Kryptoblog

Kryptografi och IT-säkerhet på svenska

Archive for February, 2009

Första SHA-3-konferensen genomförd

February 28th, 2009

I dag är sista dagen på SHA-3-konferensen som NIST anordnar. Än så länge har det inte dykt upp några fantastiska nyheter, och NIST har inte trots att det tidigare utlovats lagt upp sina presentationer. Dock finns ett stort antal presentationer på konferensen sida om de olika kandidaterna.

Förväntningarna från konferensen är att det skall trilla ut 10 till 15-16 kandidater (Ron Rivest har föreslagit 16 kandidater där två tas ut genom ett wildcard-system) utifrån det 50-tal kandidater som NIST fick in och accepterade vid tävlingens start. Förhoppningsvis kommer information om vilka kandidater som gått vidare inom några få dagar.

No comments »

Posted in Forskning, Krypto, NIST AHS, sha-3

SMS4-kryptot implementerat i ett kalkylark

February 25th, 2009

James Hughes har implementerat kryptot SMS4, vilket används i den Kinesiska standarden för WLAN-säkerhet kallad WAPI. Sättet James har implementerat kryptot är dock en smula ovanligt, han har nämligen implementerat SMS4 i ett kalkylark! James skriver:

Building a reference implementation of a cipher can be an invaluable aid to writing code. Building a cipher in a spreadsheet, while some may suggest is strange, is a valid way to effectively describe a cipher in a visual sense. This has been done before with The Illustrated DES Spreadsheet, it has been done again.

With the help of a Chinese document and an english translation by Whitﬁeld Diffie and George Ledin, I was able to create a spreadsheet that demonstrates the SMS4 algorithm.

Implementationen finns både för Apples Numbers och i Excelformat.

Jag testade att ladda in och köra sms4.xls i NeoOffice 2.2.5 (NeoOffice är en port av OpenOffice.org för Mac) och det fungerade alldeles utmärkt. Ändrade jag nyckel eller indata utördes (vad jag antar vara) SMS4-beräkningarna.

... Och jag som tyckte att implementera krypton i Python var lite udda… 😉

No comments »

Posted in Krypto

Tags: Krypto

Svagheter i SHA-3-implementationer

February 22nd, 2009

Fortify har postat på sin blogg om en undersökning av säkerheten i referensimplementationerna av SHA-3-kandidaterna.

Fortify har använt sitt verktyg Fortify SCA, en linter speciellt utvecklad för att hitta kodmässiga svagheter som buffertöverskrivningar etc. (Det hade antagligen gått bra att använda splint eller liknande säkerhetsinriktade lintverktyg för att hitta svagheterna.)

Vad Fortify upptäckt är att ett antal av SHA-3-kandidaterna har mer eller mindre allvarliga svagheter i sin implementation, mer specifikt i Blender, Crunch, FSB, MD6, Vortex. Några typiska fel är att koden tillåter buffertöverskrivningar, att den läser utanför gränserna i en buffert (indexeringsfel) och minnesläckage. Som ett exempel tar Fortify upp MD6:

One of the projects with buffer issues was MD6, the implementation provided Professor Ron Rivest and his team. All of the problems came back to the hashval field of the md6_state struct:
unsigned char hashval[ (md6_c/2)*(md6_w/8) ];
The buffer size is determined by two constants:
#define w md6_w /* # bits in a word (64) */ #define c md6_c /* # words in compression output (16) */
At several points, this buffer is read or written to using a different bound:
if (z==1) /* save final chaining value in st->hashval */ { memcpy( st->hashval, C, md6_c*(w/8) ); return MD6_SUCCESS; }
Further analysis showed that ANSI standard layout rules would make incorrect behavior unlikely, but other compilers may have allowed it to be exploited. The MD6 team has doubled the size of the vulnerable buffer, which eliminated the risk. In this case, Fortify SCA found an issue that would have been difficult to catch otherwise.

The other buffer overflow was found in the Blender implementation, from Dr. Colin Bradbury. This issue was a classic typo:
DataLength sourceDataLength2[3];// high order parts of data length ... if (ss.sourceDataLength < (bcount | databitlen)) // overflow if (++ss.sourceDataLength2[0] 0) // increment higher order count if (++ss.sourceDataLength2[1] 0) // and the next higher order ++ss.sourceDataLength2[3]; // and the next one, etc.
The developer simply mistyped, using 3 instead of 2 for the array access. This issue was probably not caught because it would not be exposed without a very large input. The other issues we found were memory leaks and null dereferences from memory allocation.

Att den här typen av programmeringsfel kan få betydelse för SHA-3-tävlingen är uppenbart, och illustreras tydligt med MD6. Dess internbuffert behövde dubbleras i storlek. Detta gör att implementationer av MD6 för inbyggda system kommer att kräva mer minnesresurser än vad tidigare angetts. En av styrkorna med MD6 enligt dess skapare är att den skalar extremt bra ner till mycket små implementationer, och det argumentet fick sig nu nog en liten törn.

