Archive for the ‘Krypto’ category

« Older Entries
Newer Entries »

NISTs statusrapport för SHA-3

October 4th, 2009

NIST arrangerar en tävling för att få fram en ny hashfunktion avsedd att komplettera SHA-2, en hashfunktion som kommer att kallas SHA-3. Tävlingen har pågått sedan hösten 2007 och i slutet av juli 2009 avslutades den första omgången av tävlingen och den andra omgången startade. För ett par veckor sedan publicerade NIST en statusrapport med lägesbeskrivning för tävlingen efter första omgången..

När tävlingen startade begärde NIST in kandidater och fick totalt in 64 stycken kandidater. Av dessa kandidater ansåg NIST att 51 uppfyllde minimikraven och accepterades som kandidater i slutet av oktober 2008. Det senaste året har dessa kandidater undersökts och attackerats av såväl NIST som kryptosamfundet i stort. För den som är intresserad listar SHA-3 Zoo status för alla kandidater vad gäller attacker.

En av de saker rapporten beskriver är vilka kriterier NIST har satt upp för att bedöma de olika kandidaterna. Dessa är uppdelade i tre kategorier:

  1. Säkerhet. Den nya hashfunktionen måste vara minst lika säker som SHA-2-funktionerna.

  2. Prestanda och kostnad. Ett problem med SHA-2 är att dessa funktioner är väldigt mycket långsammare än SHA-1 och den nya funktionen måste därför vara snabbare än SHA-2. Prestandan mäts både på referensplattformen Intel Core 2 Duo i 32- och 64-bitarsmod, men man tittar även på 8-bitplattformar och HW-implementationer. Kostnaden handlar om mängd program- och dataminne samt storlek vid HW-implementationer.

  3. Algoritm och implementation. Detta kriterie handlar mer om ifall algoritmen är mer eller mindre flexibel, kan utnyttja nya arkitekturer som SIMD-instruktioner eller AES-instruktioner, går att parallellisera samt om algoritmen är enkel eller invecklad.

Utifrån sina egna bedömningar och andras analyser vad gäller säkerhet och prestanda (exemeplvis eBASH-projektets prestandamätningar) har NIST valt ut 14 algoritmer som går vidare till andra omgången. Dessa är:


BLAKE, BLUE MIDNIGHT WISH (BMW), CubeHash, ECHO, Fugue, Grøstl, Hamsi, JH, Keccak, Luffa, Shabal, SHAvite-3, SIMD, Skein

Rapporten innehåller en kortfattad beskrivning av varje kandidatalgoritm där NIST beskriver grundläggande idé och struktur, hur olinjäritet skapas i algoritmen, vad NIST ser som det unika med algoritmen, prestanda samt säkerhetsläget. Utifrån dessa beskrivningar kan man göra några enklare observationer:

  • Tre grundläggande idéer/strukturer återkommer hela tiden. Tre är baseade på HAIFA, sex är olika varianter och utökningar av Merkele-Damgård (MD) och övriga fem är baserade på de relativt nya svampfunktionerna (Sponge functions). Det är skönt att se att det inte bara är MD-baserade kandidater kvar, utan att det finns kandidater med rejält olika utgångspunkt kvar i tävlingen.

  • Fyra av kandidaterna använder på något sätt AES som en del av sin funktionalitet. Vissa återanvänder S-boxen, andra återanvänder delar eller hela round-funktionen från AES.

  • Flera av kandidaterna behöver väsentligen implementeras med SIMD- eller AES-specialiserade instruktioner för att ge riktigt bra prestanda.

  • Antalet kandidater med substitutionstabeller är ganska få, och dessa är förhållandevis små. Detta kan antagligen ses som ett resultat av de senaste årens uppmärksammade problem med att göra implementationer utan sidoeffekter av algoritmer med S-boxar.

  • Förhållandevis många kandidater bygger på att använda enkla funktioner (XOR, modulär addition, skiftoperationer) som upprepas ett stort antal gånger, gärna med möjlighet till parallellism. Ingen verkar använda multiplikationer eller andra typer av mer avancerade transformer, ex FFT som en av de andra kandidaterna använde.

