Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Kryptoblog

Nya versioner av libssh2 och openSSL

June 13th, 2010 by Joachim Strömbergson No comments »

Det har kommit nya versioner av biblioteken libssh2 och openSSL.

libssh2

Version 1.2.6 av libssh2 inkluderar både en del nya funktioner och ett antal buggfixar, bland annat ett antal fixar av problem som fångats av statisk kodanalys med clang. Mer exakt innehåller den nya versionen följande förändringar:

Changes:

* Added libssh2_sftp_statvfs() and libssh2_sftp_fstatvfs()
* Added libssh2_knownhost_checkp()
* Added libssh2_scp_send64(


Bug fixes:

* wait_socket: make c89 compliant and use two fd_sets for select()
* OpenSSL AES-128-CTR detection
* proper keyboard-interactive user dialog in the sftp.c example
* build procedure for VMS
* fixed libssh2.dsw to use the generated libssh2.dsp
* several Windows-related build fixes
* fail to init SFTP if session isn’t already authenticated
* many tiny fixes that address clang-analyzer warnings
* sftp_open: deal with short channel_write calls
* libssh2_publickey_init: fixed to work better non-blocking
* sftp_close_handle: add precation to not access NULL pointer
* sftp_readdir: simplified and bugfixed
* channel_write: if data has been sent, don’t return EAGAIN

OpenSSL

Den nya versionen av OpenSSL heter 1.0.0a, vilker visar att man iaf än så länge inte övergett sin metod att namnge versioner. Den nya versionen innehåller dock bara en egentlig förändring kopplad till säkerhetsproblemet CVE-2010-1633:

RSA verification recovery in the EVP_PKEY_verify_recover function in OpenSSL 1.x before 1.0.0a, as used by pkeyutl and possibly other applications, returns uninitialized memory upon failure, which might allow context-dependent attackers to bypass intended key requirements or obtain sensitive information via unspecified vectors.

No comments »

Posted in Verktyg

Tags:

Två nya attacker på AES

June 12th, 2010 by Joachim Strömbergson No comments »

Det var inte så länge sedan jag bloggade om att det varit mycket attacker på det symmetriska blockkryptot AES det senaste dryga året. Och nu kommer ett par nya attacker.

Den första attacken är en attack på AES-algoritmen i sig och knyter därmed an direkt till de attacker jag bloggade om. Återigen är det Orr Dunkelman, Nathan Keller och Adi Shamir som ligger bakom den kryptanalytiska attacken.

Det intressanta med den här attacken är att till skillnad från de flesta attacker på AES-algoritmen kräver den här inte ett stort antal nycklar, utan bygger på en enskild nyckel. Just att de senaste årens attacker krävt ett stort antal relaterade (kopplade) nycklar har varit dessa attacker svaghet. Eller som EU-projektet ECRYPT II skriver i sin årliga rapport om nyckellängder och kryptoprimitiver:

We note that related-key attacks’ practical relevance depends on context, and these attacks are unlikely to affect practical uses of the AES algorithm.

Shamirs, Dunkelmans och Kellers nya attack, Improved Single-Key Attacks on 8-round AES kan därmed ses som ett svar på detta, Författarna skriver:

AES is the most widely used block cipher today, and its security is one of the most important issues in cryptanalysis. After 13 years of analysis, related-key attacks were recently found against two of its flavors (AES-192 and AES-256).

However, such a strong type of attack is not universally accepted as a valid attack model, and in the more standard single-key attack model at most 8 rounds of these two versions can be currently attacked. In the case of 8-round AES-192, the only known attack (found 10 years ago) is extremely marginal, requiring the evaluation of essentially all the 2**128 possible plaintext/ciphertext pairs in order to speed up exhaustive key search by a factor of 16.

In this paper we introduce three new cryptanalytic techniques, and use them to get the first non-marginal attack on 8-round AES-192 (making its time complexity about a million times faster than exhaustive search, and reducing its data complexity to about 1/32,000 of the full codebook).

In addition, our new techniques can reduce the best known time complexities for all the other combinations of 7-round and 8-round AES-192 and AES-256.

Fortfarande är det på AES-versioner med ett färre antal iterationer än det som normalt används. Men det är ännu ett sår i AES-bygget.

Den andra attacken är inte pÃ¥ algoritmen, utan en sidoattack pÃ¥ implementationen av AES - mer exakt pÃ¥ en datorplattform som exekverat AES och som sedan stängts av(!). Genom att använda verktyg för att lösa Boolean SAT-problem (svensutvecklade MiniSat) anpassad kryptoproblem – CryptoMiniSat. Detta verktyg har använts för att lösa en Boolesk beskrivning av nyckelschemaläggningen i AES kan dom Ã¥terskapa nyckeln även frÃ¥n ett minne som varit avstängt och därmed tappat en stor del av sitt innehÃ¥ll.

SRAM-minnen och till viss del även DRAM-minnen tappar sin information när strömmen kopplas bort, men kan behÃ¥lla informationen under en längre tid – kallas data remanence. Speciellt i kalla förhÃ¥llanden kan ett SRAM-minne behÃ¥lla sin information under lÃ¥ng tid.

I artikeln Applications of SAT Solvers to AES key Recovery from Decayed Key Schedule Images visar Abdel Alim Kamal och Amr M. Youssef att dom för 10000 nycklar där 72% nycklen har förstörts (bitarna har ändrat värden slumpmässigt) kan dom återskapa 92% av nycklarna på mindre än 10 sekunder. Nu gäller detta inte enbart AES, utan som författarna skriver:

In this work, we modelled the problem of key recovery of the AES-128 key schedules from its corresponding decayed memory images as a Boolean SAT problem and solved it using the CryptoMiniSat solver. Our experimental results confirm the versatility of our proposed approach which allows us to efficiently recover the AES-128 key schedules for large decay factors.

The method presented in this work can be extended in a straightforward way to AES-192, AES-256 and other ciphers with key schedules that can be presented as a set of Boolean equations and, hence, lend themselves naturally to SAT solvers.

För den som vill läsa mer om data remanence rekommenderas Peter Gutmanns klassiska Data Remanence in Semiconductor Devices.

No comments »

Posted in Forskning, HÃ¥rdvara, Krypto

Tags:

Bra genomgång av datakompression

June 11th, 2010 by Joachim Strömbergson 1 comment »

Matt Mahoney, skaparen av den idag bästa icke-förstörande kompressorn, PAQ har en riktigt, riktigt bra genomgång (tutorial) om datakompression.

Matt Mahoney

Med början i informationsteori gÃ¥r Data Compression Explained igenom olika typer av kodningar, modeller, benchmarks m.m. LZ-packare, Burrows Wheeler-transform och en massa annat. Och det viktigaste – det som beskrivs tycker jag förklaras pÃ¥ ett begripligt sätt.

Mark Nelsons gamla bok The Data Compression Book var fantastiskt bra när den kom 1991 (mitt tummade ex står fortfarande i hyllan bredvid mig), men även om den uppdaterats sedan dess känns den lite gammal. det har hänt rätt mycket sedan dess. Mahoneys genomgång känns klart mer modern. Vill du lära dig om datakompression är den här genomgången en riktigt bra start.

1 comment »

Posted in Forskning, Läsvärt

Tags:

Hälsoläget för AES

June 1st, 2010 by Joachim Strömbergson 1 comment »

På Eurocrypt 2010 idag tisdag 2010-06-01 presenterade Ali Biham, Orr Dunkelman m.fl. en uppdaterade attack av sin attack på AES: Key Recovery Attacks of Practical Complexity on AES-256 Variants with up to 10 Rounds.

Eurocrypt 2010

Detta är den första stora attacken (som dock snarare är en uppdatering på en attack från förra året) i år. Men sett över de senaste dryga året har vi sett fem, sex större attacker på AES som algoritm, samt ett antal mindre attacker där olika delar av algoritmen analyseras. Och sedan, naturligtvis ett antal attacker på implementationer, inte minst attacker basererade på felinjektering och sidoattacker. Wikipedias sida om AES listar några av dessa attacker, men långt ifrån alla. Bruce Schneier bloggade om dessa attacker ett par gånger i mitten på förra året (ett, två). En av de främsta på att attacker AES är Orr Dunkelmans.

Orr Dunkelman
Orr Dunkelman

Kolla man på Orr Dunkelmans forskningssida hittar man ett flertal artiklar med olika analyser av AES och attacker. Den här om vad som händer om MixColumns-operationen i AES inte fungerar i den sista iterationen är ett typiskt exempel på den typ av analys jag tycker att man ser ofta just nu (en trend inom kryptanalys).

Vad jag försöker säga är att jag upplever det som att AES, efter snart tio Ã¥r sedan (AES publicerades i november 2001 sÃ¥ det snarare Ã¥tta Ã¥r, men…) utan större säkerhetsproblem med algoritmen nu plötsligt börjar se lite skadeskjuten ut – att den kanske inte är sÃ¥ säker längre. Det är inte dags för panik, men lÃ¥ngsiktigt och för nya applikationer bör man nog tänka pÃ¥ att inte lÃ¥sa fast sig i AES, utan göra det möjligt att byta algoritm.

Till saken hör att AES har varit en formidabel succé och har designats in i alltifrÃ¥n kommunikation för smÃ¥ sensorsystem (IEEE 802.15.4 – ZigBee) till 10G Ethernet och en oherrans massa saker däromkring. Skulle AES falla och mÃ¥ste bytas ut kommer det inte att bli enkelt.

Det skall bli spännande att se hur det går.

1 comment »

Posted in Forskning, Internet, Krypto

Tags:

En liten titt på Evernote

June 1st, 2010 by Joachim Strömbergson No comments »

Evernote är en väldigt nifty och snygg molntjänst för att hantera anteckningar.

Evernote logo

Med inbyggt stöd för att identifiera text i bilder, snygga till figurer, kopplingar till andra tjänster är det mycket jag gillar med Evernote. Och att döma av kommentarer från de som använder Evernote verkar jag inte vara den enda och att tjänsten faktiskt fungerar. Eftersom det är en molntjänst går det dessutom att komma åt alla sin insamlade information via klienter på mobil, dator, webbläsare etc.

Evernote på iPhone.

Tyvärr mÃ¥ste jag dock, för att citera Tony Irving säga: Men….Kolla in användarvillkoren (Terms of Service) för Evernote:


by using the Service and posting Content, you grant Evernote a license to display, perform and distribute your Content, and to modify and reproduce such Content to enable Evernote to operate and promote the Service. (You also agree that Evernote has the right to elect not to accept, post, store, display, publish or transmit any Content in our sole discretion.)

You agree that these rights and licenses are royalty free, irrevocable and worldwide, and include a right for Evernote to make such Content available to, and pass these rights along to, others with whom Evernote has contractual relationships related to the provision of the Evernote Service, solely for the purpose of providing such services, and to otherwise permit access to your Content to third parties if Evernote determines such access is necessary to comply with its legal obligations.

Jösses, man blir lite tveksam till att använda Evernote – även om det som sagt är en väldigt nifty tjänst.

No comments »

Posted in Internet, IT och integritet, Verktyg

Tags:

Hackers Wanted Рnu p̴ Internet

May 21st, 2010 by Joachim Strömbergson No comments »

Wired skriver att filmen Hackers Wanted har smitit ut på nätet.

Hackers Wanted (2008) from hannah commodore on Vimeo.

Filmen är en dokumentär frÃ¥n 2003 om hackaren Adrian Lamo (kallad The Homeless Hacker), som bland annat tog sig in i New York Times datasystem – vilket han blev dömd för 2004.

Adrian Lamo från en arresteringsbild.
Adrian Lamo Рfr̴n tiden som efterlyst.

Wired har även en annan historia om Adrian Lamo och hur han nyligen blivit tvångsomhändertagen för att han har Aspergers syndrom.

Adrian Lamo idag, hemma.

No comments »

Posted in IT-brott, Läsvärt

Tags:

Två artiklar om så kallad kvantkryptering

May 18th, 2010 by Joachim Strömbergson No comments »

Idag publicerade CSO två artiklar som båda på olika sätt handlar om så kallad kvantkryptering där jag fick chans att uttala mig (göra bort mig).

Nytt krypto fungerar bara där du förväntas vara tar upp ett iofs intressant fenomen där det går att koppla ett visst kvantfenomen till en given position. Idén är att använda detta för att skapa ett nyckelutbyte mellan två parter och att detta därmed skulle öka säkerheten. Jag tycker att det är ett intressant forskningsresultat, men har svårt att se den praktiska nyttan med tekniken.

Kommersiell kvantkrypterare knäckt handlar om hur några forskare lyckats attackera ett befintligt system för kvantbaserad kommunikation. Jag tycker att artikeln visar att kvantkryptering inte är den perfekta säkra kommunikationslösningen som kommer att stoppa alla attacker. Som vi sett tidigare (tack för tipset, Måns) har andra sedan tidigare (på C26C3) presenterat fungerande avlyssning på den här typen av system.

Och, jag är rätt allergisk mot begreppet kvantkryptering. Det må vara en metod för att kommunicera konfidentiellt genom att kvantkommunikationen störs om någon försöker avlyssna. Men det är inte en krypteringsmetod där en delad hemlighet används för att transformera meddelandet på ett sådant sätt att ingen utomstående kan förstå meddelandet. Det senare är vad iaf uppfattar som betydelsen av kryptering.

No comments »

Posted in Forskning

Tags:

Busiga säkerhetsfrågor

May 14th, 2010 by Joachim Strömbergson No comments »

Bruce Schneier postade för nÃ¥gra dagar sedan om att hitta pÃ¥ bus med säkerhetsfrÃ¥gor – den typ av frÃ¥gor man mÃ¥ste ge ett svar pÃ¥ för att sedan kunna användas för att autenticera sig om det skulle behövas. NÃ¥gra av Schneiers förslag pÃ¥ frÃ¥gor och svar är:

Q: Do you know why I think you’re so sexy?
A: Probably because you’re totally in love with me.

Q: Need any weed? Grass? Kind bud? Shrooms?
A: No thanks hippie, I’d just like to do some banking.

Q: The Penis shoots Seeds, and makes new Life to poison the Earth with a plague of men.
A: Go forth, and kill. Zardoz has spoken.

Q: What the hell is your fucking problem, sir?
A: This is completely inappropriate and I’d like to speak to your supervisor.

Q: I’ve been embezzling hundreds of thousands of dollars from my employer, and I don’t care who knows it.
A: It’s a good thing they’re recording this call, because I’m going to have to report you.

Q: Are you really who you say you are?
A: No, I am a Russian identity thief.

Naturligtvis hakar en massa läsare pÃ¥ och kommentarerna till Schneiers postning innehÃ¥ller en del riktigt roliga – och en del riktigt bra frÃ¥gor. För själva poängen är att om dessa frÃ¥gor och svar skall vara bra säkerhetsmässigt skall dom inte vara enkla att gissa.

Naturligtvis var det mer än en som kom på att man skulle kunna använda dessa frågor som ett sätt att försöka attackera en tjänst, detta då det man matar in antagligen skickas rätt in i en databas. En som redan tänkt i dessa banor är Randall Munroe, skaparen av serien XKCD:
XKCD - Litte Bobby Tables.

Men nu visar det sig att detta antagligen hänt i verkligheten. BoingBoing har en postning om att banken The Sacramento Credit Union har följande information om vad som gäller för hemliga fraser:

The answers to your Security Questions are case sensitive and cannot contain special characters like an apostrophe, or the words “insert,” “delete,” “drop,” “update,” “null,” or “select.”

Gissningsvis har dom lärt sig detta den hÃ¥rda vägen…

No comments »

Posted in Dumheter, Internet

Tags:

Phonekey – phoney säkerhet

May 13th, 2010 by Joachim Strömbergson 4 comments »

(Tipstack till Jakob.)

Computer Sweden skriver om Phonekey, ett svenskt företag som har en ny säkerhetslösning.

Enligt artikeln fungerar Phonekeys säkerhetslösning så här:

Tekniken innebär att du måste ringa ett speciellt nummer från din telefon innan det går att använda ditt betalkort, logga in på ditt konto på den sociala nätverkssajten eller komma åt någon annan tjänst som använder sig av det hänglås Phonekey innebär.

– Tekniken säkrar enkelt all korthantering och inloggning, säger Tonie Söderström, mannen bakom tekniken och en av grundarna.

Det företag som vill använda säkerhetsmekanismen installerar Phonekeys mjukvara på en server, låter användarna registrera sina telefonnummer och ger sedan användarna varsitt speciellt nummer att ringa när de vill använda företagets tjänster.

Användaren ringer två signaler till det anvisade numret och lägger på. Ett tidsfönster öppnas och användaren kan logga in eller använda sitt betalkort.

Enligt artikeln kan tekniken användas som en extra säkerhetsfunktion, eller som ersättning för lösenord eller pin-koder.

Visst låter det bra? Eller kanske inte. Låt oss göra en analys. (Jag vill poängtera att jag inte sett Phonekeys patent, utan bara det som står i artikeln.)

Vid en säkerhetsanalys gäller det att identifiera vilka premisser, förutsättningar och (ofta implicita) antaganden säkerheten bygger pÃ¥. Och sedan funderar man pÃ¥ vad som händer om dessa premisser inte gäller – när det skiter sig (för att tala Dalsländska.)

Om vi tolkar artikeln rätt skall man innan man använder en tjänst som skyddas av Phonekeys lösning första gången, först registrera ett visst telefonnummer, exempelvis din mobil. Du får även ett speciellt telefonnummer att ringa upp med ditt registrerade telefonnummer för att aktivera den tjänst du vill använda när du vill använda den.

Man kan se denna mekanism som en separat autenticeringskanal för tjänsten. Att tjänsten inte är aktiv för en given användare om den först inte autenticerat sig via den separata kanalen är det som skall ge den extra säkerheten. Den som vill attackera en sådan tjänst behöver alltså både kunna ringa upp med det korrekta numret till den speciella numret innan det går att komma åt tjänsten (som i sin tur kanske skyddas av en identitetskod tillsammans med PIN-kod eller lösenord).

Pudelns kärna är att man litar på att det telefonnummer som ringer upp ett givet annat telefonnummer går att lita på. Tyvärr är det kanske inte något som är skrivet i sten. I USA är det relativt enkelt att utföra Caller ID Spoofing, dvs förfalska det uppringande numret. I Sverige är det svårare, men att det finns folk (som jobbar hos teleoperatörer) med kunskap, förmåga och möjlighet att förfalska ett uppringande nummer är nog inget falskt påstående.

Vidare, det nummer man får att ringa upp kan man knappast utgå ifrån att det är en hemlighet. Även om det är så att alla användare får ett eget, unikt nummer, vilket låter otroligt, är det svårt att se att det numret skulle kunna betraktas som en hemlighet att lita på.

Men det mest bekymmersamma med hela systemet är att det (att döma av artikeln) blir svårt att hantera säkerhetsproblem. Vad skall man göra om något så trivialt som att en användares mobil vars nummer har registrerats för en tjänst blir stulen? Att en användares mobil någon gång blir stulen är inte bara ett mer troligt scenario än att någon fejkar caller-ID, det är antagligen något som kommer att vara relativt vanligt.

Jag anser att bra säkerhet bygger pÃ¥ sÃ¥ fÃ¥ hemligheter som möjligt – och att dessa hemligheter är sÃ¥ lätta att byta ut som möjligt. En PIN-kod eller ett lösenord är bara en sekvens av tecken. Kan du inte lita pÃ¥ dom är det relativt lätt att byta ut dom. Att byta telefonnummer för att du inte kan lita pÃ¥ den längre för att logga in pÃ¥ din tjänst är inte alls lika enkelt.

Det vore intressant att veta hur Phonekey tänkt lösa dessa problem – hur spärrar man, byter nummer. Kan nÃ¥gon annan enkelt skicka in ett meddelande om att telefonen blivit snodd och att nu gäller ett annat nummer? Kan man säga att en given telefon blivit stulen och därmed orsaka ett DoS-problem för en användare?

Phonekeys mekanism kan ses som ett sätt att försöka krångla till accessen till en given tjänst genom att införa ett extra moment. Men att ersätta en PIN-kod med detta förfarande är fel. Det är snarare så att för att Phonekeys teknik över huvud taget skall ge en ökad säkerhet skulle dom behöva införa en PIN-kod som kopplar ett givet nummer (något du ev har) till kunskap om något (något du vet). Detta blir en så kallad tvåfaktors säkerhetslösning.

Och om det nu skulle visa sig gÃ¥ fel – att caller-ID inte gÃ¥r att lita pÃ¥, kommer Phonekey att täcka upp – vilka garantier lämnar dom?

Så tyvärr, jag tror inte på Phonekeys säkerhetslösning. Att dom får patent på den är ok, det finns många dumheter som patenterats. Det som vore tråkigt är om Phonekeys lösning används istället för bra, väl fungerande säkerhetsmekanismer. Att Fredrik Åhgren, VD för säkerhetsföretaget SE46 inte kan göra en vettig bedömning av Phonekeys hemmasnickrade säkerhetslösning är tyvärr lite skrämmande.

4 comments »

Posted in Dumheter, Företag och affärer, Internet

Tags:

Draft med referensbeskrivning för ECC

May 11th, 2010 by Joachim Strömbergson No comments »

Det finns en intressant Internet Draft (I-D) av (David) McGrew från Cisco och Igoe från USAs National Security Agency.

David McGrew
David McGrew.

Draften Fundamental Elliptic Curve Cryptography Algorithms (draft-mcgrew-fundamental-ecc-02.txt) ger en referensbeskrivning av Elliptic Curve-krypto (ECC).

Varför är nu detta intressant? Jo – som författarna själva skriver:

The adoption of ECC has been slower than had been anticipated, perhaps due to the lack of freely available normative documents and uncertainty over intellectual property rights.
...
...
This note contains a description of the fundamental algorithms of ECC over fields with characteristic greater than three, based directly on original references. Its intent is to provide the Internet community with a summary of the basic algorithms that predate any specialized or optimized algorithms, which can be used as a normative specification. The original descriptions and notations were followed as closely as possible.
...
...
These descriptions may be useful for implementing the fundamental algorithms without using any of the specialized methods that were developed in following years. Only elliptic curves defined over fields of characteristic greater than three are in scope; these curves are those used in Suite B.
(Notera att jag flyttat om ordningen på styckena.)

Jag håller med om att det länge behövts en bra beskrivning av ECC. Men att det Just är patenträttigheter på ECC som hållit tillbaka utvecklingen verkar de flesta vara överens om. Som någon på Cryptography-listan konstaterade ger draften inte bara en normativ beskrivning av ECC, den sammanställer även en referens som är mer än 15 år gammal och föregår därmed de patent som idag finns på ECC.

No comments »

Posted in Forskning, Internet, Krypto, Läsvärt

Tags: