Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1291
Läsvärt » Kryptoblog

Archive for the ‘Läsvärt’ category

DN-chatt om FRA-lagen med Mark Klamberg

October 13th, 2009

På DN har det varit en ypperlig chatt med Mark Klamberg om den modifierade FRA-lagen som Riksdagen skall besluta om i morgon.

Mark Klamberg
Mark Klamberg

Mark Klamberg, doktorand i folkrätt vid Stockholms universitet är som vanligt lysande och väl värd att läsa. Och hör sedan av dig till din riksdagledamot.

Uppdatering: DN hade även en chatt med Sten Tolgfors i frågan. Kan vara värd att läsa och jämföra med Mark Klambergs svar.

Tre reformer för offentlighetsprincipen

October 12th, 2009

I dag släpptes rapporten Tre reformer för offentlighetsprincipen författad av Niklas Lundblad. På Timbros sida för rapporten beskrivs rapporten så här:

Det journalistiska hantverket är ständigt beroende av sitt sammanhang. I sig är det en trivial iakttagelse, men det betyder att vi måste vara uppmärksamma på hur förändrade förhållanden påverkar journalistens möjligheter.

I den här skriften för författaren ett resonemang om förutsättningarna för grävande journalistik. I huvudsak argumenteras för att förstärka och förändra offentlighetsprincipen, för att värna journalistikens granskande uppgift.

Joakim Jardenberg sammanfattar de tre reformerna:

1. Informationsexplosionen. Reformförslag: anmälningsplikt för egenpublicering av offentliga handlingar och nya arkiverings- och märkningsregler.

2. Från passiv till aktiv offentlighetsprincip. Reformförslag: inför en aktiv offentlighetsprincip.

3. Integritet och offentlighet. Reformförslag: privat identitet och digital glömska.

Jardenberg skriver på sin postning även en del tankar, både om rapporten och dagens presentation av rapporten. En Även Daniel Risberg har läst och ger en bra sammanfattning.

Mycket intressant och klokt, från såväl Niklas som från Joakim, Daniel med flera. Det här är viktiga saker.

Guide till säkerhetsprocessorer

September 24th, 2009

I Juli publicerade analysföretaget The Linley Group en ny version av sin analysrapport om säkerhetsprocessorer. Rapporten är dyr som attan (2995 USD), men ger en bra bild över vilka som tillverkar processorer för säkerhetsområdet och vilka trenderna är.

The Linley Group logga.

Vill du inte lägga ut så mycket pengar, me ändå är nyfiken finns en PDF med sammantattning, innehållsförteckning m.m. Den ger tycker jag en bra bild i sig. Några snabba utdrag:

This report covers processors that integrate high-throughput encryption, such as Cavium’s Octeon families, RMI’s XLR/XLS/XLP, and Freescale’s MPC8572 and P4080. We also cover unique processors from Netronome and Tilera, which integrate 40 or more cores and target network-security applications. In addition, the report examines vendors developing content-inspection accelerators: LSI, NetLogic, Lionic, and cPacket. Finally, we cover IPSec and SSL accelerators from Cavium, Exar (Hifn), SafeNet, and Broadcom.
...
In the emerging market for content-inspection accelerators, vendors offer a mix of chip- and board-level products complemented by extensive soft- ware, including regular-expression compilers. These products can accel- erate database searches for Layer 7 applications. The early leader in reg- ex accelerators is LSI, which acquired startup Tarari in 2007. NetLogic, the leading vendor of network search engines (TCAM), reached produc- tion with its first content-inspection chip set during 2007. During 2008, both LSI and NetLogic introduced low-cost chips that expand the market for reg-ex accelerators. Meanwhile, Cavium and Freescale have integrated this function into their respective integrated-security processors. Once it completes its acquisition of RMI, NetLogic may also pursue this integra- tion step.

NIST om molnsäkerhet

September 15th, 2009

Uppdaterad med korrekt länk – tack maf!
(Det här är en gammal postning som jag inte fick klart i våras. NISTs rapport är dock så intressant att det är fortfarande känns relevant.)

NIST har börjat titta på säkerhet för molnet. Det finns bland annat en bra presentation om moln (Cloud Computing) och de säkerhetsmässiga implikationer det för med sig att flytta sina applikationer in i molnet.

NIST har även publicerat ett utkast till standard (rekommendationer) om säkerhet i molnet, ett utkast som lovar gott och är väl värd att läsa.

KBMs ypperliga rapport om säkerhet för SCADA-system

September 15th, 2009

Förra året släppte Krisberedskapsmyndigheten (KBM, numera en del av MSB) en ypperlig rapport om säkerhet för industriella kontrollsystem, även kallade SCADA-system. Rapporten är indelad i tre stora delar.

Den första delen innehåller en definition av vad SCADA system är och vad som skiljer denna typ av system från exempelvis ett administrativt IT-system. Andra saker som tas upp är var SCADA-system finns, hur de används och behovet av skydd.

Den andra delen innehåller en detaljerad beskrivning av rekommendationer och riktlinjer. Efter att ha presenterat PDCA-modellen kommer en genomgång av 15 olika aktiviteter och en av rapporten styrka tycker jag är att varje aktivitet innehåller ett bra, enkelt förklarande exempel på de risker och problem varje aktivitet behandlar. Mitt i allt det komplexa och teoretiska finns alltid ett exempel som visar att det inte behöver vara så krångligt.

PDCA-modellen.
PDCA-modellen.

Den tredje delen är en extensiv referenslista över relevanta standarder. Men denna del är inte bara ett appendix, utan varje referens åtföljs av kommentarer som förklarar vad respektive standard och dess delar behandlar och är till för.

Rapporten, framtagen av Åke J. Holmgren (KBM-SEMA), Erik Johansson (KTH) and Robert Malmgren kan med fördel läsas av såväl beslutsfattare som tekniska chefer satta att ansvara för att skydda SCADA-system och tekniker som implementerar skyddet.

Att en svensk myndighet tar fram en sådan här bra rapport gör mig riktigt glad. Heja KBM!

Återanvänd text om FPGAer och säkerhet

September 11th, 2009

Myndigheten för samhällsskydd och beredskap (MSB) bildades första januari 2009 och tog då över verksamhet från Räddningsverket, Krisberedskapsmyndigheten samt Styrelsen för psykologiskt försvar. I brist på annat att göra när man ligger med en eventuell svininfluensa slösurfade jag på MSBs webbplats. En sak jag gjorde var att söka på ordet kryptering och fick då upp KBMs gamla rapportserie Nyhetsrapport – omvärldsbevakning ur ett krypteringsperspektiv.

Enligt informationsrutan i rapporterna är:

Nyhetsrapporten är utgiven av Combitech AB på uppdrag av Försvarets materielverk (FMV) och Krisberedskapsmyndigheten (KBM). Nyhetsrapporten kommer ut ungefär tre gånger per år. Tidigare utgåvor kan erhållas genom att kontakta redaktören. Innehållet fokuserar på krypto, men kan även innehålla andra säkerhetsrelaterade notiser. Nivån är övergripande för att ”alla” och inte bara branschfolk skall ha glädje av den.

Intressant nog hävdar webbplatsen ovan att: Nyhetsrapporterna är utgivna av AerotechTelub, men det är nog mest en detaljfråga. Jag tycker att rapporterna är väl värda att läsa med såväl nyheter som förklaringar av kryptografiska funktioner och begrepp. Det är synd att nyhetsrapporten snarare verkar komma ut en gång per år än tre gånger per år som informationsrutan vill göra gällande. (Kommer nyhetsrapporten att komma ut under MSBs regi också, någon som vet?)

En sak i nyhetsrapporten från april 2008 gjorde mig tyvärr lite fundersam. Rapporten innehåller ett stycke om NSA och SRAM-baserade FPGAer för kryptosystem som tar upp det arbete NSA och Xilinx genomfört – ett arbete jag bloggade om i slutet av augusti 2007 med rubriken… NSA och SRAM-baserade FPGAer för kryptosystem

I nyhetsrapportens text läser jag bland annat:

National Security Agency (NSA) och FPGA-tillverkaren Xilinx [1, 3] har genomfört ett intressant projekt vad gäller säkerhetskonstruktioner med hjälp av Field-programmable gate array (FPGA). Vad NSA och Xilinx har gjort är att både analysera säkerheten i SRAM-baserade FPGA:er samt utvecklat metoder och verktyg för att implementera system som möter NSAs säkerhetsklass Fail Safe Design Assurance (FSDA).
...
Att implementera kompletta säkerhetssystem i en FPGA:er har tidigare undvikits av rädsla för att det inte skall gå att upprätthålla röd/svart-separation [2] inne i FPGA:n, med risk för informationsläckage och säkerhetsproblem.
...
Exempel på vad NSA vill kunna implementera i en FPGA är redundanta kryptoenheter, röd/svart-separering internt på chippet och chip med funktioner som arbetar med olika säkerhetsklasser.

Hmmm…. Jag tycker att jag känner igen den där texten. Min egen bloggpostning innehåller texten:

NSA och FPGA-tillverkaren Xilinx genomfört ett i mitt tycke extremt intressant projekt. Vad NSA och Xilinx har gjort är att både analysera säkerheten i SRAM-baserade FPGAer samt utvecklat metodik och verktyg för att implementera system som möter NSAs säkerhetsklass FSDA - Fail Safe Design Assurance.
...
Att implementera kompletta säkerhetssystem i en FPGA har även det undvikits av rädsla för att det inte skall gå att upprätthålla röd/svart-separation inne i FPGA:n, med risk för informationsläckage och säkerhetsproblem.
...
Exempel på vad NSA vill kunna implementera i en FPGA är redundanta kryptoenheter, röd/svart-separering intern på chippet och chip med funktioner som arbetar med olika säkerhetsklass.

Kryptoblog är en blogg – en öppen text. Därmed är det fritt att länka och referera till vad jag skriver, och ingen blir gladare än jag om det jag skriver används för att sprida information om krypto i sverige (förhoppningsvis inte som driftkuku och exempel på tokfrans). Men om ni lånar min text får ni helst se till att tala om att ni lånat den på Kryptoblog. Tack!.

Bra bok om multicore för inbyggda system

September 7th, 2009

Processorföretaget Freescale har släppt en bra bok om multicore för inbyggda system. Boken är skriven av Jakob EngblomVirtutech, Patrik Strömblad på Enea samt Jonas Svennebring och John Logan på Freescale. Boken använder Freescales processorer för att exemplifiera, men är väl värd att läsa för att få en generell inblick om problem och möjligheter samt vad man bör tänka på när man designar för multicore-processorer.

Programspråk och säkerhet

March 12th, 2009

Ivan Krstić, pappan till säkerhetsplattformen Bitfrost i One Laptop Per Child (OLPC)-projektet har på sin blogg Code Culture postat en bra sammanställning om programspråk och säkerhet.

Ivan
Ivan Krstić

När Ivan är ute och håller föreläsningar om säkerhet får han tydligen ofta frågor om programspråk och säkerhet, och har därför satt samman en sammanställning som, utifrån vilken angreppspunkt man har leder till olika källor att studera närmare. Ivan skriver:


If I had to grossly overgeneralize, I’d say people looking at language security fall in roughly three schools of thought:

1. The “My name is Correctness, king of kings” people say that security problems are merely one manifestation of incorrectness, which is dissonance between what the program is supposed to do and what its implementation actually does. This tends to be the group led by mathematicians, and you can recognize them because their solutions revolve around proofs and the writing and (automatic) verification thereof. 2. The “If you don’t use a bazooka, you can’t blow things up” people say that security problems are a byproduct of exposing insufficiently intelligent or well-trained programmers to dangerous language features that don’t come with a safety interlock. You can identify these guys because they tend to make new languages that no one uses, and frequently describe them as “like popular language X but safer”. 3. The “We need to change how we fundamentally build software” people say that security problems are the result of having insufficiently fine-grained methods for delegating individual bits of authority to individual parts of a running program, which traditionally results in all parts of a program having all the authority, which means the attack surface becomes a Cartesian product of every part of the program and every bit of authority which the program uses. You can spot these guys because they tend to throw around the phrase “object-capability model”.

Now, while I’m already grossly overgeneralizing, I think the first group is almost useless, the second group is almost irrelevant, and the third group is absolutely horrible at explaining what the hell they’re talking about.

Vilken kategori tror du på, och varför?

Artikel om att scripta SSH med Paramiko

March 1st, 2009

Jesse Noller har publicerat en artikel om hur man kan använda Pythonmodulen Paramiko för att scripta körningar med SSH. Artikeln har tidigare publicerats in Python Magazine. Artikelns sammanfattning förklarar närmare vad den handlar om:


OpenSSH is the ubiquitous method of remote access for secure remote-machine login and file transfers. Many people — systems administrators, test automation engineers, web developers and others have to use and interact with it daily. Scripting SSH access and file transfers with Python can be frustrating — but the Paramiko module solves that in a powerful way.

Paramiko är en modul med en ren Pythonimplementation (dvs inget anrop till C-bibliotek, exempelvis libssl) av SSH2. Modulen är LPGL-licensierad.

Datainspektionen om integritetesåret 2008

February 6th, 2009

Datainspektionen har släppt en mycket intressant och tyvärr ganska skrämmande rapport om de lagförsförslag under 2008 som påverkade den personliga integriteten.

I rapporten Integritetsåret 2008 (pdf) beskriver inspektionen de inte mindre än 20 olika lagförslag som på olika sätt påverkade den personliga integriteten. Inspektionen skriver i sin pressrelease att:


Ipred-lagen , trafikdatalagringsdirektivet och FRA-lagen var bara tre av de lagförslag som påverkade den personliga integriteten under 2008.

I en unik sammanställning redogör Datainspektionen för över 20 sådana lagförslag. ”Integritetsåret 2008” beskriver även några av Datainspektionens mest uppmärksammade beslut under förra året och ger exempel på några av de nya teknologier som kommit att påverka den personliga integriteten.

– Det här är första gången som Datainspektionen tar fram den här typen av redogörelse, säger Datainspektionens generaldirektör Göran Gräslund.

En av tankarna med ”Integritetsåret 2008” är att väcka frågor som: Hur påverkas den personliga integriteten inte bara av ett visst lagförslag utan av alla lagar och föreslagna lagar tillsammans? Vilket blir det samlade ”trycket” mot den personliga integriteten när man väger samman alla stora myndighetsregister och hur dessa utbyter information? Hur mycket mindre blir den fredade zon vi alla har rätt till när nya tekniker som GPS och RFID används för att övervaka oss på allt fler sätt?

Datainspektionens GD Göran Gräslund.
Datainspektionens GD Göran Gräslund.

Frågan Göran Gräslund ställer är mycket viktig, och bristen på helhetssyn blir tydlig när man läser den i många fall skrämmande rapporten. Därför är den här rapporten viktig och väl värd att läsa.

Datainspektionens rapport tar även upp de förslag som kommit under 2008 på EU-nivå, och på EU-nivå finns det redan fler förslag. Telekompaketet och IPRED2 är några exempel.

För ett drygt år sedan skrev jag om Lars Ilshammars utmärkta rapport När datorerna blev farliga som behandlar synen på datorer och databehandling förändrades under 60-70-talet och den personliga integriteten verkligen debatterades. Kontrasten i synsätt hos politikerna då och 2008 så som den beskrivs i Datainspektionens rapport är väldigt tydlig. Hemskt tydlig.

En sak inspektionen tar upp i sin rapport är hur personuppgifter skall skyddas. En vinkling på den frågan är den om rätten att vara anonym. Erik Josefsson har ställt en i mitt tycke viktig fråga om anonymiseringstjänster till kommissionen. Josefsson skriver:


Behovet av pålitliga system för anonym uppgiftslämning har uppmärksammats i samband med rättegångar som avser grova brottmål[1] och ekobrottslighet [2]. Stora värden kan gå förlorade om vanliga medborgare inte vågar ta kontakt med journalister eller polis [3]. Utvecklingen av elektroniska anonymiseringstjänster har kommit långt i Sverige. De används både av privatpersoner och företag, både på Internet och i intranät, för både privata och kommersiella ändamål.

1. Avser kommissionen lägga förslag som förbjuder sådana tjänster inom vissa områden?

2. Anser kommissionen att enskilda medlemsländer har rätt att förbjuda sådana tjänster?

3. Anser kommissionen att rätten till elektronisk anonymitet är eller bör garanteras på i EU-nivå?

[1] Polisen varnar för ny Bandidos-etablering i Västerås http://www.vlt.se/artikelmall.asp?version=530104

[2] Bank Julius Baer vs. Wikileaks http://wikileaks.org/wiki/Bank_Julius_Baer_vs._Wikileaks

[3] 1995 Supreme Court ruling in McIntyre v. Ohio Elections Commission:

Protections for anonymous speech are vital to democratic discourse. Allowing dissenters to shield their identities frees them to express critical, minority views . . . Anonymity is a shield from the tyranny of the majority. . . . It thus exemplifies the purpose behind the Bill of Rights, and of the First Amendment in particular: to protect unpopular individuals from retaliation . . . at the hand of an intolerant society.

Att kunna vara anonym är extremt viktigt för att den bevakning av makten som sker av journalister skall kunna fungera. Men även i vardagen är det viktigt att vi själva kan välja att vara anonyma, att inte behöva legitimera sig i onödan. Att ha ett privatliv.

Behöver det ex finnas spårbarhet över alla skumbananer jag köper ca 17:45 vid Svingelns hållplats?