NISTs förhoppning är att det begränsade antalet kandidater i andra omgången skall göra att samtliga kandidater blir rejält genomlysta. NIST noterar i sin beskrivning av kandidaterna att det skiljer ganska väsentligt i hur mycket analys som skett av de olika kandidaterna så här långt.

Den andra omgången är planerad att pågå i ett år och hösten 2010 avser NIST att välja ut fyra-fem stycken av de 14 kandidaterna som finalistkandidater. Detta innebär att tävlingen pågått i två år och kommer att hålla på i ett, troligen två år till. Det tar tid att skaka fram en hashfunktion.

No comments »

Posted in Forskning, Krypto, sha-3

Allt om AES – illustrerad med streckgubbar

October 1st, 2009

Jeff Moser har ritat en oherrans massa streckgubbe-illustrationer för att berätta om kryptot AES. A Stick Figure Guide to Advanced Encryption Standard (AES) tar avstamp i historien bakom kryptot, och fortsätter hela vägen till exakt hur kryptot fungerar, används etc. Några exempel:
SubBytes
Hur SubBytes-operationen fungerar.

Multiplikation
Multiplikation får saker att växa snabbt.

AES Crib Sheet
Ett komplett Crib Sheet för AES.

Sedan tycker jag att den här bilden var väldigt rolig:
Foot Shooting

No comments »

Posted in Krypto

Guide till säkerhetsprocessorer

September 24th, 2009

I Juli publicerade analysföretaget The Linley Group en ny version av sin analysrapport om säkerhetsprocessorer. Rapporten är dyr som attan (2995 USD), men ger en bra bild över vilka som tillverkar processorer för säkerhetsområdet och vilka trenderna är.

The Linley Group logga.

Vill du inte lägga ut så mycket pengar, me ändå är nyfiken finns en PDF med sammantattning, innehållsförteckning m.m. Den ger tycker jag en bra bild i sig. Några snabba utdrag:

This report covers processors that integrate high-throughput encryption, such as Cavium’s Octeon families, RMI’s XLR/XLS/XLP, and Freescale’s MPC8572 and P4080. We also cover unique processors from Netronome and Tilera, which integrate 40 or more cores and target network-security applications. In addition, the report examines vendors developing content-inspection accelerators: LSI, NetLogic, Lionic, and cPacket. Finally, we cover IPSec and SSL accelerators from Cavium, Exar (Hifn), SafeNet, and Broadcom.
...
In the emerging market for content-inspection accelerators, vendors offer a mix of chip- and board-level products complemented by extensive soft- ware, including regular-expression compilers. These products can accel- erate database searches for Layer 7 applications. The early leader in reg- ex accelerators is LSI, which acquired startup Tarari in 2007. NetLogic, the leading vendor of network search engines (TCAM), reached produc- tion with its first content-inspection chip set during 2007. During 2008, both LSI and NetLogic introduced low-cost chips that expand the market for reg-ex accelerators. Meanwhile, Cavium and Freescale have integrated this function into their respective integrated-security processors. Once it completes its acquisition of RMI, NetLogic may also pursue this integra- tion step.

No comments »

Posted in Hårdvara, Krypto, Läsvärt

Fixar du FRAs utmaning?

September 16th, 2009

Jag såg att FRA har ett antal lediga tjänster inom såväl teknisk signalspaning, analytiker och även ett spännande exjobb i Göteborg om parallellprogrammering framtidens processorer (och då Javaprogrammering?!). Annonsen för tjänsten som Analytiker inom IT-säkerhetsområdet är lite speciell, den innehåller nämligen en liten utmaning:
RXhrbHVzaXZ0LCBlbGxlcj8gTWVuaW5nZW46IAssKS43JicwI2
IxNCMwJyxiMqdiJLQuKCMsJidiJDCnJS0wYitiJissYiMsMbQp
Iyx4YnNsYgo3MGIvpywlI2ItLispI2I2OzInMGIjNGIvpiwsKz
EpLTBiJCssLDFiJic2fWJwbGIKNzBiL6csJSNiLycmIzBiKiMw
YicsYgwNEm8xLqYmJ30=

Fixar du den?

5 comments »

Posted in Krypto, övrigt

Felrapporterad FileVault

September 14th, 2009

För ett par dagar sedan skickade jag in en felrapport till Apple om några problem med deras diskkryptering FileVault.

När jag försöker slå på FileVault för min användare i System Preferences dyker det upp en dialogruta som säger:


You can’t turn on FileVault to protect the home folder of this user account.

The home folder is located on a volume that isn’t in Mac OS Extended format.

Men om jag använder verktyget Disk Utility rapporterar den att volymen är av typen:
Mac OS Extended (Case-sensitive, Journaled)

Lite sökning ger att FileVault inte stöds för volymer som stödjer stora och små bokstäver(!). Jag anser att det här finns ett antal problem:

  1. Det uppenbara – att FileVault inte går att använda på ett av de standardformat Apple låter dig som användare välja när du formatterar din volym.

  2. Att Apples formatteringsverktyg vid formattering inte varnar att det valda formatet gör att FileVault inte går att använda.

  3. Att felmeddelandet som dyker upp när man försöker slå på FileVault är felaktigt och förvirrande.

I dag kom ett svar från Apple:


Thank you for filing this issue via Apple’s bug reporting system. Apple takes every report of a potential security problem very seriously.

After examining your report we do not see any actual security implications. However, we do feel that it should be addressed.

Att en viktig säkerhetsfunktion inte går att använda, att jag som användare inte får en varning när jag gör ett val som slår ut säkerhetsfunktionen och att felmeddelandet är förvirrande och felaktigt har alltså inga säkerhetsimplikationer?

Till Apples försvar är det väl så att de ser security som en fråga om säkerhetshål. Förhoppningsvis kommer Apple att till en ny version av sitt OS (ett okänt antal releaser framåt i tiden) stödja FileVault även för denna typ av volym. Men gissningsvis fixar dom till felmeddelanden. Sedan är det frågan om inte det här problemet är överspelat den dag Apple äntligen erbjuder fullt utbyggt stöd för filsystemet ZFS. Jag hade hoppats på att kunna börja använda ZFS, men tyvärr försvann stödet för filsystemet strax innan OS:et släpptes.

Så vad göra istället? Tyvärr fungerar inte PGPs diskkryptering på Snow Leopard. JakobS tipsade om att Patrik Karlsson på cqure.net, skaparen av ett otal säkerhetsverktyg byggt en snygg lösning baserad på TrueCrypt. Enligt ett blogginlägg av Patrik har han lyckats koppla in TrueCrypt till systemets nyckelring och LoginHooks och det går nu att skydda en hemkatalog med TrueCrypt. Snyggt!

No comments »

Posted in Krypto, Mac, Verktyg

Återanvänd text om FPGAer och säkerhet

September 11th, 2009

Myndigheten för samhällsskydd och beredskap (MSB) bildades första januari 2009 och tog då över verksamhet från Räddningsverket, Krisberedskapsmyndigheten samt Styrelsen för psykologiskt försvar. I brist på annat att göra när man ligger med en eventuell svininfluensa slösurfade jag på MSBs webbplats. En sak jag gjorde var att söka på ordet kryptering och fick då upp KBMs gamla rapportserie Nyhetsrapport – omvärldsbevakning ur ett krypteringsperspektiv.

Enligt informationsrutan i rapporterna är:

Nyhetsrapporten är utgiven av Combitech AB på uppdrag av Försvarets materielverk (FMV) och Krisberedskapsmyndigheten (KBM). Nyhetsrapporten kommer ut ungefär tre gånger per år. Tidigare utgåvor kan erhållas genom att kontakta redaktören. Innehållet fokuserar på krypto, men kan även innehålla andra säkerhetsrelaterade notiser. Nivån är övergripande för att ”alla” och inte bara branschfolk skall ha glädje av den.

Intressant nog hävdar webbplatsen ovan att: Nyhetsrapporterna är utgivna av AerotechTelub, men det är nog mest en detaljfråga. Jag tycker att rapporterna är väl värda att läsa med såväl nyheter som förklaringar av kryptografiska funktioner och begrepp. Det är synd att nyhetsrapporten snarare verkar komma ut en gång per år än tre gånger per år som informationsrutan vill göra gällande. (Kommer nyhetsrapporten att komma ut under MSBs regi också, någon som vet?)

En sak i nyhetsrapporten från april 2008 gjorde mig tyvärr lite fundersam. Rapporten innehåller ett stycke om NSA och SRAM-baserade FPGAer för kryptosystem som tar upp det arbete NSA och Xilinx genomfört – ett arbete jag bloggade om i slutet av augusti 2007 med rubriken… NSA och SRAM-baserade FPGAer för kryptosystem

I nyhetsrapportens text läser jag bland annat:

National Security Agency (NSA) och FPGA-tillverkaren Xilinx [1, 3] har genomfört ett intressant projekt vad gäller säkerhetskonstruktioner med hjälp av Field-programmable gate array (FPGA). Vad NSA och Xilinx har gjort är att både analysera säkerheten i SRAM-baserade FPGA:er samt utvecklat metoder och verktyg för att implementera system som möter NSAs säkerhetsklass Fail Safe Design Assurance (FSDA).
...
Att implementera kompletta säkerhetssystem i en FPGA:er har tidigare undvikits av rädsla för att det inte skall gå att upprätthålla röd/svart-separation [2] inne i FPGA:n, med risk för informationsläckage och säkerhetsproblem.
...
Exempel på vad NSA vill kunna implementera i en FPGA är redundanta kryptoenheter, röd/svart-separering internt på chippet och chip med funktioner som arbetar med olika säkerhetsklasser.

Hmmm…. Jag tycker att jag känner igen den där texten. Min egen bloggpostning innehåller texten:

NSA och FPGA-tillverkaren Xilinx genomfört ett i mitt tycke extremt intressant projekt. Vad NSA och Xilinx har gjort är att både analysera säkerheten i SRAM-baserade FPGAer samt utvecklat metodik och verktyg för att implementera system som möter NSAs säkerhetsklass FSDA - Fail Safe Design Assurance.
...
Att implementera kompletta säkerhetssystem i en FPGA har även det undvikits av rädsla för att det inte skall gå att upprätthålla röd/svart-separation inne i FPGA:n, med risk för informationsläckage och säkerhetsproblem.
...
Exempel på vad NSA vill kunna implementera i en FPGA är redundanta kryptoenheter, röd/svart-separering intern på chippet och chip med funktioner som arbetar med olika säkerhetsklass.

Kryptoblog är en blogg – en öppen text. Därmed är det fritt att länka och referera till vad jag skriver, och ingen blir gladare än jag om det jag skriver används för att sprida information om krypto i sverige (förhoppningsvis inte som driftkuku och exempel på tokfrans). Men om ni lånar min text får ni helst se till att tala om att ni lånat den på Kryptoblog. Tack!.

2 comments »

Posted in Krypto, Läsvärt, Om Kryptoblog

En utmaning från InformAsic och Loxystem

September 8th, 2009

InformAsic och Loxystem som tillsammans vann Swedish Embedded Award 2008 har en utmaning för dig!

Utmaning

Lös problemen, hitta rätt svar innan den sjunde oktober och du kan vinna en gourmetmiddag. Lite krypto och mycket klurighet är vad som krävs. Lycka till!
(Ja, jag arbetar på InformAsic.)

No comments »

Posted in Krypto, övrigt

Problem med PGP på Snow Leopard

September 3rd, 2009

Apples nya operativsystem Mac OSX 10.6. Snow Leopard (SL) ser ut att skapa problem för användare som vill använda PGP. Enligt en postning på Cryptography-listan avråder PGP Corporation sina användare från att uppgradera till SL:

Advisory:

PGP Corporation does not recommend using PGP® Desktop with Mac OS X 10.6 at this time, neither the 32 bit nor 64 bit versions of Snow Leopard are currently supported by PGP Corporation. This includes PGP® Whole Disk Encryption, PGP® Desktop Professional, PGP® Desktop Home and PGP® Desktop Email.

This email is to advise you that if you are running PGP® Whole Disk Encryption, PGP® Desktop Professional, PGP® Desktop Home or PGP® Desktop Email, you should NOT upgrade to Mac OS X 10.6 (Snow Leopard).

If you intend to upgrade to Snow Leopard, you must decrypt all PGP® encrypted drives and uninstall PGP® Desktop before upgrading the system to Mac OS X 10.6.

After upgrading your system you should not attempt to re-encrypt any disks with PGP® Whole Disk Encryption as it is likely to lead to potential data loss or other system and data issues.

We expect support for Mac OS X 10.6 to be available in the next major release of PGP® Desktop (10.0). PGP Corporation recommends waiting until PGP® Desktop 10.0 is available before upgrading to Mac OS X 10.6. If you would like to be notified when the beta version becomes available, please register at http://www.pgp.com/developers/beta/request.html .

If you have questions about PGP® Desktop and Mac OS X 10.6, please visit our support site https://pgp.custhelp.com/app/

PGP Corporation announced PGP WDE for Mac OS X last year – a native Mac application that was designed from the ground up for the Mac. PGP Corporation is committed to providing Macintosh users the best possible encryption solutions and we’ve been building them since re- starting the company in 2003.

The overall experience of PGP WDE for Snow Leopard will be the same. You’ll notice PGP WDE for Mac OS X is controlled using PGP Desktop, which can be expanded to secure email and files as well.

Users of PGP WDE for Mac OS X will have a new pre-boot authentication screen that protects access to the machine before the operating system loads. To see some of the work so far we have posted screen shots to the PGP Perspectives blog.

http://blog.pgp.com/index.php/2009/08/sneak-peek-pgp-whole-disk-encryption-for-snow-leopard/

Sincerely,
PGP® Worldwide Support Team

Det finns även en hel del Mac-användare som använder GPGMail. Tyvärr verkar det även vara problem med GPGMail på Snow Leopard:

Posted By: davelopper
Date: 2009-08-26 08:31
Summary: GPGMail & Snow Leopard (10.6)

Dear Users,
Current version of GPGMail (1.2.0) is NOT compatible with coming Snow Leopard’s Mail.

New Mail’s internals changed a lot, like it did with all major revisions of Mac OS X, and as Apple doesn’t give any documentation nor any support for such an unsupported plugin, developers have to work by trials and errors. Based on my experience of previous compatibility work, I can estimate that the workload to make GPGMail compatible with Snow Leopard is at least 40 hours, for me.

Unfortunately I no longer have spare time to do that work (I’ve always been working on GPGMail during my spare time, not during my work time).

Some people proposed their help, but at this time no one has been able to find enough time to actually do the work. For unexperienced people it will take much more time to do it. In consequence, there will not be an update of GPGMail for Snow Leopard in the coming months, not even a beta version. If serious people want to do the work, I will gladly try to help them as much as I can; just contact me.

I’m sorry to leave you without GPGMail on Snow Leopard; until someone does the port, you’ll have to rely on Thunderbird and its Enigmail plugin.

Dessa problem kommer naturligtvis att lösa sig, men det är synd att viktiga säkerhetsapplikationer slås ut.

1 comment »

Posted in Krypto, Mac

Ny länk och regnbågstabeller för GSM-kryptot

August 31st, 2009

Jag har precis lagt till en länk i länklistan till kryptera.se. Kryptera.se skriver kortfattat och bra om kryptoteknik. Bland annat finns på kryptera.se en nyhet om ett verktyg för att generera regnbågstabeller för GSM-kryptot A5/1. Tabellgeneratorn använder grafikprocessorer (GPU:er) för att accelerera beräkningarna

För den som vill testa och läsa mer finns här verktygets sida.

No comments »

Posted in Krypto, Verktyg

Ny attack på AES

May 24th, 2009

På Eurocrypt presenterades tydligen ett arbete av Alex Biryukov, Dmitry Khovratovich och Ivica Nikoli´c som visar på en ny attack mot AES-256. Deras presentation AES-256 Is Not Ideal ser ut att visa att med kopplade nycklar (related keys) går det att urskilja en sekvens genererad med AES från en slumpmässig sekvens.

Jag begriper för lite av den kortfattade presentationen för att avgöra hur mycket bättre deras resultat är en den bästa kända attacken med 26 related keys, 2**114 data och 2**173 time. Enligt en kommentar på Cryptography-listan hävdade författarna vid sin presentation att det nu finns praktisk möjlighet att bryta hashfunktioner byggda på round-funktionen i AES. Detta gör resultatet intressant för den pågående SHA-3-tävlingen då flera av kandidaterna lånar delar av eller hela round-funktionen.

Författarnas artikel om sin nya attack är tydligen godkänd för CRYPTO 2009, så om inte förr så vet vi mer i slutet av Augusti.

No comments »

Posted in Forskning, Krypto, sha-3

Tags: