Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
September » 2005 » Kryptoblog

Archive for September, 2005

Ny version av Gladmans AES-bibliotek

September 17th, 2005

Brian Gladman, mr AES-implementation har uppdaterat sin kod för att skydda mot den typ av tidbaserade sidoattack som Daniel J Bernstein har visat. Gladmans uppdatering kom visserligen i slutet av Augusti, men eftersom Kryptoblog inte fanns då, och eftersom jag tycker att det detta är intressant och viktigt skriver jag om det nu. Sådan är bloggarens rätt. 😉

Brian Gladmans nya kod arbetar med komprimerade tabeller. Den nya koden är bara några procent långsammare än den gamla koden och bör minska risken för timingattacker. Gladman påpekar dock att han ej testat om den nya koden verkligen ger ett bättre skydd.

Du kan titta närmare på Gladmans AES-kod här
Kolla även in Bernsteins artikel Cache-timing attacks on AES

IST – Sveriges nya IT-säkerhetsmyndighet

September 15th, 2005

Regeringens utredare av informationssäkerhet Anders Svärd presenterade i dag resultatet från sin utredning.

Utredning föreslår att en ny muyndighet skall bildas som föreslås få ansvaret för signalskydd, signalspaning och teknisk informationssäkerhet i Sverige. Namnet på den nya myndigheten föreslås bli Institutet för signalunderrättelsetjänst och teknisk informationssäkerhet, förkortat till IST.

Förslaget innebär att befintliga myndigheter får andra uppgifter. Bland annat att Försvarets radioanstalt, FRA, skall ombildas och att Militärens underrättelse- och säkerhetsjänst, MUST, mister ansvaret för totalförsvarets signalskydd.

Enligt Anders Svärds slutbetänkande, som lämnats till försvarsminister Leni Björklund är det en fråga om att renodla och koncentrera hanteringen av IT-säkerhet. I dagsläget vilar ansvaret på ett flertal myndigheter, exempelvis Krisberedskapsmyndigheten (KBM), Försvarets Radioanstalt (FRA), Post- och telestyrelsen (PTS) och Försvarets materielverk (FMV).

Så långt gott och väl. Att IT-säkerhet, som blir allt viktigare för såväl enskilda som företag och hela samhället, skall vara utspritt över ett stort antal myndigheter verkar enligt min mening inte vettigt. Visserligen behöver det finnas kompetens inom IT-säkerhet på alla myndigheter, men ansvar och fokus behöver koncentreras. Att det dessutom hamnar i en civil myndighet upplever jag som positivt för rättssäkerheten.

Dock skall tydligen den nya myndigheten IST inte bara få samlat ansvar för signalunderrättelsetjänsten och för den tekniska kompetensen, nej den ska också kunna sälja service till såväl myndigheter, offentliga företag men även till det privata näringslivet. Vilken typ av service kan det bli frågan om tro? Konkurrens?

Det jag funderar på är vad som händer med FRA och några andra myndigheter. Enligt en artikel om slutbetänkandet är försvarets experter är missnöjda. Tidigare har det föreslagits att FRA skall få utökade befogenheter att bedriva signalspaning. Som jag läser slutbetänkandet hamnar detta istället hos nya myndigheten IST och FRA blir ordentligt vingklippt. Läser man FRAs pressrelease framstår det dock som om det är FRA som är den nya myndigheten.

En annan organisation som jag är nyfiken på hur dom påverkas är SITIC - Sveriges Incidentcentrum. Kommer deras verksamhet att flyttas från PTS till IST?

Slutligen presenterades precis att Försvarets totalforskningsinstitut – FOI flyttat klart till Kista. FOI arbetar även dom med IT-säkerhet. Hur påverkas dom av bildandet av IST?

Vi får följa utvecklingen. Nedan följer ett antal länkar till slutbetänkande, pressreleaser och artiklar.

Fortsatta diskussioner i EU om datainsamling

September 13th, 2005

Inom EU pågår försök, bland annat av Sveriges justitieminister Thomas Bodström, att driva igenom lagstiftning om att samla in och lagra information om olika typer av elektronisk information.

En artikel från Holland beskriver den senaste utvecklingen.

EU:s-ordförandeland och ministerrådet driver på, medan parlamentet verkar vara emot. Med parlamentets seger i striden om programvarupatent i färskt minne kan man hoppas på ännu en seger för parlamentet gentemot minsisterrådet.

Film om Trusted Computing

September 13th, 2005

Jag har sprungit på en film som på ett helt fantastiskt sätt beskriver begreppet Trusted Computing.

Trusted Computing kan på många olika sätt vara svårt att förstå sig på. En sådan sak är att Trusted i själva verket handlar om att du som användare inte är att lita på, så att vad du får göra med din dator skall avgöras av någon annan. En annan intressant aspekt är på de olika sätt som “Trusted Computing” implementeras på olika sätt. Från kopieringsskydd i cd-skivor till inbyggda funktioner direkt i datorns chipset.

Filmen beskriver detta och mycket mer än så, allt snyggt och stilfullt upplagt. Väl värt några minuters tittande. Nästan som UR-TV när man gick i grundskolan, fast utan Andersson i nedan.

Kolla in filmen Trusted Computing – An animated Short.

Säkra MacOS X Tiger

September 11th, 2005

Corsaire har publicerat en gedigen rapport om hur man säkrar upp MacOS X Tiger.

Rapporten går igenom de olika säkerhetsfunktionerna som finns i MacOS X, exempelvis FileVault, och visar hur man sätter upp och använder funktionerna. Vidare finns det en hel del tips och råd om hur du stänger av och låser in tjänster och funktioner som finns i OS:et som du inte behöver eller som riskerar att exponera din maskin i onödan.

För mig som nybliven Mac-ägare är detta nyttig läsning.

Rapporten Securing Mac OS X

Statusrapport från eSTREAM

September 11th, 2005

Från ECRYPT:s arbete med att få fram nya strömkrypton har det kommit en statusrapport.

En sak som förvånat mig är att det är så många av kandidaterna som är inriktade mot kategori II - inbyggda system och hårdvaruimplementation. Innan eSTREAM-kandidaterna presenterades verkade det som om de flesta kandidater skulle vara för kategori I – implementation på modern 32-bit processor, dvs en PC eller liknande. Men istället är majoriteten antingen både för denna kategori och katergori II alternativt bara kategori II.

En annan sak att notera är att man har varit tvungen att lägga till underkategorier för kandidater som även inkluderar autenticiering. Detta då flera kandidater, bland annat Phelix av Doug Whiting, Bruce Schneier med flera inkluderar autenticiering som en direkt funktion av kryptot. Speciellt för inbyggda system med begränsade resurser är det som jag ser det mycket intressant att få autenticiering direkt i kryptofunktionen.

Rapporten eSTREAM – Update 1 September 2, 2005

Välkommen till Kryptoblog

September 11th, 2005

Aloha!

Japp, världen har precis begåvats med ännu en blog. Varför då, undrar naturligtvis vän av ordning?

Jo, därför att jag upplever det som att det saknas ett ställe på Internet som på svenska berättar om nyheter om IT-säkerhet. Saker jag vill ta upp är händelser som rör:

  • Kryptografi och andra grundkomponenter som ligger till grund för IT-säkerhetverktyg.

  • IT-säkerhetshändelser, speciellt med kopplingar till sverige.

  • Politik som rör IT-säkerhet och personlig integritet på Internet.

Jag som skriver den här bloggen heter Joachim Strömbergson. Jag ägnar en hel del av min dagliga verksamhet åt att bygga krypton, att utveckla IT-säkerhetssystem och allmänt vara engagerad i dom här frågorna. Förhoppningsvis kan jag med denna blog sprida lite ljus över ett område som iaf jag tycker är intressant och viktigt.

Bloggen skall naturligtvis få en snygg å snajsig logga, ett litet mer anpassat utseende etc, men det tar vi på vägen.

Välkommen!