Kryptoblog

Neal Koblitz, som förutom att han åkt tåg i Peru är professor i matematik vid University of Washington:

Neal har skrivit en tankeväckande och läsvärd artikel publicerad i senaste numret av American Mathematical Society Notices, kallad The Uneasy Relationship Between Mathematics and Cryptography om förhållandet mellan matematik och kryptologi samt varför han inte tror på begreppet bevisbar säkerhet.

Jag är inte kryptolog, och (kan jag erkänna) har aldrig känt mig helt komfortabel och naturligt hemma i matematikens magiska och fantastiska värld. För mig är det därför fascinerande att läsa en artikel av en person som tittar på kryptologi från det motsatta hållet (om man kan kalla det det).

Neal Koblitz börjar med en kort bakgrund till sitt engagemang inom kryptologin och hur han som matematiker var med och publicerade dom första rönen vad gäller att använda olika typer av kurvor (exempelvis elliptic curve) för att skapa assymetriska krypton. Men huvudelen av artikeln är fokuserad på matematikers och kryptologers olika bakgrund, hur man förhåller sig till sin forskning samt vad som egentligen är ett bevis.

En skillnad mellan kryptologi och matematik som Neal tar upp är hur resultat publiceras:

In 1996 I was the program chair of Crypto. To someone trained in mathematics this was an unsettling experience. About two-thirds of the submissions arrived by courier mail within 48 hours of the final deadline. Many had obviously been rushed and were full of typesetting errors. One author had sent me only the odd-numbered pages. A few had violated the requirement of anonymity (there was a policy of double-blind reviews). Several had disregarded the guidelines that had been sent to them.
And in many cases the papers had little originality; they were tiny improvements over something the same authors had published the year before or a minor modification of someone else’s work.

Mathematical publishing works differently. In the first place, most articles appear in journals, not conference proceedings—and journals don’t have deadlines. In the second place, people in mathematics tend to have a low opinion of authors who rush into print a large number of small articles—the derogatory term is LPU (least publish- able unit)—rather than waiting until they are ready to publish a complete treatment of the subject in a single article.

Mathematicians, who are part of a rich tradition going back thousands of years, perceive the passing of time as an elephant does. In the grand scheme of things it is of little consequence whether their big paper appears this year or next. Computer science and cryptography, on the other hand, are influenced by the corporate world of high technology, with its frenetic rush to be the first to bring some new gadget to market. Cryptographers, thus see time passing as a hummingbird does. Top researchers expect that practically every conference should include one or more quickie papers by them or their students.

Neal Koblitz verkar alltså anse att kryptologin som en del av datavetenskap skyndar med sina resultat, och detta syns inte minst på de bevis som används. Koblitz skriver:

The idea of “provable security” is to give a mathematically rigorous proof of a type of conditional guarantee of the security of a cryptographic protocol. It is conditional in that it typically has the form “our protocol is immune from an attack of type X provided that the mathematical problem Y is computationally hard.

The form that proofs of security take is what is known as a reduction. Reductions from one problem to another occur implicitly throughout mathematics; in computer science, reductions are the main tool used to compare and classify problems according to their difficulty.

In provable security papers the authors try to prove that a mathematical problem that is widely believed to be computationally hard, such as factoring large integers or finding elliptic curve discrete logs, reduces to a successful attack of a prescribed type on their cryptographic protocol.

Och vad är då kruxet? Jo ett stort krux som Koblitz pekar på är att även om de problem som man försöker reducera sitt säkerhetsproblem till är asymptotiskt svåra, innebär det inte att säkerhetsproblemen är säkra i de data/nyckelstorlekar som används praktiskt:

What had happened was that people had made recommendations for parameter values that were based on an asymptotic theorem. That theorem said that in the limit as N​ approaches infinity, you can securely generate O (log​log​N​) pseudorandom
bits each time you perform a squaring modulo the composite number N​. (Here “securely” means, roughly speaking, that no one can distinguish between the sequence and a truly random one by an algorithm that runs in reasonable time.) However, as I mentioned when discussing Joe Silverman’s xedni calculus, it is fallacious to use an asymptotic result as a practical guarantee of security. Rather, one needs to perform a detailed analysis using realistic ranges for the parameters.

Koblitz tar som exempel upp problemet med OAEP och den förbättring som Krawczyk publicerade 2005.