Ett annat skäl till varför jag tycker att Fortifys undersökning är bra är att referensimplementationer ofta används i applikationer. Antingen direkt eller som bas (funktionell referens) för en ny implementation. Därmed riskerar svagheter i referensimplementationen att sprida sig. Fortify tar själva upp ett exempel från en svaghet i referensimplementationen av RSA som lett till buggar i olika SSL-implementationer.

I fallet SHA-3, med dess fokus på prestanda, vilket gjort att skaparna av kandidater slitit och sliter med att optimera ut varenda cykel de kan ur sin kod, tror jag att referensimplementationer kommer att få stor användning i applikationskod.

No comments »

Posted in Inbyggda system, Krypto, sha-3, Verktyg

Tags: Inbyggda system Krypto sha-3 Verktyg

Remissvar på FRA-lagen

February 21st, 2009

Det har börjat dyka upp remissvar på lagförslaget till FRA-lagen.

Säkerhets- och integritetsskyddsnämnden är en statlig myndighet som inrättades den 1 januari 2008. Nämnden har till uppgift att med inspektioner och andra undersökningar utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel. Nämnden skall även på begäran av enskild kontrollera om han eller hon har utsatts för hemliga tvångsmedel eller har varit föremål för Säkerhetspolisens personuppgiftsbehandling och om tvångsmedelsanvändningen och därmed sammanhängande verksamhet eller personuppgiftsbehandlingen har skett i enlighet med lag eller annan författning.

I sitt remissvar skriver nämnden bland annat att:

Säkerhets- och integritetsskyddsnämnden ifrågasätter om de säkerhetspolitiska konsekvenserna av förslaget har beaktats tillfredsställande. Bland de länder vi från svensk sida vill jämföra oss med bedrivs naturligen underrättelseverksamhet avseende hot i syfte att de inhämtade underrättelserna ska kunna bilda beslutsunderlag för de myndigheter som har getts till uppgift att möta upptäckta hot. Det är med andra ord intresset av att skydda rikets och enskildas säkerhet som är själva anledningen till att underrättelseverksamheten behövs och har inrättats.

Förslaget innebär dock tvärtom att möjligheten att vidta konkreta säkerhetsåtgärder till skydd för rikets och enskildas säkerhet försvagas.
...
...
Säkerhets- och integritetsskyddsnämnden ifrågasätter av flera skäl förslaget att
inrätta en specialdomstol av angivet slag.

Till en början kan det ifrågasättas om en domstol med en enda ordinarie domare som utses av regeringen och vars beslut inte kan överklagas kan anses utgöra en oberoende domstol, inte minst ur ett europakonventionsperspektiv.

Det skulle kunna hävdas bland annat att regeringen härigenom får möjlighet att bestämma vem som ska handlägga de integritetskänsliga frågorna om tillstånd till signalspaning. En annan risk med en specialdomstol är att en sådan efter en tid kan bli så nära förbunden med verksamheten att dess självständiga prövning av tillståndsfrågan kan komma att ifrågasättas. Av dessa skäl anser nämnden att lösningen med en specialdomstol inte bör komma i fråga.

För den som är intresserad finns nämndens hela remissvar att läsa här.

Enligt en notis i GP har även Hovrätten i Skåne och Blekinges län skrivit ett kritiskt remissvar. Dock hittar jag inte det på rättens webbplats.

Ny Teknik rapporterar att föreningen Swedish Network Users’ Society (SNUS) skrivit ett remissvar. I sitt svar är man mycket kritisk till lagförslaget. Stefan Görling, sekreterare i SNUS säger:

Många svenskar kommer att avlyssnas eftersom förbudet mot att avlyssna trafik som passerar inom Sverige blir tekniskt svårt att uppfylla… Mest problematiskt är att politikerna tror att man kan sortera trafiken väldigt enkelt, och utesluta inrikestrafiken. Men det går inte.

Stefan Görlingh.
Stefan Görling, sekreterare i SNUS.

SNUS har även tagit fram ett exempel på hur mailtrafik mellan personer i Sverige kan passera gränsen flera gånger och därmed bli föremål för avlyssning.

Mailtrafik som far fram å tebax över gränsen.

För den som är inttresserad finns här SNUS remissvar i sin helhet.

Stefan Görling har även publicerat ett par böcker som går att ladda hem via Bittorrent. En torrent för boken Nätverksneutralitet finns att hämta hem från The Pirate Bay. Stefan skriver i sin förklaring:

Den 21 april 2008 samlades ett 50-tal personer på KTH i Stockholm för att diskutera hur den i USA aktuella frågan kring nätverksneutralitet kommer att beröra oss här i Sverige.

Med intressanta personer både som talare och i publiken blev det en mycket spännande eftermiddag på många sätt. Om inte annat var vetegräsdrinkarna som serverades under en bensträckare “spännande”.

De anföranden som hölls spelades in, renskrevs och godkändes av de olika talarna. Texten har redigerats för ökad läsbarhet men med ambition att behålla känslan just av ett anförande.

Vår tanke är att boken inte bara ska finns kvar som en referens till vad som diskuterats tidigare, utan även vara ett verktyg i fortsatta resonemang kring frågan nätverksneutralitet.

Eftersom nätverksneutralitet utgör en mångfacetterad och i stor utsträckning diffust definierad fråga försökte vi samla talare med olika kunskapsperspektiv för att belysa frågan från flera håll och diskutera vad det egentligen är vi pratar om. Vårt primära mål var alltså inte att besvara konkreta frågeställningar, utan att resonera kring rimliga ramar att föra fortsatt diskussion inom.

Mer information: http://www.teldok.se/seminarier/natverksneutralitet/presentationer

Nätverksneutralitet har inte direkt med signalspaningslagen att göra, men handlar om ett annat problem som kan sägas följas av ett allt mer reglerat, kontrollerat och övervakat Internet (anser iaf jag.)

No comments »

Posted in IT och integritet, Politik

Tags: IT och integritet Politik

AIS 31 – En tysk standard för slumptalsgeneratorer

February 20th, 2009

Ibland springer man på saker man inte alls kände till.

Tydligen finns det en tysk standard för slumptalsgeneratorer kallas AIS 31. Tydligen är det en myndighet/organisation kallad Bundesamt für Sicherheit in der Informationstechnik (BSI) som specat AIS 31. Det som är intressant är att det för AIS 31 skett en del utveckling av (i mitt tycke) bra metoder för att testa och utvärdera generatorerna (även i system). Det finns en bra presentation från BSI som förklarar AIS 31 och hur de utvärderar slumptalsgeneratorer (Powerpoint-presentation).

Infineon har publicerat en artikel om hur de designat AIS 31-generatorer som är testbara generatorer och går att implementera på chip.

Den här (väldigt tyska) webbsidan innehåller en hel del information om hemmasnickrade slumptalsgeneratorer, varav en del möter AIS 3. Sättet att uppnå NISTs FIPS 140-klassificering gör att maskinerna ser lite hemliga ut:

Ett PCI-kort med hemmabyggd RNG.

Hur jag sprang på AIS 31? ZK Crypt, en av kandidaterna till SHA-3-tävlingen är skapad av ett företag kallad Fortress GB, och dom har tydligen även AIS 31-produkter.

No comments »

Posted in Krypto, sha-3

Tags: Krypto slumptal

Följ TPB-rättegången via nätet

February 16th, 2009

En snabb liten postning. SR tillhandahåller en ström från TPB-rättegången:

mms://wm-live.sr.se/SR-extra01

Funkar finfint att köra i VLC.

Intressant att höra yrkanden och försvararnas inledning. Dock är det paus just nu för att åklagaren skall kunna fixa sin dator. Under tiden spelar SR musik som gissningsvis inte innebär ett upphovsrättsbrott.

No comments »

Posted in IT-brott

Tags: juridik

Ännu ett finfint phisingförsök

February 6th, 2009

Fick ett mail med ett finfint phisingförsök för ett par dagar sedan:

Titel: Upgrade Your ltu.se Email

The Helpdesk Program that periodically checks the size of your e-mail space is sending you this information. The program runs weekly to ensure your inbox does not grow too large, thus preventing you from receiving or sending new e-mail. As this message is being sent, you have 18 megabytes (MB) or more stored in your inbox. To help us reset your space in our database, please enter your current user name

(_________________) password (_______________)

You will receive a periodic alert if your inbox size is between 18 and 20 MB. If your inbox size is 20 MB, a program on your Webmail will move your oldest e-mails to a folder in your home directory to ensure you can continue receiving incoming e-mail. You will be notified this has taken place.

If your inbox grows to 25 MB, you will be unable to receive new e-mail and it will be returned to sender. All this is programmed to ensure your e-mail continues to function well.

Thank you for your cooperation.
Help Desk.
Important: Email Account Verification Update ! ! !

Visst är det fint med väl markerade ställen att skriva i identitet och lösenord. Men mailquota? På 25 MBye? 2009? Jösses, var fick dom det konceptet ifrån….

Skall man vara ärlig och lite allvarlig var detta inte det sämsta phisingförsöket jag sett (den här, också riktad mot LTU-användare är mycket sämre.). Språket är bra och LTU har många utländska anställda och studenter så ett mail från Help Desk på engelska är rimligt.

Men ett phisingmail måste innehålla någon slags problem som mailet försöker uppmärksamma offret på. Och även om det handlar om webbmail tillhandahållet av ett universitet känns mailquota, speciellt i den storleken väldigt, väldigt gammaldags och inte speciellt trovärdigt.

3 comments »

Posted in Dumheter, IT-brott

Tags: Dumheter it-bro

Datainspektionen om integritetesåret 2008

February 6th, 2009

Datainspektionen har släppt en mycket intressant och tyvärr ganska skrämmande rapport om de lagförsförslag under 2008 som påverkade den personliga integriteten.

I rapporten Integritetsåret 2008 (pdf) beskriver inspektionen de inte mindre än 20 olika lagförslag som på olika sätt påverkade den personliga integriteten. Inspektionen skriver i sin pressrelease att:

Ipred-lagen , trafikdatalagringsdirektivet och FRA-lagen var bara tre av de lagförslag som påverkade den personliga integriteten under 2008.

I en unik sammanställning redogör Datainspektionen för över 20 sådana lagförslag. ”Integritetsåret 2008” beskriver även några av Datainspektionens mest uppmärksammade beslut under förra året och ger exempel på några av de nya teknologier som kommit att påverka den personliga integriteten.

– Det här är första gången som Datainspektionen tar fram den här typen av redogörelse, säger Datainspektionens generaldirektör Göran Gräslund.

En av tankarna med ”Integritetsåret 2008” är att väcka frågor som: Hur påverkas den personliga integriteten inte bara av ett visst lagförslag utan av alla lagar och föreslagna lagar tillsammans? Vilket blir det samlade ”trycket” mot den personliga integriteten när man väger samman alla stora myndighetsregister och hur dessa utbyter information? Hur mycket mindre blir den fredade zon vi alla har rätt till när nya tekniker som GPS och RFID används för att övervaka oss på allt fler sätt?

Datainspektionens GD Göran Gräslund.

Frågan Göran Gräslund ställer är mycket viktig, och bristen på helhetssyn blir tydlig när man läser den i många fall skrämmande rapporten. Därför är den här rapporten viktig och väl värd att läsa.

Datainspektionens rapport tar även upp de förslag som kommit under 2008 på EU-nivå, och på EU-nivå finns det redan fler förslag. Telekompaketet och IPRED2 är några exempel.

För ett drygt år sedan skrev jag om Lars Ilshammars utmärkta rapport När datorerna blev farliga som behandlar synen på datorer och databehandling förändrades under 60-70-talet och den personliga integriteten verkligen debatterades. Kontrasten i synsätt hos politikerna då och 2008 så som den beskrivs i Datainspektionens rapport är väldigt tydlig. Hemskt tydlig.

En sak inspektionen tar upp i sin rapport är hur personuppgifter skall skyddas. En vinkling på den frågan är den om rätten att vara anonym. Erik Josefsson har ställt en i mitt tycke viktig fråga om anonymiseringstjänster till kommissionen. Josefsson skriver:

Behovet av pålitliga system för anonym uppgiftslämning har uppmärksammats i samband med rättegångar som avser grova brottmål[1] och ekobrottslighet [2]. Stora värden kan gå förlorade om vanliga medborgare inte vågar ta kontakt med journalister eller polis [3]. Utvecklingen av elektroniska anonymiseringstjänster har kommit långt i Sverige. De används både av privatpersoner och företag, både på Internet och i intranät, för både privata och kommersiella ändamål.

1. Avser kommissionen lägga förslag som förbjuder sådana tjänster inom vissa områden?

2. Anser kommissionen att enskilda medlemsländer har rätt att förbjuda sådana tjänster?

3. Anser kommissionen att rätten till elektronisk anonymitet är eller bör garanteras på i EU-nivå?

[1] Polisen varnar för ny Bandidos-etablering i Västerås http://www.vlt.se/artikelmall.asp?version=530104

[2] Bank Julius Baer vs. Wikileaks http://wikileaks.org/wiki/Bank_Julius_Baer_vs._Wikileaks

[3] 1995 Supreme Court ruling in McIntyre v. Ohio Elections Commission:

Protections for anonymous speech are vital to democratic discourse. Allowing dissenters to shield their identities frees them to express critical, minority views . . . Anonymity is a shield from the tyranny of the majority. . . . It thus exemplifies the purpose behind the Bill of Rights, and of the First Amendment in particular: to protect unpopular individuals from retaliation . . . at the hand of an intolerant society.

Att kunna vara anonym är extremt viktigt för att den bevakning av makten som sker av journalister skall kunna fungera. Men även i vardagen är det viktigt att vi själva kan välja att vara anonyma, att inte behöva legitimera sig i onödan. Att ha ett privatliv.

Behöver det ex finnas spårbarhet över alla skumbananer jag köper ca 17:45 vid Svingelns hållplats?