Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Krypto » Kryptoblog

Archive for the ‘Krypto’ category

Säkerhetskonferens på Luleå tekniska universitet

February 1st, 2010

Luleå tekniska universitet (LTU – för övrigt Sveriges bästa tekniska universitet) anordnas den 19:e februari säkerhetskonferensen LuSec 2010. Den utskickade inbjudan beskriver konferensen så här:

Har du någonsin hört talas om “elliptic curve cryptography”? Kanske har du läst om en ny forskning inom behaviometri? Vill du veta mer om hur den svenska DNS-kärninfrastrukturen fungerar? Låter det intressant?

Kom då till C-305 fredagen den 19 februari. Alla är hjärtligt välkomna!

För den som vågar kan man utmana sig själv i spännande säkerhetstävlingar.


Evenemanget är självklart gratis.

Hade jag bott i Lule hade jag inte tvekat att ta en tur till konferensen, även om den anordnas på Geos domäner.

Sectra får stora order på kryptomobiler

January 28th, 2010

Elektroniktidningen rapporterar att Sectra fått stora beställningar på sin kryptomobil Tiger XS på sammanlagt 10 MSEK.

Tiger XS
Kryptomobilen Tiger XS.

De nya beställningarna är från två europeiska försvarmakter. Enligt Sectra Företaget används Tiger i mer än hälften av EU:s medlemsländer.

Daniel Stenberg rapporterar från OWASP-mötet

January 25th, 2010

Daniel Stenberg var på OWASP Swedens möte om de stora protokollen och har skrivit en bra sammanfattning.

A5/3-attacken publicerad

January 12th, 2010

Den nya attack på kryptot A5/3 i 3G jag tidigare bloggat om har nu publicerats på IACR. A Practical-Time Attack on the A5/3 Cryptosystem Used in Third Generation GSM Telephony (här är pdf-version av artikeln) av Orr Dunkelman, Nathan Keller och Adi Shamir är klart intressant läsning. Författarna skriver i sin sammanfattning att:

The privacy of most GSM phone conversations is currently protected by the 20+ years old A5/1 and A5/2 stream ciphers, which were repeatedly shown to be cryptographically weak. They will soon be replaced in third generation networks by a new A5/3 block cipher called KASUMI, which is a modified version of the MISTY cryptosystem.

In this paper we describe a new type of attack called a sandwich attack, and use it to construct a simple distinguisher for 7 of the 8 rounds of KASUMI with an amazingly high probability of $2**-14.

By using this distinguisher and analyzing the single remaining round, we can derive the complete 128 bit key of the full KASUMI by using only 4 related keys, 2**26 data, 2**30 bytes of memory, and 2**32 time.

These complexities are so small that we have actually simulated the attack in less than two hours on a single PC, and experimentally verified its correctness and complexity. Interestingly, neither our technique nor any other published attack can break MISTY in less than the 2^**128 complexity of exhaustive search, which indicates that the changes made by the GSM Association in moving from MISTY to KASUMI resulted in a much weaker cryptosystem.

Eller om man vill sammanfatta det ännu mer: AJ!.

Samtidigt skall man påpeka att attacken ändå kan vara praktiskt svår att genomföra. Som författarna skriver: However, the new attack uses both related keys and chosen messages, and thus it might not be applicable to the specific way in which KASUMI is used as the A5/3 encryption algorithm in third generation GSM telephony. Att säkerheten skulle hänga på att inte kunna tvinga fram fyra olika nycklar och meddelanden av en viss typ låter dock inte bra.

Det skall bli intressant att se hur ETSI SAGE och 3GPP reagerar på detta resultat. Det var ETSI SAGE som specificerade KASUMI baserat på Mitsubishis blockkrypto MISTY1. Enligt Wikipedia är de ändringar som gjordes för att underlätta effektiv implementation i hårdvara.

Det vore dessutom intressant att höra vad författarna till exempelvis den här artikeln eller den här artikeln anser. Speciellt den senare hävdar att KASUMI är en bra PRNG, vilket den nya attacken väldigt tydligt motsäger.

Mer om GSM-attacken

December 30th, 2009

Det verkar aldrig ta slut på uppmärksamheten kring Karsten Nohls attack på A5/1 (se tidigare bloggpostning ett och bloggpostning två). I dag har Sveriges Radio och Ekot plockat upp tråden och jösses vilket reportage det blev.

Ekots bild till artikeln.

Egentligen är Per Eurenius reportage (webbradio) från 26C3 i Berlin inte så illa, utan det är snarare påannonseringen och SRs nyhetstext som är tokfel:

Hemlig gsm-kod hackad av forskare

En tysk forskare har lyckats avslöja den kod som ska skydda mobiltrafiken i världens största telefonsystem, gsm.

Nej, SR, det är ingen kod som avslöjats, och det är inte hemligt.

Även Cryptome har uppdaterat sitt material In support of Karsten Nohl’s cracking of GSM A5 och den här sidan hos Cryptome är nog den mest kompletta samlingen av information om A5-krypton, säkerhet (eller avsaknad därav) i GSM, GPRS och UMTS.

För den som vill ha Karstens regnbågstabeller finns det nu torrentfiler.

SvD om attack på GSM-kryptot

December 29th, 2009

26:e(!) CCC-konferensen (26C3) pågår för fullt i Berlin med massor av högintressanta presentationer. Någon har uppenbarligen tipsat SvD (eller mer troligt är det denna NYT-artikel dom plockat, en artikel med något mer innehåll) att Karsten Nohl presenterat sin regnbågsattack på GSM-kryptot A5/1. (Att Karsten Nohl håller på med en regnbågsattack mot A5/1 har jag tidigare bloggat om här på Kryptoblog.)

SvDs artikel GSM-kod knäckt av tysk forskare innehåller inte mycket substans och missar att A5/1 varit knäckt sen lång tid tillbaka, och att Karsten försöker folk att inse detta. Vidare hänvisar man till GSM-organisationen med säte i London, vilket borde vara GSM Association (GSMA). En person där uttalar sig om att det Karsten presenterat är olagligt. (Tyvärr kan det vara sant – iaf kan Karstens regnbågstabeller vara olagliga i Tyskland där lagen §202c gör säkerhetsverktyg olagliga.)

Tittar man på A5/1-projektets Trac-sida finns presentationsbilderna från 2gC3 och projektnyheter. Bland annat berättade man att:

* The community has computed a large number of rainbow tables (Thank you!)

* We found new sources of known plaintext which allows decryption with a smaller subset of the codebook than previously thought

* A full GSM interceptor to collect GSM data could hypothetically be built from open source components, which we have not doing so may be illegal in some countries

JanJ tipsade om att Cryptome har en sida med länkar och info från gamla attacker på GSM-krypton.

Slutligen kan det vara värt att nämna att det verkar som att KASUMI – blockkryptot som används i UMTS och kallas A5/3 kan vara fetknäckt. På en rump session vid Asiacrypt 2009 presenterade Adi Shamir, Orr Dunkelman och Nathan Keller ett pågående arbete kallat A Practical-Time Attack on the Encryption Algorithm Used in Third Generation Telephony.

Ännu finns ingen artikel publicerad (vad jag kan hitta, ex på IACR), men räkna med att jag återkommer så fort jag hittat och läst den. Det ironiska är att det Karsten Nohl säger sig villa åstadkomma med sin A5/1-attack är att få till ett byte från A5/1 till A5/3, men om den algoritmen också är knäckt står vi alla med byxorna nere.

Så vitt jag vet är kryptofunktioner som A5/1 och A5/3 implementerade som HW-funktioner i terminaler. Vidare finns det ingen förhandlingsmekanism i GSM och UMTS motsvarande ex TLS som gör det enkelt att spärra bort och lägga till nya algoritmer. Tillsammans gör detta att det nog kommer att dröja innan det finns ett bra skydd för radiolänken i GSM och UMTS (om Adi & co:s attack stämmer – och eftersom det är dom stämmer det antagligen.)

Regnbågstabeller för A5/1

December 11th, 2009

Det har varit en del uppmärksamhet om Karsten Nohls A5/1-projekt. IEEE Spectrum hade en bra artikel som sedan bla ledde till en artikel i Elektroniktidningen här i Sverige.

Karsten Nohl
Karsten Nohl från en tidigare attack på RFID.

Vad det hela handlar om är att Karsten Nohl (bland annat) har bestämt sig för att generera regnbågstabeller för GSM-kryptot A5/1.

Då A5/1 använder en 64-bit nyckel skulle en ren tabell ta upp 128 Petabyte och att generera tabellen med en CPU skulle ta hundatusentals år. Karsten & Co löser dessa båda problem genom att koda/komprimera samt använda GPU:er programmerade med CUDA för att parallellisera beräkningarna.

Det finns en presentation av Karsten Nohl från HAR 2009 om projektet som mer i detalj beskriver tabellkomprimeringen samt hur GPU-accelerationen går till.

Syftet bakom projektet så som det anges i presentationen är att det sedan 1994 publicerats ett antal attacker på A5/1-algoritmen, men trots detta finns det ingen publik exploit eller publikt presenterad praktiskt genomförd attack. Det Karsten vill åstadkomma är därför att ta fram en sådan praktisk attack för att visa att A5/1 verkligen är osäkert, inte bara i teorin (eller om man heter NSA.).

Om du vill följa utvecklingen i projektet finns det en Trac-sida för A5/1-projektet som innehåller statusuppdateringar, kod etc.

Det Karsten hoppas skall ske är att GSM går över till A5/3 (baserat på kryptot Kasumi), vilket används i 3G. Frågan är dock om det kommer att ske. Med flera miljarder med användare kommer det att finnas en enorm mängd mobiler som fortsätter köra A5/1 i många år framöver.

En annan viktig sak att komma ihåg är att oavsett om det är A5/1 eller A5/3 som används är det bara mellan din mobil och basstationen ditt samtal är skyddat. Vill du lita på att ditt samtal inte avlyssnas från dig till den du kommunicerar med bör du betrakta den kanal operatören tillhandahålla och vidta de åtgärder du tycker behövs.

libssh2 1.2.2 släppt

November 17th, 2009

Igår släpptes version 1.2.2 av libssh2. De stora nyhterna i denna version är stöd för AES i counter-mod (CTR) för alla tre nyckelllängder (RFC 4344) samt arcfour128. Och dessutom lite buggfixar. Bra jobbat av Daniel, Simon och de andra bakom libssh2. Daniel Stenberg och Simon Josefsson vann för övrigt Nordic Free Software Award 2009 – högst välförtjänt. Grattis!

Uppdatering 2009-12-01:
Här finns Daniels presentation om libssh 1.2.2 från FSCONS 2009.

Klassificering av botnets som använder kryptering

November 15th, 2009

Sprang på en rejäl genomgång och klassificering av botnets som på olika sätt använder kryptering:


Abstract.

As technology has been developed, the network of bot, botnet, has been huge matter in computer science society. Most botnet causes network security threats and they are based on C&C server such as IRC, HTTP common protocol [1] and recently botnet also constructs P2P connection and the bot’s characteristics and activities are all different according to the structure of botnet. That is why the existed research is numerous, too, and it is beneficial to categorize and to classify defense mechanism of bot. The bot activities result in a lot of negative effects such as DDoS (Distributed Denial of Service) and Spamming. The mechanisms for bot detection and defenses can be categorized into C&C based bot detection and P2P based bot detection. A vital aspect of botnet administration is the authenticity and integrity of commands. Asymmetric cryptography offers a simple, yet effective way to do this and the methodology is discussed here.

Keywords: botnet, bot detection, P2P bot, C&C bot ,cryptography

Säkerhet vid byte av bilnyckel

November 3rd, 2009

För ett tag sedan började en av de elektroniska nycklarna till vår bil (SAAB 9-3) att krångla. Ibland fungerade den, ibland inte.

Som ägare kan man själv öppna nyckeln och byta batteri, detta hjälpte dock inte så det var inte ett kasst batteri, utan kass elektronik. Samtidigt som man byter batteri kan man titta på vad som borde vara ett KeeLoq-chip.

En trasig elektronisk nyckel ersätts med en ny som behöver paras ihop med bilen med hjälp av en programmeringsenhet de har på verkstaden. Så långt allt väl, men nu kommer det som gjorde mig förvånad: När detta sker måste alla andra elektroniska nyckar vara med, annars kommer de att sluta fungera.

Jag inbillade mig att bilens chip innehöll en accesslista. När den nya nyckeln skall paras ihop med bilen läggs nycklens ID in i listan och den gamla nycklens ID plockas bort. Men tydligen är det inte så det fungerar.

En servicetekniker hävdade att detta förfarande var för att det skulle vara säkrare, vilket jag har svårt att se varför. Han tänkte sig tydligen situationen när en nyckel har tappats bort – men det är ett helt annat användningsfall – här finns den gamla nyckeln kvar så vilken nyckel som skall plockas bort från en accesslista kan inte vara bekymret.

Kan du som läser detta komma på en bra anledning till att behöva para ihop alla nycklar igen med bilen när en nyckel skall ersättas?

Det enda jag kan komma på är att det finns en gemensam gruppnyckel och därmed ingen accesslista. Om jag fattat Keeloq rätt skall dock alla enheter ha ett unikt ID och därmed möjlighet för accessliste-baserad säkerhet.

Dessutom är det så att det finns en fysisk nyckel i den elektroniska som gör att man iaf kan öppna förardörren på gammalt mekaniskt sätt. Och dessa nycklar är inte unika, utan det är samma nyckel i alla de som hör till en bil.