Kryptoblog

På Eurocrypt presenterades tydligen ett arbete av Alex Biryukov, Dmitry Khovratovich och Ivica Nikoli´c som visar på en ny attack mot AES-256. Deras presentation AES-256 Is Not Ideal ser ut att visa att med kopplade nycklar (related keys) går det att urskilja en sekvens genererad med AES från en slumpmässig sekvens.

Jag begriper för lite av den kortfattade presentationen för att avgöra hur mycket bättre deras resultat är en den bästa kända attacken med 26 related keys, 2**114 data och 2**173 time. Enligt en kommentar på Cryptography-listan hävdade författarna vid sin presentation att det nu finns praktisk möjlighet att bryta hashfunktioner byggda på round-funktionen i AES. Detta gör resultatet intressant för den pågående SHA-3-tävlingen då flera av kandidaterna lånar delar av eller hela round-funktionen.

Författarnas artikel om sin nya attack är tydligen godkänd för CRYPTO 2009, så om inte förr så vet vi mer i slutet av Augusti.

Stephen Wolfram, mannen bakom Mathematica och A New Kind of Science har släppt en ny slags tjänst kallad WolframAlpha:

WolframAlpha är en Computational Knowledge Engine. Vad det betyder enligt webbplatsen är:

Wolfram|Alpha’s long-term goal is to make all systematic knowledge immediately computable and accessible to everyone. We aim to collect and curate all objective data; implement every known model, method, and algorithm; and make it possible to compute whatever can be computed about anything. Our goal is to build on the achievements of science and other systematizations of knowledge to provide a single source that can be relied on by everyone for definitive answers to factual queries.

Wolfram|Alpha aims to bring expert-level knowledge and capabilities to the broadest possible range of people—spanning all professions and education levels. Our goal is to accept completely free-form input, and to serve as a knowledge engine that generates powerful results and presents them with maximum clarity.

Wolfram|Alpha is an ambitious, long-term intellectual endeavor that we intend will deliver increasing capabilities over the years and decades to come. With a world-class team and participation from top outside experts in countless fields, our goal is to create something that will stand as a major milestone of 21st century intellectual achievement.

Att döma av vad som finns i dag kan WolframAlpha tolka och illustrera data utifrån de frågeställningar man ge verktyget på ett sätt jag aldrig sett innan. På webbplatsen finns flera väldigt imponerande exempel på frågor och resultat. Ex svaret på frågan taylor series in x ger en rejäl förklaring och en illustration:
Ett annat fräckt exempel är att fråga om avståndet mellan två platser, ex Stockholm och London. Rätt svar är (tydligen) 1437 km:

WolframAlpha är väl ett av de första exemplen på semantic web med en avgränsning till ett område som delvis gör det lättare att förstå frågorna som ställs.

Jag lekte runt lite med WolframAlpha och på enklare frågor fick jag väldigt spännande svar. Men när jag började med lite frågor rörande krypto etc verkade det inte finnas någon info, men md5sum förstår den.

Vidare verkar WolframAlpha inte ännu vara beredd på att ta emot mycket last. Flera gånger fick jag felmeddelande om att tjänsten hade nått sitt kapacitetstak.

Kort sagt ett mycket spännande projekt som pekar framåt, men kanske inte helt färdigt. För den som vill läsa mer finns här en bra bloggpostning om WolframAlpha.

Och vad är då säkerhetsaspekten? Bra fråga. Går det ex att använda WolframAlpha för att korrelera en stor mängd information och ta reda på saker? Går det att använda WolframAlpha för att utföra avancerade beräkningar - nyckelknäckning exempelvis?

På Google finns det sedan ett tag tillbaka en Google-grupp för krypto-optimering. Gruppen är inte speciellt aktiv. Men några av de postningar som kommit är klart intressanta för den som försöker vrida ur maximal prestanda ur en kryptoimplementation.

FredrikL tipsade om att det på förra veckans Eurocypt 2009s rump session presenterats vad som verkar vara en ny attack på hashfunktionen SHA-1.

Den nya attacken presenterad av Cameron McDonald, Philip Hawkes och Josef Pieprzyk har en komplexitet på 2**52 (operationer). Som forskarna påpekar är detta en stor förbättring gentemot tidigare bästa resultat, 2**63. Jämför man exempelvis med de DES-knäckare (ex COPACOBANA som byggts för att klara DES komplexitet på 2**56 är detta i samma härad och attacker är för den som har budget och tillräcklig vilja/behov möjliga att genomföra.

COPACOBANA-prototyp med FPGAer.

