Den första observationen är publicerad på det öppna artikelarkivet Arxiv. Artikeln handlar om huruvida AES kan ses som en slumpmässig transform av indatat, eller om det finns ett detekterbart mönster – ett mönster som går att gissa. En ideal kryptoalgoritm skall möta den så kallade Random Oracle-modellen där det inte skall gå att på förhand gissa vilken sekvens som skapas. En avvikelse från denna slumpmässighet innebär en svaghet hos algoritmen.

Författarna tAnna Rimoldi, Massimiliano Sala och Enrico Bertolazzi skriver i sin artikel Do AES encryptions act randomly? följande:

With our attack we give some statistical evidence that the set of AES-$128 encryptions acts on the message space in a way significantly different than that of the set of random permutations acting on the same space.

While we feel that more computational experiments by independent third parties are needed in order to validate our statistical results, we show that the non-random behaviour is the same as we would predict using the property of our embedding.

Indeed, the embedding lowers the nonlinearity of the AES rounds and therefore the AES encryptions tend, on average, to keep low the rank of low-rank matrices constructed in the large space. Our attack needs 2**23 plaintext-ciphertext pairs and costs the equivalent of 2**48 encryptions.

We expect our attack to work also for AES-192 and AES-$56, as confirmed by preliminary experiments.

Om jag fattat det rätt kan författarna alltså särskilja/identifiera att en viss mängd data är krypterat med AES, eller om det är en rent slumpmässig sekvens. Dom kan alltså inte extrahera nyckeln. Och notera att dom behöver par med okrypterat och motsvarande krypterat material. Detta är mao inte en attack som gör AES värdelös, utan är snarare en observation.

Den andra artikeln, On Deviations of the AES S-box when Represented as Vector Valued Boolean Function, tittar mer specifikt på den substitutionstabell (S-box) som finns i AES.

S-boxen, även kallad SubBytes-steget i AES är en enkel tabell som byter ut en byte mot en annan. Tabellen ser ut så här:

S-boxen bidrar till kryptots olinjära egenskaper, men för att göra det skall det inte finnas något enkelt mönster bakom S-boxen, utan bör vara en slumpmässig hög med tal. Samtidigt vill man väldigt gärna veta varifrån dessa konstanter kommer ifrån – hur dom genererats.

Säkerhetsexperten Bruce Schneier brukar prata om Nothing up my sleeve numbers som en viktig egenskap hos en säkerhetsfunktion. Vad han avser med denna egenskap är att det inte skall finnas hemliga antaganden eller delar av funktionen, delar vilkas säkerhetsmässiga betydelse inte går att avgöra. Bra specifikationer talar därför om varifrån konstanter kommer ifrån.

I fallet med AES S-box är det i standarden är det tydligt specificerat att den genereras på ett specifikt sätt. Wikipedia ger en bra beskrivning av SubBytes:

In the SubBytes step, each byte in the array is updated using an 8-bit substitution box, the Rijndael S-box. This operation provides the non-linearity in the cipher. The S-box used is derived from the multiplicative inverse over GF(28), known to have good non-linearity properties. To avoid attacks based on simple algebraic properties, the S-box is constructed by combining the inverse function with an invertible affine transformation. The S-box is also chosen to avoid any fixed points (and so is a derangement), and also any opposite fixed points.

Att man känner till hur S-boxen är genererad utnyttjas även i vissa AES-implementationer som istället för att ha en fast tabell på 256 Bytes räknar ut S-boxen under det att transformen genomförs. Detta tar tid, men sparar minnesutrymme.

Nå, tillbaka till artikeln. Vad författarna Danilo Gligoroski och Marie Elisabeth Gaup Moe visar är att, till skillnad på vad Wikipedia säger visar sig S-boxen inte vara riktigt så slumpmässig och vara så icke-linjär som man skulle kunna hoppas utifrån ett idealperspektiv, och vad man tidigare antagit. Författarna skriver:

In this paper we give an explicit representation of the AES S-box as a vector valued Boolean function in GF(2)8 and show several significant deviations in the number of terms that follows from that representation when it is compared with the algebraic representation of randomly generated permutations of 256 elements. We see this as a potential research direction in cryptanalysis of AES.

Inte heller denna artikel visar på en direkt, praktisk attack – utan är en observation. En av författarna, Danilo Gligoroski har även sagt på en maillista att han inte ser speciellt stora möjligheter att utnyttja deras observation i en seriös attack.

Vad är då slutsatsen efter denna långa postning? Ungefär det här: AES har inte fallit, långt ifrån det. Men tillsammans med tidigare publicerade attacker de senaste åren visar de här artiklarna på att det sker framsteg inom kryptanalysen.

Detta visar även hur viktigt det är att låta utvärdering av algoritmer ta tid och att vid systemdesign inte binda sig stenhårt för en enda algoritm vid systemdesign. Det kan hända att den algoritm så såg bra och säker ut vid design, några år senare visar sig vara svag. Om systemet och det systemet hanterar har längre livslängd än så behöver man kunna byta ut algoritmerna, att vara flexibel.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Referenskoden är inte kanonsnygg och rätt dåligt dokumenterad. Bland annat stämmer inte namn med specifikationen, man gör egen definition av typer där man rimligen borde använd stdint.h och det finns inget körbart exempel. (I ärlighetens namn är det dock inte den sämsta referenskoden jag sett för ett krypto – kryptologer verkar i gemen vara rätt dåligt insatta i hur man skriver kod.)

Det var dock inga större problem att få snurr på ZUC och generera lite nyckelströmmar. På min laptop och med referenskoden får jag ca 250 Mbit/s när jag genererar block om 100 miljoner ord. Inte kanonhög prestanda, faktiskt något förvånande om man jämför med Snow.

Vad gäller algoritmen i sig och de naiva analyser jag kan göra ser jag egentligen inga nya saker. Jag hittar ingen bias mot några värden i Sboxarna, utan dom är rektangelfördelade. Initiering och klockning av interntillståndet ser väldigt mycket ut som i Snow. Däremot är det fortfarande oklart varför man valt de magiska konstanter och just de Sboxar man gjort. Vidare är det frågan hur mycket det påverkar att bara ha två Sboxar istället för fyra som i Snow.

En hårdvaruimplementation av ZUC ser ut att vara ungefär lika svår att göra som en implementation av Snow, dvs inte alls speciellt svårt och ge en kompakt implementation. Och då uppdatering av LFSR-kedjan samt uppslagning av Sboxar går att parallellisera borde det gå att få en rejäl prestandaökning jämfört med en SW-implementation.

Slutsatsen jag kan dra är att specifikationen verkar stämma med referenskoden och att det går att generera nyckelströmmar som stämmer med testvektorerna. Kan man lita på säkerheten hos ZUC ser det ut att vara ett helt ok strömkrypto. Det finns inga stora märkligheter men heller inget speciellt attraktivt och speciellt. Det är därför knappast av tekniska skäl som ETSI/SAGE, 3GPP och GSMA standardiserar ZUC. Speciellt då man precis standardiserat Snow 3G ger ZUC knappast någon algoritmisk diversitet, då borde man istället valt Trivium, Grain eller Rabbit, alla tre strömkrypton från eSTREAM-sviten med stora skillnader i struktur och uppbyggnad i jämförelse med ZUC och Snow..

Nej valet av ZUC handlar nog enbart om att möta kraven för access till en marknad och möjligheten att tjäna stora pengar. Förhoppningsvis blir vi som konsumenter inte lidande.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Kärnan i dessa algoritmer är ett nytt symmetriskt strömkrypto kallat ZUC. GSMA har även publicerat ett utkast till specifikation för ZUC samt en design- och utvärderingsrapport av ZUC, 128-EEA3 och 128-EIA3 skriven av ETSIs säkerhetsorganisation SAGE.

För att ZUC, 128-EEA3 och 128-EIA3 skall bli officiella standarder behöver 3GPP godkänna dom och GSMA vill därför få in kommentarer och undersökningsresultat på algoritmerna. (Nej, jag blir inte heller klok på relationen mellan GSMA, ETSI, SAGE och 3GPP.)

ZUC är ett krypto som har en 128-bitars nyckel och 128-bitars initieringsvektor (IV). Tittar man på strukturen hos ZUC rent översiktligt ser man relativt stora likheter med Svenska strömkryptot Snow 2.0 (i fortsättningen bara kallad Snow. Notera att det även finns en version av Snow utvecklad av ETSI/SAGE för 3G och LTE kallad Snow3G):

Strukturen hos ZUC.

Strukturen hos Snow 2.0.

Båda kryptona har en linjär del i form av ett skiftregister (LFSR eller LFSR-kedja). Samt en olinjär del (markerad med F i ZUC-figuren) implementerad i form av en tillståndsmaskin med en utbytestabell (Sbox). Båda krypton arbetar på ord om 32-bitar och det totala interntillståndet för ZUC är 560 bitar.

Ett par saker som skiljer ZUC från Snow är att där Snow har plockar ut ett par ord från LFSR-kedjan för att mata tillståndsmaskinen med har ZUC en filterfunktion som plockar bitar från fler ord i kejdan och kombinerar dessa till de ord som matar tillståndsmaskinen. Även återmatningen i LFSR-kedjan samt hur initieringen går till skiljer. En annan sak som skiljer är att de Sboxar som används i ZUC består av två tabeller om 256 element, medan Snow har fyra tabeller om 256 element.

Så långt gått och väl. Tittar man på konstruktionen och exempelvis ser på vilka operatorer som används och antalet register som behövs för att lagra interntillståndet ser ZUC ut att kunna vara ett kompakt krypto (både implementerat i SW såväl som i HW) med bra prestanda.

Problemet med ZUC är istället politiskt.

ZUC är nämligen specificerat av Data Assurance and Communication Security Research Center (DACAS), en del av Kinesiska vetenskapsakademin. Kina kräver nämligen att få specificera vilket krypto som skall användas i LTE, och LTE-Advanced-system som får säljas i Kina.

På den sida med forum som satts upp för ZUC pågår en ganska het debatt och även på olika krypto- och säkerhetsrelaterade maillistor pågår diskussion där många är väldigt tveksamma. Många ifrågasätter varför Kina får möjlighet att specificera ett krypto när inga andra länder gör det. Vidare ifrågasätts utvärderingen som utförts, inte minst för att ZUC inte utvecklats på ett öppet sätt så som det idag annars sker med internationellt accepterade algoritmer. Många påminner även om hur Kina försökte få in en egen säkerhetsstandard för trådlösa nät kallad WAPI (med det symmetriska blockkryptot SMS4).

En sak att lägga märke till är att ZUC, 128-EEA3 och 128-EIA3 inte är tänkt att enbart användas i Kina, utan är avsedda för internationell marknad, däremot är det de algoritmer så måste användas i Kina. Blir dessa algoritmer godkända kommer de att finnas med i kommande LTE-mobiler och basstationer.

Det jag inte gillar när jag läser specifikationen är att det inte finns någon förklaring till hur de magiska konstanter (D i specifikationen) har valts ut. För Sboxarna finns det i utvärderingsrapporten en kortare förklaring, men inte exakt varför man valde de värden man gjort.

Vidare är det frågan om man verkligen vågar lita på SAGE. De praktiskt genomförbara attacker som Adi Shamir m.fl utvecklat mot 3G-kryptot KASUMI har visat att de förändringar SAGE gjorde av kryptot MISTY1 för att utveckla KASUMU, förändringar avsedda att förstärka kryptot, är de som gjort kryptot så svagt. Dessutom är det tveksamt hur fristående SAGE är från de företag som avser att sälja LTE-utrustning till Kina. Att ETSI/SAGE accepterar en algoritm så är så snarlik Snow och Snow 3G när den senare nyligen godkänts visar att det inte handlar om säkerhetsmässiga skäl för de nya algoritmerna.

Jag är rätt övertygad om att ZUC, 128-EEA3 och 128-EIA3 kommer att bli 3GPP-godkända standarder. Det jag skulle vilja se innan dess är dock en större öppenhet vad gäller designval och en ordentlig omgång av öppna undersökningar, inte bara det SAGE och några inbjudna forskare genomfört på uppdrag av SAGE/ETSI, GSMA och Kina. Jag blir under alla förhållanden inte överraskad när SAGE konstaterar att:

Overall, taking into account all the feedback from the two paid evaluation teams, the SAGE task force concluded that the new algorithms are fit for purpose. The security margin appears to be high, and the design rationale clear. The SAGE task force has no objection to 128-EEA3 and 128-EIA3 being included in the standards.

