Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1292
December » 2009 » Kryptoblog

Archive for December, 2009

Mer om GSM-attacken

December 30th, 2009

Det verkar aldrig ta slut på uppmärksamheten kring Karsten Nohls attack på A5/1 (se tidigare bloggpostning ett och bloggpostning två). I dag har Sveriges Radio och Ekot plockat upp tråden och jösses vilket reportage det blev.

Ekots bild till artikeln.

Egentligen är Per Eurenius reportage (webbradio) från 26C3 i Berlin inte så illa, utan det är snarare påannonseringen och SRs nyhetstext som är tokfel:

Hemlig gsm-kod hackad av forskare

En tysk forskare har lyckats avslöja den kod som ska skydda mobiltrafiken i världens största telefonsystem, gsm.

Nej, SR, det är ingen kod som avslöjats, och det är inte hemligt.

Även Cryptome har uppdaterat sitt material In support of Karsten Nohl’s cracking of GSM A5 och den här sidan hos Cryptome är nog den mest kompletta samlingen av information om A5-krypton, säkerhet (eller avsaknad därav) i GSM, GPRS och UMTS.

För den som vill ha Karstens regnbågstabeller finns det nu torrentfiler.

SvD om attack på GSM-kryptot

December 29th, 2009

26:e(!) CCC-konferensen (26C3) pågår för fullt i Berlin med massor av högintressanta presentationer. Någon har uppenbarligen tipsat SvD (eller mer troligt är det denna NYT-artikel dom plockat, en artikel med något mer innehåll) att Karsten Nohl presenterat sin regnbågsattack på GSM-kryptot A5/1. (Att Karsten Nohl håller på med en regnbågsattack mot A5/1 har jag tidigare bloggat om här på Kryptoblog.)

SvDs artikel GSM-kod knäckt av tysk forskare innehåller inte mycket substans och missar att A5/1 varit knäckt sen lång tid tillbaka, och att Karsten försöker folk att inse detta. Vidare hänvisar man till GSM-organisationen med säte i London, vilket borde vara GSM Association (GSMA). En person där uttalar sig om att det Karsten presenterat är olagligt. (Tyvärr kan det vara sant – iaf kan Karstens regnbågstabeller vara olagliga i Tyskland där lagen §202c gör säkerhetsverktyg olagliga.)

Tittar man på A5/1-projektets Trac-sida finns presentationsbilderna från 2gC3 och projektnyheter. Bland annat berättade man att:

* The community has computed a large number of rainbow tables (Thank you!)

* We found new sources of known plaintext which allows decryption with a smaller subset of the codebook than previously thought

* A full GSM interceptor to collect GSM data could hypothetically be built from open source components, which we have not doing so may be illegal in some countries

JanJ tipsade om att Cryptome har en sida med länkar och info från gamla attacker på GSM-krypton.

Slutligen kan det vara värt att nämna att det verkar som att KASUMI – blockkryptot som används i UMTS och kallas A5/3 kan vara fetknäckt. På en rump session vid Asiacrypt 2009 presenterade Adi Shamir, Orr Dunkelman och Nathan Keller ett pågående arbete kallat A Practical-Time Attack on the Encryption Algorithm Used in Third Generation Telephony.

Ännu finns ingen artikel publicerad (vad jag kan hitta, ex på IACR), men räkna med att jag återkommer så fort jag hittat och läst den. Det ironiska är att det Karsten Nohl säger sig villa åstadkomma med sin A5/1-attack är att få till ett byte från A5/1 till A5/3, men om den algoritmen också är knäckt står vi alla med byxorna nere.

Så vitt jag vet är kryptofunktioner som A5/1 och A5/3 implementerade som HW-funktioner i terminaler. Vidare finns det ingen förhandlingsmekanism i GSM och UMTS motsvarande ex TLS som gör det enkelt att spärra bort och lägga till nya algoritmer. Tillsammans gör detta att det nog kommer att dröja innan det finns ett bra skydd för radiolänken i GSM och UMTS (om Adi & co:s attack stämmer – och eftersom det är dom stämmer det antagligen.)

Cryptzone köper AppGate

December 18th, 2009

Det Göteborgsbaserade IT-säkerhetsföretaget Cryptzone köper sina lokala branschkollegor AppGate. Pressreleasen från Cryptzone ger mer detaljer om uppköpet.

Regnbågstabeller för A5/1

December 11th, 2009

Det har varit en del uppmärksamhet om Karsten Nohls A5/1-projekt. IEEE Spectrum hade en bra artikel som sedan bla ledde till en artikel i Elektroniktidningen här i Sverige.

Karsten Nohl
Karsten Nohl från en tidigare attack på RFID.

Vad det hela handlar om är att Karsten Nohl (bland annat) har bestämt sig för att generera regnbågstabeller för GSM-kryptot A5/1.

Då A5/1 använder en 64-bit nyckel skulle en ren tabell ta upp 128 Petabyte och att generera tabellen med en CPU skulle ta hundatusentals år. Karsten & Co löser dessa båda problem genom att koda/komprimera samt använda GPU:er programmerade med CUDA för att parallellisera beräkningarna.

Det finns en presentation av Karsten Nohl från HAR 2009 om projektet som mer i detalj beskriver tabellkomprimeringen samt hur GPU-accelerationen går till.

Syftet bakom projektet så som det anges i presentationen är att det sedan 1994 publicerats ett antal attacker på A5/1-algoritmen, men trots detta finns det ingen publik exploit eller publikt presenterad praktiskt genomförd attack. Det Karsten vill åstadkomma är därför att ta fram en sådan praktisk attack för att visa att A5/1 verkligen är osäkert, inte bara i teorin (eller om man heter NSA.).

Om du vill följa utvecklingen i projektet finns det en Trac-sida för A5/1-projektet som innehåller statusuppdateringar, kod etc.

Det Karsten hoppas skall ske är att GSM går över till A5/3 (baserat på kryptot Kasumi), vilket används i 3G. Frågan är dock om det kommer att ske. Med flera miljarder med användare kommer det att finnas en enorm mängd mobiler som fortsätter köra A5/1 i många år framöver.

En annan viktig sak att komma ihåg är att oavsett om det är A5/1 eller A5/3 som används är det bara mellan din mobil och basstationen ditt samtal är skyddat. Vill du lita på att ditt samtal inte avlyssnas från dig till den du kommunicerar med bör du betrakta den kanal operatören tillhandahålla och vidta de åtgärder du tycker behövs.

KisMAC, nu för Snow Leopard

December 8th, 2009

Min favorit bland WLAN-scanners, KisMAC (egentligen KisMAC-ng) slutade fungera när jag uppgraderade till MacOS X 10.6 (Snow Leopard). Jag har sedan dess testat ett par betaversioner, dock utan framgång.

KisMAC

Men igår 2009-12-07 släpptes version 0.3 av KisMAC och nu fungerar KisMAC igen. Och den har dessutom en del nya funktioner. Har du tidigare kört KisMAC och saknat den efter Snow Leopard finns det nu en version som går att använda. Mer information om KisMAC finns på dess Trac-sida. (Trac är för övrigt ett kanonbra verktyg. Bra projekt kör Trac.)

(Webbplatsen för KisMAC-ng är tyvärr väldigt seg.)

nmap-script för Citrix

December 7th, 2009

squre.net finns ett antal fräcka script för nmap. Några av dessa gör det möjligt att undersöka en Citrix-server. Bra om man skall pen-testa en Citrixinstallation.

Hemsk bugg i GRUB

December 6th, 2009

För ett tag sedan dök det upp en hemsk bugg i bootloadern GRUB.

GRUB

Grub 1.97 stödjer lösenordsbaserad autenticiering, vilket är bra. Problemet är hur Grub utför verifieringen av lösenordet. Så länge som användaren anger en sträng som matchar ett prefix av lösenordet accepterar grub det som ett korrekt angivet lösenord. Om korrekt lösenord är “password” accepterar grub exempelvis “p”, “pa”, “pass” som godkända lösenord. Hoppsan!

Mer information om buggen finns här och här. Det jag frågar mig är hur detta kan ske 2009? Hur kan man missa att antingen använda en teknik som gör längden ointressant (kryptografisk hashfunktion), eller kollar om längden på den givna strängen matchar lösenordets längd?

YubiKey-verktyg för Mac

December 4th, 2009

Leveldown har släppt ett adminstrationsverktyg för Yubikey-enheter till Mac. Än så länge väldigt mycket beta (0.0.1d), men som Mac-användare är det ändå trevligt.

Mac-verktyget för Yubikey.

Google startar publik DNS

December 3rd, 2009

Google har lanserat en publik DNS-tjänst. Syftet/fördelarna med deras resolver är enligt Google tre olika saker:

* Speed: Resolver-side cache misses are one of the primary contributors to sluggish DNS responses. Clever caching techniques can help increase the speed of these responses. Google Public DNS implements prefetching: before the TTL on a record expires, we refresh the record continuously, asychronously and independently of user requests for a large number of popular domains. This allows Google Public DNS to serve many DNS requests in the round trip time it takes a packet to travel to our servers and back.

  • Security: DNS is vulnerable to spoofing attacks that can poison the cache of a nameserver and can route all its users to a malicious website. Until new protocols like DNSSEC get widely adopted, resolvers need to take additional measures to keep their caches secure. Google Public DNS makes it more difficult for attackers to spoof valid responses by randomizing the case of query names and including additional data in its DNS messages.

  • Validity: Google Public DNS complies with the DNS standards and gives the user the exact response his or her computer expects without performing any blocking, filtering, or redirection that may hamper a user’s browsing experience.

Google Code.

För att börja använda Google Public DNS behöver du peka ut deras primära och sekundära IP-adresser:

  • 8.8.8.8
  • 8.8.4.4

Frågan är om det finns några risker med att Google lanserar en DNS - eller snarare att en stor del av användarna på Internet börjar använda tjänsten. Vad gäller DNSSEC skriver Google på sin FAQ:

Does Google Public DNS support the DNSSEC protocol?

At this time, Google Public DNS does not validate DNSSEC responses. We will continue to work on improving Google Public DNS.

Uppdaterad 2009-12-04:
En annan sak Google talar om i sin FAQ är att tjänsten inte är byggd på BIND, utan är en helt ny implementation. Att dom inte använder BIND är imho både bra och dåligt. Bra i så motto att det nu finns en DNS-implementation som förhoppningsvis inte påverkas av samma buggar. Dåligt i så motto att Googles DNS-implementation antagligen har sina unika buggar och att den inte har testats lika länge som BIND.

Skaparen av OpenDNS, David Ulevitch har postat sina tankar om Google Public DNS, väl värt att läsa – även om man bör hålla i minnet att David antagligen ser Googles tjänst som en direkt konkurrent.

Intel visar upp x86-processor med 48 cores

December 3rd, 2009

Intel har presenterat en x86-processor med inte mindre än 48 cores på samma kiselbricka:

Intels 48-core chip.

Sidan om kretsen innehåller en hel del info om hur chippet är uppbyggt. Bland annat är kretsen uppdelad i 8 separata regioner som var för sig kan ha olika spänningsnivå. Kretsen är byggd i konservativ 45nm-teknik (läs: Dom har inte använt experimentella kommande processnoder för att realisera kretsen.). Dessutom är det oklart hur kraftfull en enskild core är, bara att dom är IA-kompatibla.

Ron Rivest har pekat på kretsen som ett argument för att den algoritm som väljs av NIST till hashfunktionen SHA-3 är kapabel till parallellism. Om inte den är det riskerar den att inte skala med resten av applikationernas prestandaökning.