Det finns ännu ingen riktig artikel publicerad så det går inte att verifiera resultatet. Vidare finns det ingen egentlig skala, dvs 2**52 av vad behöver man genomföra för att knäcka SHA-1. Dock är forskarna bakom kända som seriösa forskare som tidigare publicerat ett antal artiklar och bidrag till fältet.

Om resultatet visar sig stämma är det ett signifikant resultat. För vissa typer av applikationer av SHA-1, exempelvis certifikat (beroende på hur de beräknas) skulle attacken göra det möjligt att generera falska certifikat. (Enl uppgift sätter Verisign serienumret helt slumpmässigt vilket gör det klart svårare att generera ett falskt certifikat.)

Om det inte sagts tidigare är det hög tid att (iaf för vissa användningar) migrera bort från SHA-1 och det presenterade resultatet understrycker även vikten av att NISTs SHA-3 tävling leder till minst en (den NIST antar) familj av nya hashfunktioner.

Evertiq rapporterar att Nokias gamla mobil modell 1100 sålts för upp till 270 000 SEK. Skälet är att vissa versioner av telefonen har ett fel som gör att den går att använda för IT-bedrägerier.

(Nokia 1100. 270 kSEK - den har ju inte ens färgskärm?!)

Evertiq skriver:

De ökande andrahandspriserna väckte stor uppmärksamhet och för ett halvår sedan kontaktade polis i USA säkerhetsbolaget Ultrascan Advanced Global Investigations, för att ta reda på varför det blivit så.

Undersökningen visade att det endast var modeller som tillverkats i en fabrik i Bochum som eftertraktades. Just de här mobilerna, som är tillverkade 2002, har ett fel inbyggt som gör att de kan missbrukas, enligt realtid.se.

Ultrascan fann att dessa exemplar av Nokia 1100 kan användas till att få fram engångs-lösenord som behövs för att fullfölja banktransaktioner. Intressenterna på andrahandsmarknaden sägs vara ryska, rumänska och marockanska gäng, kända inom it-kriminella kretsar.

Jag tog en snabb titt på Ebay där priserna ligger på mer måttliga 2 - 40 USD. På Blocket finns det inga annonser om att köpa mobilen och på Tradera får man betala 370 SEK. En bit kvar till 270 kSEK.

Svenska AppGate har släppt en gratisversion av sin AppGate Security Server. Den nya versionen AppGate Free Edition är gratis för upp till 20 användare.

Själva servern är levereras som en virtuell server i form av en VMware image som går att köra i VMware Player etc. På AppGates forum finns det även info som visar att man tittar på Virtualbox och Xen.

För den som vill testa på finns här en användarhandledning för att installera och komma igång.

Tydligen finns det nu en generator av engångskoder (One Time Password - OTP) för iPhone.

Generatorn som är utvecklad av Verisign och här finns betan att testköra.

Jag tror på OTP-generatorer, och att ha en integrerad i mobilen är en ypperlig lösning - så länge som du kan lita på att den inte riskerar att läcka information och hackas. Fördelen med en enkel dosa från ex Vasco eller RSA är att de är så dumma och bla saknar kommunikationsmöjlgheter att det inte finns så många attackvektorer. Men att ha engångskoder genererade är bättre än att försöka komma ihåg komplicerade lösenord.

En sak gör mig dock riktigt ilsk. Det finns webbsidor och företag som använder engångskoder, men som ersätter siffrorna med stjärnor så att man inte kan se att man matar in korrekt kod. Om vi kan lita på att OTP-generatorn genererar en sekvens av koder som inte går att gissa även om man ser ett stort antal koder finns det inga säkerhetsmässiga skäl att inte låta användaren se koden. Däremot försvårar man för användaren och därmed användarens vilja att använda bra säkerhet.

Signaturen Kanske ställde en fråga om diskkryptering för Mac. Vad gäller Filevault känner jag bara till ett par utvärderingar som gjorts.

En bra presentation om hur FileVault i Mac OS X fungerar är Unlocking FileVault som Ralf-Philipp Weinmann och Jacob Appelbaum höll på 23:e Chaos Communication Congress 2006. Att döma av den presentationen finns det inga fundamentala svagheter i konstruktionen och den bästa attackvektorn är (som vanligt) svaga lösenord. Presentationen innehåller länkar till verktyg för att utföra brute force-attack samt länkar till en del andra dokument. (En liten varning: För den som känner till Goatse kanske den sista bilden i presentationen kan vara en aning magstark.