En sista liten detalj. Undrar hur Inspektionen för Strategiska Produkter reagerar när man skall exportera ett kinesiskt krypto till Kina…

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Sectra XS

Grattis Sectra! Det är alltid kul att se att det går bra för svenska säkerhetsföretag och XS är en smart produkt.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Den största förändringen i draften är att vi ändrat en av kryptonycklarna och därmed genererat nya vektorer. Draften innehåller två olika slags nycklar med tillhörande testvektorer för olika nyckellängder. En av dessa nycklar är genererad genom att köra strängen Internet Engineering Task Force genom hashfunktionen SHA-256. Tyvärr inkluderade den gamla strängen radbrytning vilket inte syns i strängen. Detta är nu ändrat.

Andra ändringar är att vi nu även har med testvektorer runt nyckelströmspunkten 4096 Bytes. Vidare har vi förtydligat en del referenser och säkerhetsrekommendationer för RC4. Rent krasst skriver vi att:

The RC4 algorithm does not meet the basic criteria required for an encryption algorithm, as its output is distinguishable from random. The use of RC4 continue to be recommended against; in particular, its use in new specifications is discouraged. This note is intended only to aid the interoperability of existing specifications that make use of RC4.

Vi tar gärna emot kommentarer och synpunkter på draften.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Den första attacken är en attack på AES-algoritmen i sig och knyter därmed an direkt till de attacker jag bloggade om. Återigen är det Orr Dunkelman, Nathan Keller och Adi Shamir som ligger bakom den kryptanalytiska attacken.

Det intressanta med den här attacken är att till skillnad från de flesta attacker på AES-algoritmen kräver den här inte ett stort antal nycklar, utan bygger på en enskild nyckel. Just att de senaste årens attacker krävt ett stort antal relaterade (kopplade) nycklar har varit dessa attacker svaghet. Eller som EU-projektet ECRYPT II skriver i sin årliga rapport om nyckellängder och kryptoprimitiver:

We note that related-key attacks’ practical relevance depends on context, and these attacks are unlikely to affect practical uses of the AES algorithm.

Shamirs, Dunkelmans och Kellers nya attack, Improved Single-Key Attacks on 8-round AES kan därmed ses som ett svar på detta, Författarna skriver:

AES is the most widely used block cipher today, and its security is one of the most important issues in cryptanalysis. After 13 years of analysis, related-key attacks were recently found against two of its flavors (AES-192 and AES-256).

However, such a strong type of attack is not universally accepted as a valid attack model, and in the more standard single-key attack model at most 8 rounds of these two versions can be currently attacked. In the case of 8-round AES-192, the only known attack (found 10 years ago) is extremely marginal, requiring the evaluation of essentially all the 2**128 possible plaintext/ciphertext pairs in order to speed up exhaustive key search by a factor of 16.

In this paper we introduce three new cryptanalytic techniques, and use them to get the first non-marginal attack on 8-round AES-192 (making its time complexity about a million times faster than exhaustive search, and reducing its data complexity to about 1/32,000 of the full codebook).

In addition, our new techniques can reduce the best known time complexities for all the other combinations of 7-round and 8-round AES-192 and AES-256.

Fortfarande är det på AES-versioner med ett färre antal iterationer än det som normalt används. Men det är ännu ett sår i AES-bygget.

Den andra attacken är inte på algoritmen, utan en sidoattack på implementationen av AES - mer exakt på en datorplattform som exekverat AES och som sedan stängts av(!). Genom att använda verktyg för att lösa Boolean SAT-problem (svensutvecklade MiniSat) anpassad kryptoproblem – CryptoMiniSat. Detta verktyg har använts för att lösa en Boolesk beskrivning av nyckelschemaläggningen i AES kan dom återskapa nyckeln även från ett minne som varit avstängt och därmed tappat en stor del av sitt innehåll.

SRAM-minnen och till viss del även DRAM-minnen tappar sin information när strömmen kopplas bort, men kan behålla informationen under en längre tid – kallas data remanence. Speciellt i kalla förhållanden kan ett SRAM-minne behålla sin information under lång tid.

I artikeln Applications of SAT Solvers to AES key Recovery from Decayed Key Schedule Images visar Abdel Alim Kamal och Amr M. Youssef att dom för 10000 nycklar där 72% nycklen har förstörts (bitarna har ändrat värden slumpmässigt) kan dom återskapa 92% av nycklarna på mindre än 10 sekunder. Nu gäller detta inte enbart AES, utan som författarna skriver:

In this work, we modelled the problem of key recovery of the AES-128 key schedules from its corresponding decayed memory images as a Boolean SAT problem and solved it using the CryptoMiniSat solver. Our experimental results confirm the versatility of our proposed approach which allows us to efficiently recover the AES-128 key schedules for large decay factors.

The method presented in this work can be extended in a straightforward way to AES-192, AES-256 and other ciphers with key schedules that can be presented as a set of Boolean equations and, hence, lend themselves naturally to SAT solvers.

För den som vill läsa mer om data remanence rekommenderas Peter Gutmanns klassiska Data Remanence in Semiconductor Devices.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Detta är den första stora attacken (som dock snarare är en uppdatering på en attack från förra året) i år. Men sett över de senaste dryga året har vi sett fem, sex större attacker på AES som algoritm, samt ett antal mindre attacker där olika delar av algoritmen analyseras. Och sedan, naturligtvis ett antal attacker på implementationer, inte minst attacker basererade på felinjektering och sidoattacker. Wikipedias sida om AES listar några av dessa attacker, men långt ifrån alla. Bruce Schneier bloggade om dessa attacker ett par gånger i mitten på förra året (ett, två). En av de främsta på att attacker AES är Orr Dunkelmans.

Orr Dunkelman

Kolla man på Orr Dunkelmans forskningssida hittar man ett flertal artiklar med olika analyser av AES och attacker. Den här om vad som händer om MixColumns-operationen i AES inte fungerar i den sista iterationen är ett typiskt exempel på den typ av analys jag tycker att man ser ofta just nu (en trend inom kryptanalys).

Vad jag försöker säga är att jag upplever det som att AES, efter snart tio år sedan (AES publicerades i november 2001 så det snarare åtta år, men…) utan större säkerhetsproblem med algoritmen nu plötsligt börjar se lite skadeskjuten ut – att den kanske inte är så säker längre. Det är inte dags för panik, men långsiktigt och för nya applikationer bör man nog tänka på att inte låsa fast sig i AES, utan göra det möjligt att byta algoritm.

Till saken hör att AES har varit en formidabel succé och har designats in i alltifrån kommunikation för små sensorsystem (IEEE 802.15.4 – ZigBee) till 10G Ethernet och en oherrans massa saker däromkring. Skulle AES falla och måste bytas ut kommer det inte att bli enkelt.

Det skall bli spännande att se hur det går.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

David McGrew.

Draften Fundamental Elliptic Curve Cryptography Algorithms (draft-mcgrew-fundamental-ecc-02.txt) ger en referensbeskrivning av Elliptic Curve-krypto (ECC).

Varför är nu detta intressant? Jo – som författarna själva skriver:

The adoption of ECC has been slower than had been anticipated, perhaps due to the lack of freely available normative documents and uncertainty over intellectual property rights.
...
...
This note contains a description of the fundamental algorithms of ECC over fields with characteristic greater than three, based directly on original references. Its intent is to provide the Internet community with a summary of the basic algorithms that predate any specialized or optimized algorithms, which can be used as a normative specification. The original descriptions and notations were followed as closely as possible.
...
...
These descriptions may be useful for implementing the fundamental algorithms without using any of the specialized methods that were developed in following years. Only elliptic curves defined over fields of characteristic greater than three are in scope; these curves are those used in Suite B.

Jag håller med om att det länge behövts en bra beskrivning av ECC. Men att det Just är patenträttigheter på ECC som hållit tillbaka utvecklingen verkar de flesta vara överens om. Som någon på Cryptography-listan konstaterade ger draften inte bara en normativ beskrivning av ECC, den sammanställer även en referens som är mer än 15 år gammal och föregår därmed de patent som idag finns på ECC.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.