Archive for March, 2006

Ännu snabbare attacker mot md5

March 29th, 2006

Den sista tiden har det kommit ett antal nyheter om antingen nya eller förbättrade metoder för att hitta kollisioner i hashfunktionen md5. Och nu var det dags igen. Vlastimil Klima, en av dom som för ett par veckor sedan presenterade tunnlingsmetoden har nu förbättrat sin implementation:

according to my paper “Tunnels in Hash Functions: MD5 Collisions Within a Minute” I programmed tunnels for searching the second block of MD5 collision message also. In the zero version of the program I used tunnels only in the first block to demonstrate the method.

It took 23 seconds, now it takes 1 second. Together with the first block (optimized from 60 s. to 30 s.) it generates a MD5 collision per 31 seconds in average (slow notebook Acer, Pentium, 1.6 GHz). The paper, source code and Windows exe is available on http://cryptography.hyperlink.cz/MD5_collisions.html


Jag har inte testat den nya koden, men om är vi nu nere på enstaka sekunder är det en dramatisk utveckling vi sett. Och om jag förstått Klimas artikel verkar hans tunnlingsmetod även fungera åt minstone till viss del för SHA-1.

Fas ett av eSTREAM avslutad

March 27th, 2006

I dag avslutades officiellt fas ett av eSTREAM-projektet och går nu över i fas två. Det finns som jag tidigare beskrivit två olika så kallade profiler i eSTREAM. Profil ett är algoritmer är avsedda för maximal prestanda på högpresterande 32-bitars processorer. Profil två är algoritmer avsedda för att kunna implementeras effektivt i hårdvara och på processorer för inbyggda system. För respektive kategori finns det nu ett antal huvudkandidater utvalda.

För kategori ett är huvudkandidaterna:

  • Dragon-128

  • HC-256

  • LEX

  • Phelix

  • Py

  • Salsa20

  • Sosemanuk

För kategori två är huvudkandidaterna:

  • Grain

  • Mickey-128

  • Phelix

  • Trivium

Notera att algoritmen Phelix (av Bruce Schneier, Niels Fergusson med flera) finns med som huvudkandidat i båda profilerna.

Förutom huvudkandidaterna finns ett antal andra algoritmer som går vidare till andra omgågen. Men jag gissar att vinnarna av eSTREAM i respektive profil finns bland dessa. Jag kommer den närmaste tiden att berätta mer om dessa kandidater.

En fin kryptomaskin

March 26th, 2006

Konstnären Tatjana van Vark bygger fina repliker av gamla maskiner. En helt fantastiskt vacker maskin är den här Enigma-maskinen:

Ännu fler md5-attacker

March 21st, 2006

På konferensen Fast Software Encytption 2006 (FSE 2006) som hölls i Graz i förra veckan presenterades ännu fler attacker mot MD5.

John Black, Martin Cochran och Trevor Highland presenterade artikeln A Study of the MD5 Attacks: Insights and Improvements. Enligt sammanfattningen för artikeln beskriver föfattarna:

MD5 is a well-known and widely-used cryptographic hash function. It has received renewed attention from researchers subsequent to the recent announcement of collisions found by Wang et al. To date, however, understanding the method used by researchers in this work has been fairly difficult to grasp. In this paper we conduct a study of all attacks on MD5 starting from Wang. We explain the techniques used by her team, give insights on how to improve these techniques, and use these insights to produce an even faster attack on MD5. Additionally, we provide an “MD5 Toolkit” implementing these improvements that we hope will serve as an open-source platform for further research. Our hope is that a better understanding of these attacks will lead to a better understanding of our current collection of hash functions, what their strengths and weaknesses are, and where we should direct future efforts in order to produce even stronger primitives.

Det toolkit dom pratar om finns att tanka ner för egna tester från John Blacks webbplats.

Nya attacker mot md5

March 19th, 2006

De senaste två åren har det kommit flera olika nya metoder att attackera olika kryptofunktioner. Några som suttit illa till är kryptgrafiska enväfsfunktioner – hashfunktioner. Speciellt arbetshästarna MD5 och SHA-1 har drabbats av flera attacker.

Hashfunktioner är funktioner där indata av godtycklig längd ger upphov till utdata av en given längd – en signatur för indatat. Hashfunktioner används inom ett stort antal områden inom elektronik och IT, exempelvis som nycklar i databaser, uppslagningar i cacheminnen, routrar och mycket mer. Eftersom indatat kan vara längre än den genererade signaturen är hashfunktionen väsentligen en många till en-funktion.

Det som gör den kryptografiska hashfunktionen speciell är att det från en given signatur är omöjligt att komma fram till vilken insignal som ger upphov till signaturen. Den kryptografiska hashfunktionen kallas därför för envägsfunktion – den går inte att backa. Det är i alla fall det som är tanken. En attack mot en envägsfunktion går ut på att på olika sätt hitta indata som ger upphov till en given signatur. Och nu har det kommit en del resultat.

Det finns ett projekt som heter HashClash som letar efter kollisioner i MD5. Som en del i arbetet med HashClash har man nu hittat en metod dom gör att man med en PC kan hitta kollisioner inom ca en minut, och med viss information om storlek på indatat inom några få sekunder. Den korta tid det tar att hitta en kollision med deras metod gör att MD5 nu verkligen bör uteslutas som kryptografisk hashfuntion. Det finns en artikel av Marc Stevens som förklarar den nya metoden och mer information inklusive källkod finns på den här webbplatsen.

Och i stort sett samtidigt som Marc Stevens publicerade sina resultat dök ännu en artikel upp som presenterar en metod för att snabbt hitta kollisioner för MD5. Artikeln i fråga heter Tunnels in Hash Functions: MD5 Collisions Within a Minute och metoden som presenteras hittar kollisioner på i stort sett samma tider som de som Marc Stevens presenterade.

Det är spännande men samtidigt skrämmande hur fort utvecklingen har gått vad gäller att förbättra tiderna för att hitta kollisioner. Tyvärr är det som jag uppfattat det oklart om hur väl SHA-2-familjen är skyddade mot attacker, den workshop NIST arrangerade i höstas gav som tolkade informationen inga klara besked. Hashfunktioner är en vital del av modern, säker kommunikation, så vi behöver säkra funktioner.

WAPI-kryptot SMS4

March 19th, 2006

För några dagar sedan skrev jag om den Kinesiska säkerhetsstandarden WAPI som man försökte få igenom som ny ISO-standard.

Ett problem med WAPI är att kryptot som används i WAPI kallat SMS4 inte är en öppen standard. Mer exakt var kryptot hemligt. Detta var ett av huvudskälen till att WAPI inte accepterades som standardförslag av ISO.
Nu har detaljer om SMS4 börjat dyka upp. Jag ställde frågor på diverse emaillistor, bland annat på Cryptography. Svaren där ger att det finns en publicerad standard tillgänglig i Kina – och på Kinesiska. Sökningar på Google ger inte heller speciellt mycket matnyttigt om SMS4. Det som går att få fram i ISO-dokument är att SMS4 är:

  • Ett blockkrypto med 128-bit stort block.

  • Nyckelstorlek på 128 bitar.

  • Rättighetsmässigt ägs kryptot av Beijing Data Security Technology Co. Ltd.(BDST) (E-Mail: chinabdst@126.com)

Vidare har jag fått reda på att det pågår arbeten inom ett par företag som fått tag på specen för SMS4 att översätta och analysera kryptot. Det finns ännu inget publicerat, men en kontakt berättade bitmässiga spridningen inom blocket är mycket dåligt och dom räknade med att kunna publicera en fullständig attack mot SMS4 under året.

Det jag skulle vilja veta är om det är en helt ny typ av blockkrypo, eller om det är en variant av tidigare krypton. Samt naturligtvis hur bra det är. Jag lovar att återkomma så snart jag har mer information.

NIST släpper förslag till uppdaterad signaturstandard (DSS)

March 16th, 2006

NIST har släppt ett förslag till en uppdatering av standarden för digitala signaturer (DSS). Den nuvarande standarden är FIPS 186-2. I förslaget till det som kommer att bli FIPS 186-3 definieras ett antal nya signaturer baserade på hashfunktionerna i SHA-2 (FIPS 180-2). De nya signaturerna är:

  • 1024-bit nyckel, 160-bit hash (nuvarande DSA)

  • 2048-bit nyckel, 224-bit hash (baserad på SHA-224)

  • 2048-bit nyckel, 256-bit hash (baserad på SHA-256)

  • 3072-bit nyckel, 256-bit hash (baserad på SHA-256)

Det är bra att NIST tar fram en uppdaterad version DSS, inte så mycket för att få fram signaturer med längre nycklar. Nej som jag ser det är den stora vinsten att komma bort från beroendet av SHA-1. Sedan kvarstår långsiktigt frågeställningen om SHA-2 verkligen är pålitliga, både som envägsfunktioner och som bas i signaturalgoritmer.

WAPI? Nej 801.11i

March 14th, 2006

WAPI - Wireless Authentication and Privacy Infrastructure är en Kinesisk säkerhetsstandard för trådlösa lokalnät (WLAN). Standarden är utvecklad för att kunna säkra upp kommunikation över den befintliga WiFi-standarden 802.11.

WAPI är den säkerhetsstandard som skall och får användas av Kinesiska myndigheter. Så långt allt väl. Men Kina har även försökt att få WAPI ratificerad som ISO-standard, och då i direkt konkurrens med det alternativa förslaget till ny standard 802.11i – WPA2.

Men enligt en artikel på EE Times har ISO vid ett möte beslutat att WAPI inte skall accepteras som ISO-standard. Dock har Kina uttalat att det WAPI även fortsättningsvis skall vara den standard som skall användas i Kina.

Rent tekniskt är WAPI som standardförslag rätt märkligt. Kryptering i WAPI sker med ett symmetriskt krypto där algoritmen är hemlig(!).

Privata nycklar vs Google

March 12th, 2006

Assymetriska krypton är på många sätt fantastiska skapelser – matematiska konstruktioner som går att dela upp på ett sådant sätt att en publik operator, en nyckel kan användas för att kryptera ett meddelande och en andra, privat operator (nyckel) kan användas för att dekryptera samma meddelande.

Att denna typ av konstruktioner finns, att mänsklig fantasi är stor nog att formulera idén om en sådan konstruktion samt mänsklig intelligens är så beskaffad att man kunnat hitta/skapa praktiska implementationer av denna konstruktion är ytterst imponerande. Men konstruktionens säkerhet hänger på dom två operatorerna, mer specifikt att den privata operatorn verkligen är privat. Och här verkar både fantasi och intelligens fallera.

OpenSSL är ett av nyckelverktygen för att säkra upp e-handel och annan kommunikation på Internet. En viktig del av OpenSSL är den assymetriska delen (som används bland annat för utbyte av nyckel för snabbare symmetriska krypton). För OpenSSL lagras de privata nycklarna i en fil i det lokala filsystemet. Att försöka knäcka OpenSSLs assymetriska system är något som militärer roar sig med och föremål för distribuerade tävlingar där tusentals datorer arbetar tillsammans. Men skulle det gå att komma över filen med privata nycklar behövs inte denna massiva mängd datorresurser – säkerheten fallerar.
Filändelsen för OpenSSLs fil med privata nycklar är pex. Genom att ange filändelse samt lägga till private i en sökning på Google (öppnas i nytt fönster) visar det sig skrämmande nog gå att hitta många, närmare bestämt (vid senaste sökning) drygt 500 filer pex-filer med privata nycklar.

Sökningen skall alltså se ut så här:

filetype:pem pem intext:private

Detta är alltså inte en bugg i OpenSSL. Nej, problemet här är att man, dvs systemoperatörer, användare osv inte ser till att skydda det som måste hållas privat för att säkerheten i systemet inte skall upphävas. Google (och andra sökmotorer) hittar in på på många fler ställen än de flesta ens kan fantisera om.

Denna typ av Google-hack blir allt vanligare och har för den som utför attacken flera fördelar. Det krävs inga stora resurser för att hitta det man vill komma åt, dom står Google för. Vidare lämnas vesäntligen inga spår – den dator som drabbas av attacken ser bara att Googles webbspindel har varit på besök. På webbplatser som J0hnny.ihackstuff.com finns det här och flera liknande hemska Google hacks.

Hemligheter och lögner

March 11th, 2006

Jag har precis läst ut Bruce Schneiers bok Secrets and Lies. Japp, jag vet, det är ingen ny bok precis – senaste versionen kom ut 2004. Men den är väldigt bra.

Jag läser mycket böcker om IT-säkerhet, inte bara för att jag recenserar böcker åt exempelvis IDG. Schneiers bok är en översiktlig introduktion till IT-säkerhet och jag trodde därför att jag inte skulla lära mig speciellt mycket. Jag hade helfel.

Det pratas mycket om att säkerhet är en process, om attack-träd, säkerhetsutvärderingar och många andra begrepp. Men jag har inte tidigare läst en lika ordentlig, pedagogisk och tydlig beskrivning av dessa och andra begrepp. Vidare sätter Schneier in begreppen i ett gemensamt sammanhang, en holistisk syn på säkerhet över huvud taget.

Vilka är det som sysslar med brottslighet och attacker mot IT-system och på Internet? På vilket sätt skiljer sig IT-säkerhet mot exempelvis en banks fysiska säkerhet? Varför är hemliga kryptoalgoritmer något man skall undvika? Dessa och många andra frågor och hur dom hänger ihop är bara några saker du får svar på.
Detta är en bok som politiker, chefer, företagsledare och väsentligen alla som över huvud taget använder ett IT-system borde läsa. Det är en bitvis svart med rolig och välskriven bok och du kommer knappast att se på säkerhet på samma sätt efter att ha läst den.

Kort sagt: Läs! Nu!