Sakthiyuvara ja Sakthivelmurugans artikel Security in FileVault från 2007 innehåller även den en analys av FileVault. Denna artikel pekar inte heller på fundamentala svagheter i krypteringen som används, men påpekar att det inte är hela disken som skyddas:

FileVault can’t possibly be extended with the current design to incorporate a full disk encryption as
many people would want to. But its possible to do; to have a full disk encryption the boot process
has to be modified to understand the decryption technique and more enhancements so that the
encrypted disk image can be mounted from which the OS should start booting.

The speed of the system may go down considerably considering the number of encryption and decryption operation that has to occur and a single disk image will be a point point of failure for corruption. Recovering corrupted image will be hurdle that has to be fixed.FileVault can’t possibly be extended with the current design to incorporate a full disk encryption.

FileVault was meant to encrypt home directories for which it is perfectly designed and have the
security features.

Det kan vara värt att notera att båda dessa källor är från 2006 respektive 2007, det är inte givet att det som står i dessa källor gäller i dag. Wikipedias sida om FileVault tar upp en del aspekter med FileVault, pekar på tidigare problem samt en händelse från 2008 som dock inte ger så mycket fakta om FileVault i sig.

Litar man inte på FileVault finns det flera alternativ/komplement värda att titta närmare på. Signaturen scrp pekade på utmärkta Truecrypt.

Ett annat alternativ är PGP Whole Disk Encryption som jag dock inte har någon personlig erfarenhet av, men som att döma av kommentarar på nätet verkar göra ett bra jobb. Du hittar dock inte så mycket säkerhet på www.pgp.org…

Uppdatering 2009-03-31:
MagnusB påpekade att om man använder FileVault bör man stänga av SafeSleep i OS:et. Detta är även något de tar upp i presentationen:

Safe sleep is invoked when power runs critically low
- Memory contents written to /var/vm/sleepimage

Safe sleep is careful but not careful enough…
- If encrypted swap is on:
–contents of the sleep image will be encrypted, but key will be written out in the header (xnu-792.13.8)

MagnusB påpekar även att Checkpoint har en produkt för FDE (Full Disc Encryption) för Mac.

Först ett tack till de som hört av sig med tips på hur man löser problemet med att få Huawei E220 att fungera på en ny maskin. Love Hörnquist Åstrand tipsade om Hua, ett verktyg han utvecklat som gör att man kan kontrollera vilket nätverk som väljs som standard.

Jag löste problemet genom att koppla in USB-modemet i datorn och sedan installera uppdateringar för firmware och programvara från den virtuella Windows XP-maskin jag har i Suns ypperliga virtualiserare Virtualbox. Efter att ha gjort dessa uppdateringar gick det utmärkt att få koppling i Mac OS X.

För att återigen hitta en koppling till säkerhet är det inte så lätt att försöka rita upp kommunikationsvägarna jag (temorärt) hade i mitt system. Jag hade alltså en USB-modem fysiskt inkopplat i min laptop. USB-modemet kopplades via Mac OS X till en applikation (Virtualbox) och in i det virtuella OS:et Windows XP. I Windows gjorde en applikation uppdateringar på firmware-nivå hela vägen tillbaka. Samtidigt finns det en koppling mellan Windows XP och Mac OS X via foldrar (av Vbox hanterade delade resurser) och virtualiserat nätverksinterface. Sätten som data kan flöda mellan olika producenter och konsumenter och konsumenter inom och utanför mitt lokala system blev för en stund j-kligt många.

Inte konstigt att virtualisering enl den undersökning som Clavister gjort ser ut att leda till att system plötsligt blir öppna för attacker. När man virtualiserar förändras säkerhetsmodellen för sitt system.

BTW: Tror du att molnet kommer att göra det lättare eller svårare att hålla koll på säkerheten?

Det här har inte så jättemycket med IT-säkerherhet och krypto att göra. Men när jag fick min nya MacBook-laptop och skulle försöka använda mitt USB-modem fungerade det inte alls. Jag har på olika sätt försökt replikera inställningarna på min gamla maskin (där det fungerar), men än så länge utan framgång.

Ett tips jag fått är att uppgradera programvaran för USB-modemet, en E220-dongle från Huawei. Tydligen finns det en ny programvara med Plug & Play-stöd för Mac OS X för de som är Macanvändare. Tyvärr är det inte så lätt installera uppgraderingen om man är Macanvändare:

Uppgraderingen gäller bara USB-modemet Huawei E220 och kan endast göras ifrån Windows. Den här uppgraderingen innehåller stöd för Windows Vista, plug n play för Mac OS X, stöd för Mac OS X Leopard samt stöd för 7.2 Mbps.

Hur tänkte dom nu?

Skall vi hitta på en säkerhetskoppling kan det väl vara att installation av säkerhetsuppgraderingar (vilket detta iofs inte är) skall vara enkla att utföra.