Jag tyckeer ofta jag hör personer som resonerar att då nättjänster som Facebook inte är viktiga/känsliga behöver man inte bry sig om att skydda sitt konto, exempelvis med att använda olika och bra lösenord för varje tjänst. Dels har dom fel i sak, Facebook innehåller för många massor med personlig information.

Men sedan är det risken med att komma åt andra konton och samla ihop mer information på ett enkelt sätt som gravt underskattas. Slutligen är det ren säkerhetshygien att inte återanvända lösenord hur som helst. Ungefär som att alltid använda blinkers när man skall svänga…

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Hackers Wanted (2008) from hannah commodore on Vimeo.

Filmen är en dokumentär från 2003 om hackaren Adrian Lamo (kallad The Homeless Hacker), som bland annat tog sig in i New York Times datasystem – vilket han blev dömd för 2004.

Adrian Lamo – från tiden som efterlyst.

Wired har även en annan historia om Adrian Lamo och hur han nyligen blivit tvångsomhändertagen för att han har Aspergers syndrom.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

David McGrew.

Draften Fundamental Elliptic Curve Cryptography Algorithms (draft-mcgrew-fundamental-ecc-02.txt) ger en referensbeskrivning av Elliptic Curve-krypto (ECC).

Varför är nu detta intressant? Jo – som författarna själva skriver:

The adoption of ECC has been slower than had been anticipated, perhaps due to the lack of freely available normative documents and uncertainty over intellectual property rights.
...
...
This note contains a description of the fundamental algorithms of ECC over fields with characteristic greater than three, based directly on original references. Its intent is to provide the Internet community with a summary of the basic algorithms that predate any specialized or optimized algorithms, which can be used as a normative specification. The original descriptions and notations were followed as closely as possible.
...
...
These descriptions may be useful for implementing the fundamental algorithms without using any of the specialized methods that were developed in following years. Only elliptic curves defined over fields of characteristic greater than three are in scope; these curves are those used in Suite B.

Jag håller med om att det länge behövts en bra beskrivning av ECC. Men att det Just är patenträttigheter på ECC som hållit tillbaka utvecklingen verkar de flesta vara överens om. Som någon på Cryptography-listan konstaterade ger draften inte bara en normativ beskrivning av ECC, den sammanställer även en referens som är mer än 15 år gammal och föregår därmed de patent som idag finns på ECC.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Det finns flera källor för information om nyckellängder. Den som ofta förekommer är den i idag något gamla boken Applied Cryptography av Bruce Schneier som i kapitel sju har ett längre resonemang om olika nycklar och längder.

Vidare har NIST publicerat rekommendationer om nyckellängder, deras rekommendationer är dock från 2007. Även IETF har publicerat en RFC, RFC 3766 - Determining Strengths For Public Keys Used For Exchanging Symmetric Keys som innehåller ett längre resonemang om nycklars styrka, hur nyckellängder behöver skala med tiden, samt rekommendationer för assymetriska nycklar.

Det många av dessa källor tyvärr har gemensamt är att dom inte uppdateras speciellt ofta (alls). Webb-baserade källor borde därför vara av intresse att titta närmare på.

WIkipedia har förvirrande nog (minst) två sidor i ämnet, dels en sida om nyckellängder och en sida om kryptonycklar, båda med text om nycklar och längder. Borde nog slås samman och städas upp för att det skall bli användbart.

När jag letat runt efter olika referenser hittade jag att belgiska konsultfirman BlueKrypt har en fin sida som sammanställer rekommendationer om nyckellängder.

Den i mitt tycke bästa källan är dock en rapport. ECRYPT Yearly Report on Algorithms and Key Lengths, utgiven av det EU-finansierade ECRYPT II-projektet.

Som namnet antyder är det här en rapport som uppdateras en gång om året. Den senaste versionen kom ut sommaren 2009. Rapporten innehåller ett ordentligt resonemang om hur nycklars styrkor bör värderas (inklusive diskussioner om metoder som NIST, IETF och andra använder). Resonemanget leder så småningom fram till ett antal rekommendationer.

En viktig sak man gör i ECRYPT II-dokumentet är att sätta in styrkan i nycklar i hur kostsamt (rent ekonomiskt) det är att attackera en viss längd:

Jämför dom sedan olika typer av nycklar – symmetriska, assymetriska baserade på RSA, logaritmer eller ellitic curves får kommer dom med följande rekommendationer:

Slutligen sätter dom in längderna i ett tidsperspektiv – hur lång tid kan man anta att en nyckel med en viss längd ger ett skydd:

Vill du skydda något i 10 år från idag bör du alltså välja minst 96 bitars symmetrisk nyckel eller en RSA-nyckel på drygt 2400 bitar.

Allt detta förutsätter dock att algoritmerna som används inte har några svagheter. Den andra delen av ECRYPTS rapport innehåller en genomgång av de vanligaste algoritmerna inom olika kategorier – krypton, hashfunktioner, signaturer etc (DES, 3DES, AES, RSA, MD5, SHA etc). För varje kategori och specifik algoritm presenterar ECRYPT aktuell status vad gäller säkerhet och kommer med rekommendationer om vad man bör och inte bör använda. Mycket bra läsning.

En sista sak: exportreglerna för krypto i Sverige säger maximalt 56 bitar symmetrisk kryptering och maximalt 512 bitars assymetrisk kryptering (antagligen RSA) eller 112 bitar (antagligen elliptic curve).

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Piratkopierade väskor© DN.

På temasidorna finns ett flertal artiklar som beskriver vad avtalet handlar om, ACTA-förhandlingarna och mycket mer. Bra tjänst för den som är intresserad av att veta mer om ACTA.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

This document presents a framework to assist writers of DNSSEC Signing Policy and Practice Statements such as Regulatory Authorities and Registry Managers on both the TLD and secondary level, who is operating a DNS zone with Security Extensions (DNSSEC) implemented.

In particular, the framework provides a comprehensive list of topics that potentially (at the writer’s discretion) needs to be covered in a DNSSEC Signing Policy definition and Practice Statement.

Klart läsvärt dokument för den som är intresserad av hur DNSSEC skall hanteras på organisationsnivå.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Abstract.

As technology has been developed, the network of bot, botnet, has been huge matter in computer science society. Most botnet causes network security threats and they are based on C&C server such as IRC, HTTP common protocol [1] and recently botnet also constructs P2P connection and the bot’s characteristics and activities are all different according to the structure of botnet. That is why the existed research is numerous, too, and it is beneficial to categorize and to classify defense mechanism of bot. The bot activities result in a lot of negative effects such as DDoS (Distributed Denial of Service) and Spamming. The mechanisms for bot detection and defenses can be categorized into C&C based bot detection and P2P based bot detection. A vital aspect of botnet administration is the authenticity and integrity of commands. Asymmetric cryptography offers a simple, yet effective way to do this and the methodology is discussed here.

Keywords: botnet, bot detection, P2P bot, C&C bot ,cryptography

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Av det jag har läst ser jag en väldig massa generella förslag och uttalanden som jag har svårt att se hur de skall leda till något konkret.

En relativt konkret sak är en samordningsfunktion för federerad identitet. Några som läst och funderat på förslaget är Fredrik Ljungberg på Kirei, Leif Johansson på SUNET och Anne-Marie Eklund Löwinder. Deras förslag till en modell för federerad eID i Sverige är väl värd att läsa igenom. Fredrik, Leif och Anne-Marie skriver:

I sitt betänkande (SOU 2009:86) talar E-delegationen om en samordningsfunktion som ska ha som uppdrag att samordna federerad identitet i Sverige. Detta i sig är ett stort steg i rätt riktning för att etablera den samhällsviktiga infrastruktur för elektronisk identifiering som krävs för både offentlig verksamhet och näringsliv.

Vi föreslår att samordningsfunktionen får i uppdrag att samordna federerad identitet i Sverige för att etablera den samhällsviktiga infrastruktur för elektronisk identifiering som krävs för både offentlig verksamhet och näringsliv.

Det är dock viktigt att uppbyggnaden görs på ett sätt som gör att hela samhället kan dra nytta av infrastrukturen. Därför anser vi att utgångsläget för federerad eID i Sverige bör:

* vara baserad på öppna standarder, * ge ett fullgott skydd av den personliga integriteten, * vara teknikneutralt, * vara tillräckligt kostnadseffektivt, och * vara tillgängligt för aktörer i alla delar av samhället.

Vi skissar här på en modell där samordning av federationer inom både stat, kommun, landsting och privat sektor kan ske på ett effektivt sätt och till en mycket låg kostnad.

Vi menar att samordning av eID kan ske genom att realisera två separata funktioner, gärna som uppdrag till två olika myndigheter:

* En samordningsfunktion med fokus på styrning och som har som huvudsakligt uppdrag att direkt, eller indirekt via ackrediterade granskare, godkänna identitetsleverantörer samt att publicera regler och tekniska ramverk för både identitetsleverantörer och tjänsteleverantörer. * En upphandlingsfunktion som genomför upphandlingar av identifieringstjänster baserat på de regler och ramverk som samordningsfunktionen publicerar, och som genom avtal med dessa tillgodoser myndigheternas behov av elektronisk identifiering.

Ett vanligt missförstånd är att samordningsfunktionen behöver vara involverad i de faktiska transaktionerna. På samma sätt som PTS övervakar telemarknaden utan att vara inblandad när telefonsamtal kopplas fram menar vi att samordningsfunktionens uppdrag ska formuleras i termer av ackreditering och tillsyn, snarare än att vara involverad i transaktioner och teknik.

Författarna har även gjort en bra, förklarande figur:

Roller vid federerad eID.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.