্রকৌশলে একটি গুরুত্বপূর্ণ ব্যবহারযোগ্যতা এবং ব্যাখ্যাযোগ্যতার ফাঁক সমাধানের চেষ্টা করছেন। প্রকৃত সমস্যা হল জটিলতা পরিমাপের অভাব নয়, বরং সেই জ্ঞানগত ঘর্ষণ যখন একটি কম্বিনেটরিক্স সরঞ্জাম চিৎকার করে "৮০ বিট!" এবং NIST ফিসফিস করে "০.৭"। প্রত্যাশা এনট্রপি একটি ব্যবহারিক অনুবাদক, ক্রিপ্টোগ্রাফিক শক্তিকে একটি একীভূত ড্যাশবোর্ডে একটি কার্যকর, সম্ভাব্যতা-ভিত্তিক ঝুঁকি স্কোরে রূপান্তরিত করে।
যুক্তিগত প্রবাহ: যুক্তিটি মার্জিতভাবে সহজ: ১) বিদ্যমান মেট্রিকগুলি বিভিন্ন গ্রহে বাস করে (বিট বনাম স্বাভাবিককৃত স্কোর), বিভ্রান্তি সৃষ্টি করে। ২) অনুমান এনট্রপি ($G$) একটি আক্রমণকারীর বাস্তবতার কাছাকাছি কিন্তু সীমাবদ্ধ নয়। ৩) অতএব, কার্যকর অনুসন্ধান স্থানের সাপেক্ষে $G$ কে স্বাভাবিক করুন যাতে একটি ০-১ স্কোর তৈরি হয় যা সরাসরি একটি আক্রমণকারীর প্রয়োজনীয় প্রচেষ্টার শতাংশে ম্যাপ করে। এটি তাত্ত্বিক (NIST-এর সর্বনিম্ন-এনট্রপি) এবং ব্যবহারিক (পাসওয়ার্ড ক্র্যাকারের কার্যভার) এর মধ্যে সেতুবন্ধন করে।
শক্তি ও ত্রুটি: এর শক্তি হল এর মার্জিত সরলতা এবং তাৎক্ষণিক ব্যাখ্যাযোগ্যতা—নীতিনির্ধারক এবং সিস্টেম স্থপতিদের জন্য একটি আশীর্বাদ। যাইহোক, সমস্যা লুকিয়ে আছে বন্টনগত অনুমানে। মেট্রিকের নির্ভুলতা ব্যাপকভাবে নির্ভর করে একটি একক পাসওয়ার্ড নমুনার মধ্যে অক্ষরগুলির সম্ভাব্যতা বন্টন $p_i$ সঠিকভাবে মডেল করার উপর, যা একটি কুখ্যাতভাবে কঠিন পরিসংখ্যানগত সমস্যা। NIST-এর স্যুটের বিপরীতে যা দীর্ঘ বিটস্ট্রিম পরীক্ষা করে, এটি একটি ছোট ১৬-অক্ষরের পাসওয়ার্ডে প্রয়োগ করার জন্য শক্তিশালী অনুমানকারীর প্রয়োজন যা পক্ষপাতের প্রতি সংবেদনশীল হতে পারে। উদ্ধৃতি থেকে, গবেষণাপত্রটি একটি একক উদাহরণের জন্য এই অনুমান প্রক্রিয়াটি সম্পূর্ণরূপে বিস্তারিত বর্ণনা করে না, যা এর আচিলিস হিল।
কার্যকরী অন্তর্দৃষ্টি: নিরাপত্তা দলগুলির জন্য, এই মেট্রিকটি পাসওয়ার্ড তৈরির API বা Active Directory প্লাগইনগুলিতে একীভূত করা যেতে পারে যাতে বাস্তব-সময়, স্বজ্ঞাত শক্তি প্রতিক্রিয়া প্রদান করা যায় ("আপনার পাসওয়ার্ড ক্র্যাক করতে ৬০% অনুমানের প্রয়োজন")। গবেষকদের জন্য, পরবর্তী পদক্ষেপ অবশ্যই মডেলটি ক্যালিব্রেট করার জন্য বাস্তব-বিশ্বের ক্র্যাকিং সরঞ্জামগুলির (যেমন Hashcat বা John the Ripper) বিরুদ্ধে একটি কঠোর, বৃহৎ-স্কেল অভিজ্ঞতামূলক বৈধতা। ০.৮ প্রত্যাশা এনট্রপি কি সত্যিই অনুসন্ধান স্থানের ৮০% বোঝায়? শত্রুতাপূর্ণ AI মডেলের বিরুদ্ধে এর প্রমাণ প্রয়োজন, অন্যান্য নিরাপত্তা ডোমেন আক্রমণ করতে GANs কীভাবে ব্যবহৃত হয় তার অনুরূপ। ধারণাটি প্রতিশ্রুতিশীল, কিন্তু এর কার্যকারী উপযোগিতা নির্ভর করে মেশিন-উত্পাদিত পাসওয়ার্ডের নিয়ন্ত্রিত পরিবেশের বাইরে স্বচ্ছ, সহকর্মী-পর্যালোচিত বৈধতার উপর।
রূপরেখা দেওয়া ধারণাগুলির উপর ভিত্তি করে, একটি পাসওয়ার্ডের জন্য প্রত্যাশা এনট্রপি $H_E$ ধারণাগতভাবে ফ্রেম করা যেতে পারে। ধরা যাক দৈর্ঘ্য $l$ এর একটি পাসওয়ার্ড একটি বর্ণমালা $\mathcal{A}$ থেকে আঁকা হয়েছে যার সাথে প্রতিটি অক্ষর অবস্থানের জন্য একটি সম্পর্কিত সম্ভাব্যতা বন্টন রয়েছে (যা পাসওয়ার্ড নিজেই বা একটি রেফারেন্স কর্পাস থেকে অনুমান করা যেতে পারে)।
একটি একক নমুনা থেকে এটি অনুমান করার জন্য সঠিক, দক্ষ অ্যালগরিদম হল লেখকদের দ্বারা অন্তর্নিহিত মূল প্রযুক্তিগত অবদান।
দ্রষ্টব্য: প্রদত্ত PDF উদ্ধৃতিতে নির্দিষ্ট পরীক্ষামূলক ফলাফল বা চার্ট নেই। নিম্নলিখিতটি এমন একটি মেট্রিকের জন্য একটি সাধারণ বৈধতা অধ্যয়ন যা জড়িত থাকবে তার উপর ভিত্তি করে একটি বর্ণনা।
প্রত্যাশা এনট্রপির একটি ব্যাপক মূল্যায়নে সম্ভবত নিম্নলিখিত চার্টগুলি জড়িত থাকবে:
বৈধতা দেওয়ার জন্য মূল ফলাফল হল দাবি: "একটি নির্দিষ্ট মানের প্রত্যাশা এনট্রপি থাকা, উদাহরণস্বরূপ, ০.৪ মানে হল যে একটি আক্রমণকারীকে মোট অনুমানের সংখ্যার কমপক্ষে ৪০% সম্পূর্ণভাবে অনুসন্ধান করতে হবে।" এর জন্য অভিজ্ঞতামূলক আক্রমণ সিমুলেশন প্রয়োজন।
পরিস্থিতি: ৯৪-অক্ষরের প্রিন্টযোগ্য ASCII স্থান ব্যবহার করে একটি সিস্টেমের জন্য দুটি ১২-অক্ষরের পাসওয়ার্ড মূল্যায়ন করা।
Summer2024!k9$Lp@2W#r1Zশাস্ত্রীয় বিট-শক্তি: উভয়ের একই তাত্ত্বিক সর্বোচ্চ: $\log_2(94^{12}) \approx ৭৮.৭$ বিট।
প্রত্যাশা এনট্রপি বিশ্লেষণ:
এই উদাহরণটি প্রদর্শন করে কিভাবে প্রত্যাশা এনট্রপি শাস্ত্রীয় সূত্র থেকে অভিন্ন বিট-শক্তির চেয়ে একটি আরও সূক্ষ্ম এবং বাস্তবসম্মত ঝুঁকি মূল্যায়ন প্রদান করে।
তাৎক্ষণিক প্রয়োগ:
ভবিষ্যৎ গবেষণার দিকনির্দেশনা: