libssh2 1.2.3 släppt

February 3rd, 2010 by Joachim Strömbergson No comments »

I dag släpptes version 1.2.3 (här är GPG-signatur) av ssh2-biblioteket libssh2. Den nya versionen innehåller följande ändringar och buggfixar:


Changes:
ssh-agent support with the new libssh2_agent_* functions
Added libssh2_trace_sethandler()
Added the direct_tcpip.c and ssh2_agent.c examples

Bug fixes:
Fixed memory leak in userauth_publickey
Fixed publickey authentication regression
Silenced several compiler warnings
avoid returning data to memory already freed
transport layer fix for bogus -39 (LIBSSH2_ERROR_BAD_USE) errors
Fixed padding in ssh-dss signature blob encoding
Fixed direction blocking flag problems
Fixed memory leak in sftp_fstat()

  • Share/Bookmark
Print

No comments »

Posted in Internet, Krypto, Verktyg

Tags:

SITIC föreslås flyttas till MSB

February 2nd, 2010 by Joachim Strömbergson No comments »

(Länk till förslag korrigerad, tack Erik.)

Enligt ett utredningsförslag som presenterades igår föreslås SITIC - Sveriges IT-incidentcentrum flyttas från Post och Telestyrelsen (PTS) till Myndigheten för samhällsskydd och beredskap (många förkortningar blir det).

Jag har inte läst förslaget i detalj. Men jag har fått uppfattningen att SITIC aldrig fått en bra roll, och att detta kan bero på PTSs roll i förhållande till marknadens aktörer så väl som andra myndigheter. Förhoppningsvis innebär en flytt till MSB att SITICs kompetens och erfarenhet kommer bättre till nytta.

  • Share/Bookmark
Print

No comments »

Posted in IT och integritet, Internet, Politik

Tags:

Nya prestandarekord för AES

February 2nd, 2010 by Joachim Strömbergson No comments »

Sprang precis på artikeln Fast Implementations of AES on Various Platforms (pdf) av Joppe W. Bos, Dag Arne Osvik och Deian Stefan som beskriver flera nya mycket snabba implementationer av blockkryptot AES-128. Artikelns sammanfattning säger det mesta:

This paper presents new software speed records for encryption and decryption using the block cipher AES-128 for different architectures. Target platforms are 8-bit AVR microcontrollers, NVIDIA graphics processing units (GPUs) and the Cell broadband engine.

The new AVR implementation requires 124.6 and 181.3 cycles per byte for encryption and decryption with a code size of less than two kilobyte. Compared to the previous AVR records for encryption our code is 38 percent smaller and 1.24 times faster.

The byte-sliced implementation for the synergistic processing elements of the Cell architecture achieves speed of 11.7 and 14.4 cycles per byte for encryption and decryption.

Similarly, our fastest GPU implementation, running on the GTX 295 and handling many input streams in parallel, delivers throughputs of 0.17 and 0.19 cycles per byte for encryption and decryption respectively. Furthermore, this is the first AES implementation for the GPU which implements both encryption and decryption.

Artikeln ger bra information om optimeringar som gjorts för de olika arkitekturerna samt jämför med andra implementationer. Jag gillar även det faktum att man faktiskt nådde 59 Gbit/s(!) på en NVIDIA GTX 295, 1.24GHz.

  • Share/Bookmark
Print

No comments »

Posted in Forskning, Krypto

Tags:

Implementera Keccak och tävla om en Himitsu-Bako

February 2nd, 2010 by Joachim Strömbergson No comments »

Teamet bakom SHA-3 kandidaten, hashfunktionen Keccak har utlyst en implementationstävling:


We are looking for implementations of Keccak on exotic platforms!

We offer a prize for the most interesting implementation of Keccak on: – Graphic cards/GPU
– Embedded processors, (e.g. ARM, Cell processor…)
– any other analog/digital computing device


The price consists in a Himitsu-Bako (secret box, http://en.wikipedia.org/wiki/Himitsu-Bako).

Who wins the prize will be decided by consensus in the Keccak team. We will internally use a system of points. Some hints: – Fast implementation get more points – Uncommon devices get more points

We give freedom in the way Keccak is used. It is allowed to implement, for instance, tree hashing or batch hashing (several messages hashed in parallel), instead of plain sequential hashing, to take advantage of parallel computing and get better performance.

The results and source code must be publicly available on an URL that is sent to |keccak| /-at-/ |noekeon| /-dot-/ |org| before June 30, 2010 at 12:00 GMT+2. No specific licensing condition is requested (pick up the one you like!) We reserve the right to extend this deadline in the absence of interesting results. Otherwise, the winner will be announced during the Rump session of the second SHA-3 candidate conference in Santa Barbara.

Priset de pratar om är en sådan här:
Puzzle box

En implementation i Erlang kanske vore något (LinusN, Alu)?

  • Share/Bookmark
Print

No comments »

Posted in Krypto, NIST AHS, Tillställningar, sha-3

Tags:

Test av mobilkrypton (och vem kan man lita på).

February 1st, 2010 by Joachim Strömbergson 1 comment »

Mobilemag har en artikel om ett test av krypton för att skydda röstkommunikation från mobiler.

Den undersökning artikeln beskriver har utförts av en bloggare och IT-expert som tydligen kallas Notrax. På Notrax blog InfoSecurityGuard finns de egentliga undersökningarna.

Att det finns behov av bra kryptolösningar som erbjuder konfidentialitet från mobiler är helt klart. Dels är de befintliga mekanismerna i såväl GSM som 3G (UMTS) starkt ifrågasatta. Dessutom skyddar dessa mekanismer bara radiolänken. Det finns ett flertal produkter på marknaden som alla (naturligtvis) säger sig erbjuda ett bra skydd. Men hur bra är dom egentligen?

Att döma av Notrax test av 15 olika program- och hårdvarubaserade produkter är dom inte speciellt bra. Han lyckades knäcka 12 av 15 produkter:
Bild på de testade mobilkryptona.

Svenska Sectras produkt Tiger XS är tyvärr inte med i undersökningen.

Går man sedan in på Notrax sidor finns det detaljerande beskrivningar av hur han ex knäckte CellCrypt och undersökte PhoneCrypt. Notrax har även gjort videoinspelningar av sina undersökningar och lagt upp på Youtube, här den om CellCrypt:

Sammantaget väldigt intressant och spännande information. Men nu visar det sig (ser det ut som) att Notrax arbetar för företaget SecurStar GmbH som levererar PhoneCrypt, en av de säkerhetsprodukter Notrax inte lyckas knäcka och ger bra betyg! Jösses.

Vem skall man lita på? Antagligen inte de produkter Notrax lyckades knäcka (fast det vore bra om någon mer gjorde om testerna och kom fram till samma sak). Klart är iaf att produkterna behövs – och att dom testas.

  • Share/Bookmark
Print

1 comment »

Posted in Inbyggda system, Krypto, Verktyg

Tags:

Säkerhetskonferens på Luleå tekniska universitet

February 1st, 2010 by Joachim Strömbergson No comments »

Luleå tekniska universitet (LTU – för övrigt Sveriges bästa tekniska universitet) anordnas den 19:e februari säkerhetskonferensen LuSec 2010. Den utskickade inbjudan beskriver konferensen så här:

Har du någonsin hört talas om “elliptic curve cryptography”? Kanske har du läst om en ny forskning inom behaviometri? Vill du veta mer om hur den svenska DNS-kärninfrastrukturen fungerar? Låter det intressant?

Kom då till C-305 fredagen den 19 februari. Alla är hjärtligt välkomna!

För den som vågar kan man utmana sig själv i spännande säkerhetstävlingar.


Evenemanget är självklart gratis.

Hade jag bott i Lule hade jag inte tvekat att ta en tur till konferensen, även om den anordnas på Geos domäner.

  • Share/Bookmark
Print

No comments »

Posted in Krypto, Tillställningar

Tags:

kränkt.se – Irriterande (men egentligen bra) webbplats

January 31st, 2010 by Joachim Strömbergson 2 comments »

(Städat och lagt till en del saker till postningen sedan i jag postade den.)

Datainspektionen har startat en ny webbplats som fått viss uppmärksamhet: kränkt.se.

När jag först kollade på sidan blev jag riktigt irriterad, inte minst på de svepande beskrivningarna av vad en kränkning är:

Har du blivit oschysst behandlad på nätet? Är det någon som har skrivit något nedsättande om dig på ett forum eller kanske lagt upp en bild på dig som du inte vill att andra ska se? Eller är du förälder till ett barn som råkat ut för något liknande?

Den här webbplatsen är till för dig som känner att du blivit oschysst behandlad på Internet. Här får du råd om vad du kan göra för att lösa problemet.

Men jössessnällenån, om någon är lite oschysst och taskig, är det då en kränkning? Varför börjar jag direkt tänka på vad Johan Hakelius, David Eberhard och Ann Heberlein har skrivit? Borde ex inte Tomas Ros anse att han blivit kränkt av Robert Laul som kallat honom lipsill! (Lite roligt att muskelbiffen Laul använder tillmälet lipsill – något man tog till på lågstadiet när man var arg och ville vara elak.)

Lipsillmannen Robert Laul.
Lipsillmannen Robert Laul

Börjar man sedan titta lite mer på webbplatsen tycker jag dock att det finns en hel del bra och tänkvärt. För den som anser sig kränkt finns bra instruktioner på hur du kan försöka agera för att få bort det du tycker kränker dig.

En kanske viktigare sida är dock den om hur du undviker att kränka andra. I grund och botten handlar det om etik – med hänvisning till pressetiska regler (har Robert Laul läst dom?). Skriver man på nätet kan det iaf vara bra att läsa igenom och fundera på den typen av regler – även om de juridiskt inte gäller. Bara för att man kan skriva vad som helst behöver man inte göra det. En regel jag lärt mig är: Känns det fel i magen så är det ingen bra idé.

Och bara för att vara tydlig: Integritetskränkningar är ett reellt problem (ex Sydsvenskans oturliga uthängning av en oskyldig person), inget jag skrattar åt och allvarligt. Men allmän dumhet, klumpighet och missförstånd kommer alltid att finnas och text ofta ett trubbigt verktyg. Vidare kan sociala tjänster som Facebook där vänskap är binär (antingen är man vän eller inte) kan relationer bli övertydliga och skapa konflikter. Att inte få vara kompis med någon på nätet kanske dumt, men inte ett skäl att vara kränkt.

Sedan är det inte alltid lätt att veta vad andra kan uppfatta som kränkande – det verkar nästan finnas en person som tar illa vid sig oavsett vad någon gör eller skrivert. Att jag ex postar om attacker på kryptot kan tydligen vara provocerande och kränkande. Då är det kanske tur att kränkt.se finns.

BTW: Om ni känner er kränkta av något jag skriver på bloggen, skriv en kommentar eller kontakta mig direkt.

  • Share/Bookmark
Print

2 comments »

Posted in IT och integritet, Internet

Tags:

Jakten på en stulen iPhone

January 28th, 2010 by Joachim Strömbergson No comments »

På sin blog berättar Mr Sam hur han blev bestulen på sin iPhone och jakten på att få den tillbaka.

Sam med sin älskade iPhone
Sam med sin älskade iPhone

Texten är en spännande och tankeväckande berättelse som visar hur lätt det är att med Internettjänster går att spåra och få tag på information. Bland annat stängde Sam av mobilen och skickade meddelanden till tjyven.

Meddelande till tjyv.

  • Share/Bookmark
Print

No comments »

Posted in IT-brott, Mac

Tags:

Sectra får stora order på kryptomobiler

January 28th, 2010 by Joachim Strömbergson No comments »

Elektroniktidningen rapporterar att Sectra fått stora beställningar på sin kryptomobil Tiger XS på sammanlagt 10 MSEK.

Tiger XS
Kryptomobilen Tiger XS.

De nya beställningarna är från två europeiska försvarmakter. Enligt Sectra Företaget används Tiger i mer än hälften av EU:s medlemsländer.

  • Share/Bookmark
Print

No comments »

Posted in Företag och affärer, Krypto

Tags:

Är det inte dags för IT-sec-krav för finansiella aktörer?

January 28th, 2010 by Joachim Strömbergson No comments »

I morse besökte jag webbplatsen för Nordstaden, en försäkringsmäklare godkänd av Finansinspektionen att hantera finansiella instrument – att sköta folks pengar. Och hoppsan, plötsligt ville webbplatsen sparka igång en applet och få access till min maskin. Hur pålitlig är den då? Så här:

Skärmdump Nordstaden.
Självsignerat certifikat, som dessutom har gått ut!

Försöker jag sedan logga in på deras kundinloggning hamnar jag raskt på en annan domän (netfield.se). Inte pratar den inte HTTPS heller, försöker man få till säker kommunikation sparkar servern bakut. Jösses.

Nordstaden är tyvärr inte det enda exemplet på en finansiell aktör som inte tar sina kunders säkerhet på allvar. Borde det inte vara dags att någon -började ställa krav på hur aktörerna säkrar upp sin elektroniska verksamhett – varför inte Finansinspektionen? Å andra sidan svarar inte Finansinspektionen på HTTP (iad inte just nu), men det är säkert dom och inte en bluffsajt…

Skall vi på allvar bygga ett elektroniskt samhälle på nätet med 24h-myndighet, e-handel, e-faktura, e-legitimation och finansiella transaktioner måste det bli lite ordning på torpet. 2010 känns som hög tid att få detta på plats.

  • Share/Bookmark
Print

No comments »

Posted in IT och integritet, Internet, Politik

Tags: