Kryptoblog

Kryptografi och IT-säkerhet på svenska

Archive for June, 2010

Ny version av Internet Draft för RC4

June 29th, 2010

Vi (Jag och Simon Josefsson) har precis släppt version 01 av vår Internet Draft med testvektorer för strömkryptot RC4.

Den största förändringen i draften är att vi ändrat en av kryptonycklarna och därmed genererat nya vektorer. Draften innehåller två olika slags nycklar med tillhörande testvektorer för olika nyckellängder. En av dessa nycklar är genererad genom att köra strängen Internet Engineering Task Force genom hashfunktionen SHA-256. Tyvärr inkluderade den gamla strängen radbrytning vilket inte syns i strängen. Detta är nu ändrat.

Andra ändringar är att vi nu även har med testvektorer runt nyckelströmspunkten 4096 Bytes. Vidare har vi förtydligat en del referenser och säkerhetsrekommendationer för RC4. Rent krasst skriver vi att:

The RC4 algorithm does not meet the basic criteria required for an encryption algorithm, as its output is distinguishable from random. The use of RC4 continue to be recommended against; in particular, its use in new specifications is discouraged. This note is intended only to aid the interoperability of existing specifications that make use of RC4.

Vi tar gärna emot kommentarer och synpunkter på draften.

58 comments »

Posted in Internet, Krypto, Om Kryptoblog

Tags: Krypto Om Kryptoblog RC4 RC4 Internet Draft

Telecomix anordnar konferens på Göteborgs IT-universitet

June 14th, 2010

Nu på onsdag 2010-06-16 anordnar Telecomix ett kluster av Internet-aktivister en konferens på Göteborgs IT-universitet.

I inbjudan till konferensen skriver Telecomix:

We are Telecomix, a cluster of internet activists who have decided to host a small conference duiring the 16th and 17th of June at the IT-university of Gothenburg (www.ituniv.se). It is free of charge for individuals, and anyone is more than welcome! No matter your back- ground or previous knowledges, cipherspace computing is for everyone.

The theme of the conference is cipherspace computing, network security and darknets. A va- riety of talks and presentations will outline the technology and politics of cipherspace, and discuss the consequences of computer networks without leaders or authorities.

During the second day we will host workshops where participants will learn how to use already existing software for accessing and publishing in cipherspace.
The conference is free of charge for internauts, communities and news media. For representa- tives for corporations and state agencies, the cost is SEK 500 for two days. To sign up for the conference, send an e-mail to info@werebuild.eu. We will provide you with billing details and receipts. You are welcome to visit the conference anonymously.

Keep an eye open on http://conference.telecomix.org for updates in the schedule.

To read more about us, visit these sites:

http://telecomix.org
http://werebuild.eu
http://cryptoanarchy.org

Här finns mer information om konferensen, schema etc.

Att döma av programmet ser det klart spännande ut, även om det är lite för mycket hemlighetsmakeri för att jag skall greppa vad allt handlar om egentligen. Jag hinner tyvärr inte gå själv och skulle uppskatta kommentarer, länkar till referat etc.

No comments »

Posted in Tillställningar

Tags: Tillställningar

Länk till Data Compression Explained

June 14th, 2010

Jag insåg att jag gjort bort mig. I postningen om Mahoneys ypperliga genomgång av datakompression, Data Compression Explained glömde jag att ta med länken till just denna sida. Nu är det uppdaterat och för säkerhets skull är den även med i den här postningen. Är du intresserad, nyfiken på datakompression – gå och läs.

Och eftersom jag tog upp Mark Nelsons bok om datakompression – den riktigt klassiska boken på området är Text Compression av Bell, Cleary och WItten. Inte alls lika lättsmält som Nelsons bok eller Mahoneys sida, men väldigt bra.

No comments »

Posted in Om Kryptoblog, Verktyg

Tags: datakompression Om Kryptoblog

Ta bort Vuzuvela med mplayer

June 14th, 2010

Fick precis ett tips om att försöka ta bort Vuzuvela-ljudet från fotbolls-VM genom att använda filterfunktioner i mplayer:

mplayer -af
pan=1:0.5:0.5,sinesuppress=233:0.01,sinesuppress=466:0.01,sinesuppress=932:0.01,
sinesuppress=1864:0.01,sinesuppress=232:0.01,sinesuppress=465:0.01,
sinesuppress=931:0.01,sinesuppress=1863:0.01,sinesuppress=234:0.01,
sinesuppress=467:0.01,sinesuppress=933:0.01,sinesuppress=1865:0.01

(Notera “” som markerar att linjen egentligen fortsätter.)

Testa om det funkar. Fotbolls-VM skulle bli mycket mer uthärdligt om det inte var ett konstant bröl.

No comments »

Posted in Verktyg

Tags: mplayer oljud Verktyg vuzuvela

Nya versioner av libssh2 och openSSL

June 13th, 2010

Det har kommit nya versioner av biblioteken libssh2 och openSSL.

Version 1.2.6 av libssh2 inkluderar både en del nya funktioner och ett antal buggfixar, bland annat ett antal fixar av problem som fångats av statisk kodanalys med clang. Mer exakt innehåller den nya versionen följande förändringar:

Changes:

* Added libssh2_sftp_statvfs() and libssh2_sftp_fstatvfs()
* Added libssh2_knownhost_checkp()
* Added libssh2_scp_send64(

Bug fixes:

* wait_socket: make c89 compliant and use two fd_sets for select()
* OpenSSL AES-128-CTR detection
* proper keyboard-interactive user dialog in the sftp.c example
* build procedure for VMS
* fixed libssh2.dsw to use the generated libssh2.dsp
* several Windows-related build fixes
* fail to init SFTP if session isn’t already authenticated
* many tiny fixes that address clang-analyzer warnings
* sftp_open: deal with short channel_write calls
* libssh2_publickey_init: fixed to work better non-blocking
* sftp_close_handle: add precation to not access NULL pointer
* sftp_readdir: simplified and bugfixed
* channel_write: if data has been sent, don’t return EAGAIN

Den nya versionen av OpenSSL heter 1.0.0a, vilker visar att man iaf än så länge inte övergett sin metod att namnge versioner. Den nya versionen innehåller dock bara en egentlig förändring kopplad till säkerhetsproblemet CVE-2010-1633:

RSA verification recovery in the EVP_PKEY_verify_recover function in OpenSSL 1.x before 1.0.0a, as used by pkeyutl and possibly other applications, returns uninitialized memory upon failure, which might allow context-dependent attackers to bypass intended key requirements or obtain sensitive information via unspecified vectors.

No comments »

Posted in Verktyg

Tags: clang libssh2 OpenSSL programvara Verktyg

Två nya attacker på AES

June 12th, 2010

Det var inte så länge sedan jag bloggade om att det varit mycket attacker på det symmetriska blockkryptot AES det senaste dryga året. Och nu kommer ett par nya attacker.

Den första attacken är en attack på AES-algoritmen i sig och knyter därmed an direkt till de attacker jag bloggade om. Återigen är det Orr Dunkelman, Nathan Keller och Adi Shamir som ligger bakom den kryptanalytiska attacken.

Det intressanta med den här attacken är att till skillnad från de flesta attacker på AES-algoritmen kräver den här inte ett stort antal nycklar, utan bygger på en enskild nyckel. Just att de senaste årens attacker krävt ett stort antal relaterade (kopplade) nycklar har varit dessa attacker svaghet. Eller som EU-projektet ECRYPT II skriver i sin årliga rapport om nyckellängder och kryptoprimitiver:

We note that related-key attacks’ practical relevance depends on context, and these attacks are unlikely to affect practical uses of the AES algorithm.

Shamirs, Dunkelmans och Kellers nya attack, Improved Single-Key Attacks on 8-round AES kan därmed ses som ett svar på detta, Författarna skriver:

AES is the most widely used block cipher today, and its security is one of the most important issues in cryptanalysis. After 13 years of analysis, related-key attacks were recently found against two of its flavors (AES-192 and AES-256).

However, such a strong type of attack is not universally accepted as a valid attack model, and in the more standard single-key attack model at most 8 rounds of these two versions can be currently attacked. In the case of 8-round AES-192, the only known attack (found 10 years ago) is extremely marginal, requiring the evaluation of essentially all the 2**128 possible plaintext/ciphertext pairs in order to speed up exhaustive key search by a factor of 16.

In this paper we introduce three new cryptanalytic techniques, and use them to get the first non-marginal attack on 8-round AES-192 (making its time complexity about a million times faster than exhaustive search, and reducing its data complexity to about 1/32,000 of the full codebook).

In addition, our new techniques can reduce the best known time complexities for all the other combinations of 7-round and 8-round AES-192 and AES-256.

Fortfarande är det på AES-versioner med ett färre antal iterationer än det som normalt används. Men det är ännu ett sår i AES-bygget.

Den andra attacken är inte på algoritmen, utan en sidoattack på implementationen av AES - mer exakt på en datorplattform som exekverat AES och som sedan stängts av(!). Genom att använda verktyg för att lösa Boolean SAT-problem (svensutvecklade MiniSat) anpassad kryptoproblem – CryptoMiniSat. Detta verktyg har använts för att lösa en Boolesk beskrivning av nyckelschemaläggningen i AES kan dom återskapa nyckeln även från ett minne som varit avstängt och därmed tappat en stor del av sitt innehåll.

SRAM-minnen och till viss del även DRAM-minnen tappar sin information när strömmen kopplas bort, men kan behålla informationen under en längre tid – kallas data remanence. Speciellt i kalla förhållanden kan ett SRAM-minne behålla sin information under lång tid.

I artikeln Applications of SAT Solvers to AES key Recovery from Decayed Key Schedule Images visar Abdel Alim Kamal och Amr M. Youssef att dom för 10000 nycklar där 72% nycklen har förstörts (bitarna har ändrat värden slumpmässigt) kan dom återskapa 92% av nycklarna på mindre än 10 sekunder. Nu gäller detta inte enbart AES, utan som författarna skriver:

In this work, we modelled the problem of key recovery of the AES-128 key schedules from its corresponding decayed memory images as a Boolean SAT problem and solved it using the CryptoMiniSat solver. Our experimental results confirm the versatility of our proposed approach which allows us to efficiently recover the AES-128 key schedules for large decay factors.

The method presented in this work can be extended in a straightforward way to AES-192, AES-256 and other ciphers with key schedules that can be presented as a set of Boolean equations and, hence, lend themselves naturally to SAT solvers.

För den som vill läsa mer om data remanence rekommenderas Peter Gutmanns klassiska Data Remanence in Semiconductor Devices.

No comments »

Posted in Forskning, Hårdvara, Krypto

Tags: AES attack Forskning Hårdvara Krypto sidoattack

Bra genomgång av datakompression

June 11th, 2010

Matt Mahoney, skaparen av den idag bästa icke-förstörande kompressorn, PAQ har en riktigt, riktigt bra genomgång (tutorial) om datakompression.

Matt Mahoney

Med början i informationsteori går Data Compression Explained igenom olika typer av kodningar, modeller, benchmarks m.m. LZ-packare, Burrows Wheeler-transform och en massa annat. Och det viktigaste – det som beskrivs tycker jag förklaras på ett begripligt sätt.

Mark Nelsons gamla bok The Data Compression Book var fantastiskt bra när den kom 1991 (mitt tummade ex står fortfarande i hyllan bredvid mig), men även om den uppdaterats sedan dess känns den lite gammal. det har hänt rätt mycket sedan dess. Mahoneys genomgång känns klart mer modern. Vill du lära dig om datakompression är den här genomgången en riktigt bra start.

1 comment »

Posted in Forskning, Läsvärt

Tags: algoritmer datakompression Läsvärt

Hälsoläget för AES

June 1st, 2010

På Eurocrypt 2010 idag tisdag 2010-06-01 presenterade Ali Biham, Orr Dunkelman m.fl. en uppdaterade attack av sin attack på AES: Key Recovery Attacks of Practical Complexity on AES-256 Variants with up to 10 Rounds.

Detta är den första stora attacken (som dock snarare är en uppdatering på en attack från förra året) i år. Men sett över de senaste dryga året har vi sett fem, sex större attacker på AES som algoritm, samt ett antal mindre attacker där olika delar av algoritmen analyseras. Och sedan, naturligtvis ett antal attacker på implementationer, inte minst attacker basererade på felinjektering och sidoattacker. Wikipedias sida om AES listar några av dessa attacker, men långt ifrån alla. Bruce Schneier bloggade om dessa attacker ett par gånger i mitten på förra året (ett, två). En av de främsta på att attacker AES är Orr Dunkelmans.

Orr Dunkelman

Kolla man på Orr Dunkelmans forskningssida hittar man ett flertal artiklar med olika analyser av AES och attacker. Den här om vad som händer om MixColumns-operationen i AES inte fungerar i den sista iterationen är ett typiskt exempel på den typ av analys jag tycker att man ser ofta just nu (en trend inom kryptanalys).

Vad jag försöker säga är att jag upplever det som att AES, efter snart tio år sedan (AES publicerades i november 2001 så det snarare åtta år, men…) utan större säkerhetsproblem med algoritmen nu plötsligt börjar se lite skadeskjuten ut – att den kanske inte är så säker längre. Det är inte dags för panik, men långsiktigt och för nya applikationer bör man nog tänka på att inte låsa fast sig i AES, utan göra det möjligt att byta algoritm.

Till saken hör att AES har varit en formidabel succé och har designats in i alltifrån kommunikation för små sensorsystem (IEEE 802.15.4 – ZigBee) till 10G Ethernet och en oherrans massa saker däromkring. Skulle AES falla och måste bytas ut kommer det inte att bli enkelt.