Jag kan som sagt för lite för att bedöma om Koblitz har rätt eller ej, men jag tycker att hans artikel är läsvärd och inte så lite småskrämmande. Koblitz ser ut att få stöd av iaf James A. Donald som på maillistan Cryptography postade följande tanke:

If a proof is a record of a mental journey in which one person has discovered an important truth, and then made a record of that journey adequate so that a second person can walk the same path and see the same truth, then cryptography could do with more and better proofs.

If, on the other hand, a proof is an argument impressively decorated with mathematical sounding jargon, cryptography could do with a good deal fewer of them.

Vad tror du?

De senaste dagarna har det florerat ett antal rykten om orsaken till att Skypenätverket 2007-08-16 i stort sett fullständigt fallerade. Nu har Skype kommit med sin förklaring - och det är Microsofts fel(!):

On Thursday, 16th August 2007, the Skype peer-to-peer network became unstable and suffered a critical disruption. The disruption was triggered by a massive restart of our users’ computers across the globe within a very short timeframe as they re-booted after receiving a routine set of patches through Windows Update.

Visst, dumhet kan förklara mycket, men jag tycker inte att detta håller vatten. Jag har inte sett statistik på att andra P2P-system (däribland Kazaa) råkade ut för massiva störningar. Vidare blir Skypes argumentation lite märklig med tanke på vad Skype tidigare sagt om sin teknologi:

Q: Kan jag ansluta till en SIP-server med Skype?
A: Nej, det går inte. Vi har utformat Skype med upphovsrättsskyddad teknologi som ej är kompatibel med SIP. SIP var helt enkelt inte tillräckligt bra för vår del.

Det stora bekymret med Skype som jag ser det är att det finns få möjligheter att verifiera att, som Skype skriver We can confirm categorically that no malicious activities were attributed, detta inte minst på grund av Skype applikationens uppbyggnad med kod som gör den mer än vanligt svår att analysera. När det dyker upp påstådda DoS-attacker och exploits blir det i Skypes fall svårt att bedöma om det är ett problem eller ej. Därmed blir det än svårare att lita på Skype som kommunikationstjänst eller uttalanden från Skype.

Oavsett rekommenderar jag återigen en genomläsning av presentationen Silver Needle in the Skype för information om hur Skype är uppbyggd.

På EE Times finns en intressant artikel om utvecklingen inom Business Intelligence (Affärsintelligens), dvs den del av ett företags verksamhet som handlar om att inhämta information om vad konkurrenter gör samt hur deras produkter är konstruerade och fungerar. Mer specifikt (eftersom det är EE Times) handlar artikeln om teardown, dvs isärplockning av elektroniska produkter med identifikation av komponenter och analys av produkten, ex beräkning av tillverkningskostnad. Några kända isärplockningar är nya spelkonsoller som Sonys PS3 samt Apples iPhone:

Artikeln går sedan in på problematiken kring isärplockning av integrerade kretsar och att det sker i allt större utsträckning, inte minst som en del i att försöka avgöra ev patentintrång. Andra skäl som anges är att se hur konkurrenter har löst sina problem (och den vägen få hjälp att lösa konstruktionsproblem) samt räkna ut konkurrenternas marginaler, utbyte i produktionen, beroenden av andra tillverkare etc.

Ett påpekande i artikeln jag inte är säker på stämmer är att det saknas motsvarande isärplockning av programvaruprodukter. Stämmer det verkligen? Finns det företag som regelbundet plockar isär och analyserar vilka komponenter en applikation består av och hur problem är lösta?

Artikeln är iaf väl värd att läsa, inte minst som komplement till de artiklar om skydd av IP-cores jag tidigare bloggat om. En annan artikel om skydd av chip tar upp en metod för att vattenmärka chip som ett sätt att förhindra isärplockning. Osäker på om det funkar, men att viljan att skydda sina kretsar från isärplockning ökar i takt med att viljan att plocka isär (andras) kretsar ökar är nog självklart.

(Ok, detta handlar inte direkt om IT-säkerhet…)
I den utmärkta tidskriften Tvärsnitt hittade jag en blänkare om ett arbete inom sociologi kallat Fri och öppen programvara - en studie om de nya utopisterna:

De som utvecklar öppen källkod och delar filer på Internet utmanar synen på ägande. Sociologen Carl Göran Heidegren har studerat en rörelse vars idéer har omvälvande sprängkraft. Han säger sig ha funnit de moderna utopisterna.

Carl-Göran Heidegren har ställt frågor till medlemmar i Svenska Linuxföreningen, som samlar drygt 3000 förespråkare för öppen programvara. Studien ingår i ett större projekt om så kallade livsföringsmodeller bland unga.

Värden som frihet, frivillighet och öppenhet slog an hos Linuxanvändarna. De värdena var viktigare för dem att försvara än att ha kul. Men lika högt skattades värdet av samarbete och gemenskap. Linuxföreningens medlemmar fann en glädje i att gratis dela med sig av sina kunskaper, visar studien.

En stor del av Linuxföreningens medlemmar, i synnerhet de under 25 år, tyckte att principerna borde ligga till grund för en ny samhällsform. Här blir undersökningen särskilt intressant, menar Carl Göran Heidegren. Dragna till sin spets sätter den här sortens värderingar principer om patenträtt, copyright och ägande i gungning. Vad kan ägas, vad kan skyddas för insyn och vad ska vara tillgängligt för alla?

- Hela projektet öppnar sig mot nya utopier. Helt klart är att Linuxanvändarna ställer högre krav på transparens i samhället. De söker mer öppna former för olika verksamheter än den traditionella slutenheten som präglar vissa områden av vårt samhälle, säger Carl-Göran Heidegren.

Projektledaren för studien är alltså Carl-Göran Heidengren, docent och lektor i Sociologi vid Lunds Universitet.

Enligt en sida på institutionen för Sociologi i Lund skall det finnas ett working paper från projektet. Dock lyckas jag inte hitta det tillgängligt på nätet.

Hittar någon en länk till arbetsartikeln skulle jag uppskatta om ni skickade den. Det skulle vara intressant att få läsa vad Carl-Göran och hans grupp kommer fram till vad gäller synen på frihet, öppenhet och tillgänglighet även för information, ex Wikipedia och kopplingen till personlig integritet. (Och då fanns det en koppling till IT-säkerhet i alla fall…)

Per Ström, Integritetsombudsmannen på tankesmedjan Den Nya Välfärden publicerade för en dryg vecka sedan ännu en rapport i sin Storebror-serie. Den här gången är det RFID som behandlas i Med Storebror i byxfickan. Anders R Olsson har läst rapporten och konstaterar att:

När information om våra rörelser väl finns lagrad någonstans blir kraven på polisiärt utnyttjande snart oemotståndliga.
Nyhetsmedia frossar i de mest avskyvärda brotten, varvid den allmänna opinionen piskas upp till den grad att alla sekretessbestämmelser knäcks. Ska sekretessen få skydda mördares, våldtäktsmäns eller pedofilers identitet?

Bit för bit byggs polisstatens tekniska infrastruktur. Pär Ström är kunnig och skriver föredömligt enkelt. Av allt att döma lär varken tekniska eller juridiska knep skydda oss, i längden, mot missbruk av rfid.

Lagstiftning behövs ändå, naturligtvis. Något motstånd är bättre än inget alls, men framförallt är det allmän upplysning och offentlig debatt vi behöver.

Jag tycker att Pär Ströms rapport är värd att läsa inte minst för att den sätter perspektiv på takesmedjan Eudoxas rapport Den hänsynsfulla taggen som kom för nåot år sedan och jag bloggat om tidigare. Skillnaden mellan de hotbilder och risker med ökad RFID-användning som tankesmedjorna Den Nya Välfärden och Eudoxa målar upp kan knappast bli större.

Pär Ströms rapport finns nu även att ladda ner som podradio/ljudbok så du kan lyssna på den i hängmattan. Och för den som funderar på hur man tekniskt skall arbeta med RFID för att hantera en del av de tekniska problem som Ström pekar på rekommenderas NISTs rapport om RFID och säkerhet.

Har nyligen lämnat in ännu en bokrecension till IDG. Den här gången var det boken Secure Your Network for Free.

Boken försöker visa att även om det kanske inte finns gratis luncher, kan få mycket IT-säkerhet för pengarna om man satsar på fria, öppna och gratis verktyg.

Jag tycker att det är en ganska hygglig bok. Det mest irriterande är att boken går så in i bänken ned på detaljnivå vad gäller installation av olika typer av verktyg. Det blir ganska mycket Press OK-uppmaningar.

För ett tag sedan bloggade jag om att NIST fått in ett antal kommentarer till sitt tävlingsförlag för att hitta nya hashfunktioner. Jag har sedan dess läst igenom alla kommentarer. Flera av de som bidragit med kommentarer tar upp att det borde ställas krav på effektiva implementationer i hårdvara, i inbyggda system och vikten av att titta på sidoattacker.

Några få, bland annat IBM och MIT tar upp mer teoretiska aspekter som har att göra med hur säkerheten skall utvärderas. Bland annat för IBM (i ett typiskt IBM:skt extremt välarbetat, knastertorrt och omfattande bidrag) en diskussion om random oracles och universal hashing samt hur dessa modeller skall appliceras för att bedöma kandidaternas säkerhet.

Men den stora överraskningen står Joan Daemen & co för. I deras bidrag till NIST presenterar dom nämligen en helt ny teoretisk modell för hashfunktioner - tvättsvampsfunktionen(!) Ja, faktiskt, en tvättsvamp:

Det författarna tagit fasta på är tvättsvampens förmåga att absorbera en viss mängd A av en substans (ex vatten) och sedan, när svampen kramas ihop lämna ifrån sig en viss mängd B av den substans som tidigare absorberats.

Författarna går i sin rapport sedan vidare och ställer för sin modell upp ett antal villkor för förhållandet mellan den substans som absorberats i absorbptionsfasen och den som avlämnats i kompressionsfasen. Resultatet är en ny teoretisk modell för hashfunktioner som, hävdar författarna, gör det möjligt att kvantitativt utvärdera verkliga hashfunktioner, speciellt Merkele-Damgård-baserade funktioner, dvs en hashfunktion som till sin konstruktion ser ut så här:

För den som vill veta mer om tvättsvampsfunktionen finns det nu även en presentation om modellen av författarna som presenterades på ECRYPTS hash workshop. Jag är inte matematiskt kompetent nog att bedöma om modellen fungerar över huvud taget, eller om den är bra. Men så mycket vet jag att det är sällan som helt nya teoretiska modeller presenteras. Författarna talar även om referensimplementationer av svampfunktionen. Kanske ser en sådan ut som en Mengersvamp:

Snygg, men kanske inte så praktisk som hashfunktion…

Bloggaren Albert Veli har skrivit ihop en fin analys av hur bank med en så kallad säkerhetsdosa fungerar. Albert skriver:

De senaste dagarna har jag funderat och läst på lite om säkerheten hos bankernas säkerhetsdosor (eng. digipass). Den första banken jag kollade var Swedbank och säkerheten hos deras dosa var inte tillfredsställande.

Albert fortsätter sedan med en genomgång hur säkerhetsdosan arbetar för att utifrån bankens utmaningar den kundspecifika dosan genererar autenticieringskoder

Alberts analys bygger på den öppna information som finns att tillgå. Jag vet faktiskt inte om det stämmer att Swedbanks säkerhetsdosor använder gammal (obsolet) DES. Det jag vet är att de dosor från Vasco som SEB kör med använder 3DES, och det gör att den typ av attack som Albert tänker sig blir praktiskt sett omöjlig.

Dock pekar Albert på ett generellt problem: Om den privata nyckeln kommer ut är alla koder som den specifika dosan kan generera oanvändbara. Samtidigt är det svårt att se hur man enkelt skall kunna byta ut kundernas privata nycklar. Att helt enkelt spärra bort den specifika dosan och skicka kunden en ny är nog det enklaste.

Riksrevisionen har granskat Svenska myndigheters arbete med IT-säkerhet. Resultatet är inte så lysande:

Riksrevisionen bedömer att de ovan beskrivna problemen är allvarliga och
att de innebär risk för betydande negativa konsekvenser för statliga åtagan-
den som elektronisk förvaltning och nationell krishantering.

Med tanke på de senaste händelserna verkar Riksrevisionen ha rätt. Vill du veta mer kan du läsa Riksrevisionens rapport.

Jag sprang på en tidning på nätet om säkerhet som jag tycker verkar mycket intressant.

(IN)SECURE Magazine är en on-line tidning som ser ut att komma ut med 4-6 nummer per år beskriver sig själv som:

(IN)SECURE Magazine is a freely available digital security magazine discussing some of the hottest information security topics. It can be distributed only in the form of the original non-modified PDF document.

Tidningen ges ut av företaget HNS Consulting Ltd. Senaste numret (nr 11) innehåller bland annat artiklar om

• Elektroniska pass.
• Brandväggen IPtables
• Reseportage från Blach Hat Briefings 2007

Jag tycker det verkar vara en seriös och välskriven tidskrift väl värd sitt pris.