Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Tillställningar » Kryptoblog

Archive for the ‘Tillställningar’ category

Sec-T i Stockholm 11-12 september

August 27th, 2008

Det arrangeras en ny säkerhetskonferens i Sverige om ett par veckor kallad Sec-T

Sec-T

Konferensen riktar sig enligt arrangörerna riktar till:


The conference is organised for anyone with a interest in information security, hacking and malware related threats. So whether you are “head of security”, security consultant, developer or IS student this will be a great conference for you.

Huvudtemat för konferensen är olika typer av hot. Arrangörerna skriver:


Our aim is to cover emerging information security and hacking related threats all across the board. So expect to hear presentations covering most layers in the OSI model and then some. From hardware hacking via networks, operating systems, applications and social interaction.

Bland de mer kända talarna på konferensen återfinns Mikko Hypponen från F-Secure och Patrik Fältström. Andra presentationer jag tycker verkar intressanta är SÄPOs Bosse Norgren som skall prata om IT-relaterad rättsteknik samt Patrik Karlsson som säkert kommer att presentera nya verktygshack (hans blogg är bra). Tittar man i konferensagendan finns ett antal andra presentationer till som ser spännande ut.

Jag gillar konferenser där folk från företag, myndigheter, akademisk verksamhet samt entusiaster och representanter för andra typer av grupper kan mötas, diskutera, lära nytt och dela erfarenheter. Inte minst är korridorsnacket efter presentationer och under fika, lunch etc ofta intressanta.

Jag hinner tyvärr inte åka till Sec-T, men tar väldigt gärna emot kommentarer och referat från konferensen. Vill du skriva ett gästblogginlägg på Kryptoblog från Sec-T så hör av dig.

Avhandling om juridiken runt DRM-skydd

March 25th, 2008

Karl Jonsson har bloggat om att Kristoffer Schollin, doktorand vid Handelshögskolan i Göteborg skall presentera en avhandling om Digital Rights Management (DRM).

Kristoffer Schollin

Webbplatsen för juridiska institutionen på Handels har mer information om disputationen:


Fredagen den 28 mars disputerar Kristoffer Schollin på sin avhandling Digital Rights Management – the New Copyright.

Disputationen äger rum i SKF-salen och börjar kl. 13:00. Avhandlingen är en kritisk analys av Digital Rights Management (DRM) som rättsligt fenomen i ett föränderligt område: ”DRM is examined from a range of perspectives as a tool of normative communication and regulation as well as ideological systematization of rights and positions of control”.

Workshop om frånstötande teknik

March 18th, 2008

(Jag är tillbaka från några veckors semester där ingen IT-säkerhet fanns att fundera på. Räkna med bättre fart på Kryptoblog.)

Som en del av sin normala säkerhetskonferens anordnar USENIX en konferens kallad Workshop on Offensive Technologies. Syftet med WOOT08 är att diskutera frånstötande koncept och tekniker inom IT-säkerhet. Vad som avses är:


Submissions should reflect the state of the art in offensive computer security technology—either surveying previously poorly known areas or presenting entirely new attacks.

We are interested in work that could be presented at more traditional, academic security forums, as well as more applied work that informs the field about the state of security practice in offensive techniques.

A significant goal is producing published artifacts that will inform future work in the field. Submissions will be peer-reviewed and shepherded as appropriate.

Submission topics include:

* Vulnerability research (software auditing, reverse engineering) * Penetration testing * Exploit techniques and automation * Network-based attacks (routing, DNS, IDS/IPS/firewall evasion) * Reconnaissance (scanning, software, and hardware fingerprinting) * Malware design and implementation (rootkits, viruses, bots, worms) * Denial-of-service attacks * Web and database security * Weaknesses in deployed systems (VoIP, telephony, wireless, games) * Practical cryptanalysis (hardware, DRM, etc.)

Är du intresserad av att presentera något är det dags att skicka in en anmälan.

FSE 2008 och slutspurt i eSTREAM

January 11th, 2008

Det börjar bli dags för årets upplaga av konferensen Fast Software Encryption (FSE) – mer exakt 10-13 februari i Lausanne, Schweiz. På konferensens webbplats finns nu ett preliminärt program och en lista med godkända artiklar. Tittar man på dessa sidor ser det ut att presenteras en hel del intressanta saker.

En första observation är att trenden sedan ett par år tillbaka med analyser/attacker mot olika hashfunktioner fortsatt håller i sig. Bland artiklarna finns bland annat de här:


MD4 is Not One-Way
Collisions on SHA-0 in one hour
Improved indifferentiability security analysis of chopMD Hash Function
Collisions for step-reduced SHA-256
New Techniques for Cryptanalysis of Hash Functions and Improved Attacks on Snefru
A (Second) Preimage Attack on the GOST Hash Function
Second Preimage Attack on 3-Pass HAVAL and Partial Key-Recovery Attacks on NMAC/HMAC-3-Pass HAVAL
Cryptanalysis of LASH

Av dessa är väl kollisioner mot SHA-256 det mest intressanta resultatet.

FSE 2008 är även en av de sista stora konferenserna innan eSTREAMprojektet skall avslutas. Därför är det extra intressant att se att det dyker upp resultat mot några av eSTREAMfinalisterna:


New Features of Latin Dances: Analysis of Salsa, ChaCha, and Rumba
Pen-and-Paper Collisions for the Full Salsa20 Hash Function

Differential Fault Analysis of Trivium

Här är det alltså frågan om två separata grupper som hittat problem med Salsa20 och dess släktingar ChaCha och Rumba. Dessa resultat är mycket intressanta av flera skäl. Salsa20 är nämligen inte bara en finalist i eSTREAM, utan dess släktingar ChaCha och Rumba är kompressions- och hashfunktioner skapade av Daniel J Bernstein.

Dessa funktioner är försök till avsteg från Merkele-Damgård-strukturen och finns även i andra, relativt nya strömkrypton och hashfunktioner, ex Schneiers Helix/Phelix. Om det visar sig att denna struktur har grundläggande fel finns det flera algoritmer som kan sitta pyrt till.

Att döma av hur Daniel J Bernstein brukar reagera gissar jag att om han är på FSE 2008 inte kommer att låta de här artiklarna stå obesvarade.

Vad gäller Trivium, har bloggen Cryptanalysis tidigare publicerat delar av det resultat som antagligen kommer att presenteras på konferensen. Resultaten är baserade på en förenklad variant av Trivium, men är ändå mycket intressanta.

Ett skäl till detta är att Trivium, precis som Salsa20 är ett försök att hitta en ny struktur. Som artikeln som specar Trivium beskriver det: Trivium is a hardware oriented synchronous stream cipher. It was designed as an exercise in exploring how far a stream cipher can be simplified without sacrificing its security, speed or flexibility.

Ok, det var eSTREAM-finalisterna. Konferensen inkluderar även en del resultat vad gäller blockkrypton:


Experiments on the Multiple Linear Cryptanalysis of Reduced Round Serpent
A Meet-in-the-Middle Attack on 8-Round AES
Impossible Differential Cryptanalysis of CLEFIA

Här är det väl ganska uppenbart att attacken mot en reducerad version av AES är det mest intresssanta.

CLEFIA är ett blockkrypto som Sony utvecklat för att skydda digitala media (Digital Rights Management – DRM). CLEFIA presenterades på FSE 2007, dvs förra året. Och nu kommer det alltså en kryptanalys.

Ett annat område med ett par intressanta artiklar är slumptalsgeneratorer.


Post-processing functions for a biased physical random number generator
How to Encrypt with a Malicious Random Number Generator

Den i mitt tycke mest intressanta artikeln här är den andra. Skälet till detta är att för inte så länge sedan presenterade Bruce Ferguson och en kollega resultat som pekade på att en av de NIST-specificerade slumptalsgeneratorerna (PRNG) innehåller en bakdörr. Den här artikeln verkar visa på att man med rätt metod kan lita på sina kryptonycklar även om man inte litar på slumptalsgeneratorn.

Den sista kategorin artiklar handlar om det gamla sorgebarnet RC4:


New Form of Permutation Bias and Secret Key Leakage in Keystream Bytes of RC4
Efficient Reconstruction of RC4 Keys from Internal States

Det verkar som om detta stackars strömkrypto inte får vila i frid, utan att folk är framme och sparkar på liket… Å andra sidan är RC4 ett krypto som används väldigt mycket så liket lever antagligen tyvärr på tok för mycket.

Som sagt, det ser ut att bli en mycket spännande konferens – även om det kanske inte är lika spännande som det här:

Vardagsedge.

Som Månster uttryckte det: Vardagsedge!.

ICT-mässan och paneldebatt

January 10th, 2008

Idag var jag nere en sväng på easyFairs ICT-mässa här i Göteborg. Sveriges största IT-mässa enligt easyFairs.

ICT-mässan

Årets mässa hade flyttat upp från det stora mässgolvet till balkongerna, vilket pekar på att mässan inte är speciellt stor. Dock kändes det som att flytten gjorde mässan bättre. Mässgolvet ormade sig runt och det kändes tätare, mer spännande och faktiskt större än vad det egentligen var.

Jag såg inte speciellt mycket nytt presenteras och dom stora drakarna saknades, så det kändes som att mässan var en ganska lokal företeelse. Göteborgsföretagen Appgate, Op5 och Halon ställde ut. Däremot fanns varken CryptZone (fd Secured Email) eller Fingerprint Cards med.

Jag var på en paneldebatt om informationssäkerhet som modererades av Tomas Gilså. Nedan följer mitt referat:


Alf Holmberg, Pulsen
Stor fördel med Eurosocs är att IT-säkerhet blir en affärsfråga, inte en teknikfråga. Kreditvärdigeheten påverkas.

Du kan inte köpa dig till säkerhet genom att köpa teknik, utan organisation och personal måste med i arbetet.

Det företag som ger konsulter full access till sitt nät har en del kvar att göra på sitt säkerhetsarbete.

Barbro Laurin, infosäkerhetschef på Sahlgrenska:
Informationssäkerhet – det är patientjournaler. Etik och moral spelar även roll. Aftonbladet, Telia: Brister i den mänskliga faktorn, ej teknik. IT-säkerhetspersonal måste i i början av projekten.

Varje gång någon öppnar en elektronisk journal. En patient har rätt att få reda på vem som öppnat journalen. För att få access till Internet krävs en personlig inloggning.

Gunnar Karlsson, IBM:
Vad som kommer att krävas för att uppfylla Eurosocs ej klart än. Men drivkraften som Eurosocs ställer kommer att hjälpa till. USA: Comply or die. Europa: Comply or explain yourself.

Scania har alltid kört SOA. Bygga i moduler är smart, både om man bygger lastbilar och IT-säkerhet.

Det finns skäl till att organisationer inför stöd/övervakningssystem. Det gäller att följa upp sin säkerhetspolicy.

Göran Marby, Appgate:
Eurosocs, åttonde EU-direktivet kommer att vara en guldkalv för IT-konsulter. Ställer krav på spårbarhet. Sverige är “skitdåligt” på IT-säkerhet. Ett av få länder som inte ställer några som helst krav på certifiering, IT-säkerhet vid offentlig upphandling. Pratar hellre om grön IT. Riksrevisionen riktade 2007 allvarlig kritik mot hanteringen av IT-säkerhet. Det som är viktigaste med Eurosocs är att IT-avdelning kan säga att om man inte får ta hand om säkerhetsproblem får inte bolagen en ren revisionsberättelse.

I början kommer antagligen revisorerna att säga nej till allt, innan man vet vad man kan säga ja till.

Det är inte alla personers uppgift att bry sig om IT-säkerhet. Håller inte alls med om att man måste utbilda anställda i säkerhet. Måste bygga in säkerhet på ett sätt att personalen inte behöver bry sig. Man blandar LEGO och Duplo och får inkompatibla system.

Lagstiftning är till för att få in krav på säkerhet så att folk inte skall behöva kunna vad som är bra och inte. Krav på ABS-bromsar är till för att jag inte skall behöva veta vilka bromsar som är bra.

Skillnaden mellan insidan och utsidan på ett nät har minskat.

Linus Svensson, Symantec:
Kostnad vs säkerhet. Tillgänglighet är grunden.

Bra att man lagstiftar om informationssäkerhet. Sverige ligger efter USA. Tvång och stöd. Det som brister är inte medvetenhet om säkerhetsproblem utan kvantifiering av kostnaderna. Vore bra att få in motsvarande lag som i USA att den som slarvar bort annans info måste meddela detta till personen.

Linus: Problemet hos Aftonbladet och Telia handlar om att man undviker ansvar. Måste ha en tydlig ansvarsfördelning.

Thomas Djurling:
Jobbat på FRA med att bygga upp avdelning för att säkra upp Sverige. I dag egen konsult. Viktigt att veta sin egen informations värde. Ha koll på hotbilden och sina egna svagheter. Vem skall man skydda sig i från.

Ledningssystem för informationssäkerhet (LIS).

Man glömmer ofta bort människan och att ta hänsyn till människan för att det är jobbigt. Generellt sett på tok för stor tilltro till tekniken.

FRA var tidiga att införa Internetaccess för sin personal. Personalen fick skriva på ett avtal som bla innebär att FRA får logga all access. Syftet var att få användaren att ändra sitt beteende. Big Mother fungerar på FRA också.

Mycket snack om Eurosoc(rätt stavning?) och behovet av lagstiftning i Sverige för att öka pressen på organisationer att ta informationssäkerhet på allvar. En bra paneldebatt där Göran Marby var den som avvek från de gemensamma åsikterna och fick igång en debatt.

Uppdaterad 2008-01-10:
EuroSOX skall det vara. Tack för påpekandet. Här finns en organisation i Sverige som jobbar med EuroSOX.

Brott på Internet – på Polismuseet

January 9th, 2008

Polismuseet i Stockholm pågår en tillfällig utställning om brott på Internet.

Bild från utställningen.
(Ingen aning vad detta skall föreställa, men har tydligen med utställningen att göra... 😉

Utställningen beskrivs av Polismuseet på följande sätt:


Internets möjligheter att nå massor av människor snabbt och samtidigt har också medfört ökad brottslighet.

Polismuseets nya utställning Brott på Internet beskriver Internets utveckling ur ett historiskt och tekniskt perspektiv och lyfter fram hur brottsligheten på nätet har utvecklats. Här beskrivs också vad polisen gör för att bekämpa brott som begås på Internet.
En ordlista ger besökaren möjlighet att förstå skillnaden mellan phishing, skimming, spam och andra begrepp som dyker upp allt oftare omkring oss.

I utställningen finns också bland annat en fallbeskrivning av den så kallade Alexandramannen. Mannen, som kallade sig för Alexandra när han var på Internet, lurade unga flickor att ha kontakt med och träffa honom. Han dömdes till tio års fängelse.

Utställningen riktar sig först och främst till vuxna och föräldrar som inte förstår vad deras barn sysslar med på skärmen.

Det står inte hur länge utställningen pågår (mer än att den är tillfällig). Hinner jag upp till Stockholm och till museet skall jag försöka ta mig dit. Annars får gärna någon läsare posta en berättelse (eller länk till någon som varit där).

Kryptanalys av Philips CRYPTO1 på CCC

January 1st, 2008

(Den här nyheten kom på den utmärkta bloggen Cryptanalysis som jag kommer att lägga in i blogrollen.)

På den 24:e CCC-konferensen (Chaos Computer Club) presenterade Karsten Nohl (från University of Virginia) och Henryk Plötz detaljer om Philips proprietära strömkrypto CRYPTO1 som de fått fram genom kryptanalys.

CRYPTO1 är ett krypto som används i kontaktlösa smartcards som följer standarden ISO 14443. Kryptot används för att skydda luftgränssnittet vid kommunikationen mellan läsaren och kortet. Ett exempel på ett kort som implementerar CRYPTO1 är MiFare-kortet från NXP. (NXP är resterna av kretsföretaget VLSI Technology som köptes upp av Philips.)

MiFare

Ganska lite har tidigare varit känt om CRYPTO1 och bland annat har det spekulerats att kryptot är en variant på 3DES. Det Nohl och Plötz nu visar är att CRYPTO1 istället är ett LFSR-baserat strömkrypto. LFSR-kedjan i CRYPTO1 är på 48 bitar med 20 tappar.

Bild från presentationen

Bilder från presentationen på CCC-konferensen finns här.

Som jag fattat det innebär inte detta att kryptot är helt knäckt, och tydligen har det sedan tidigare funnits brute force-attacker. Men att detta antagligen leder till snabbare attacker är nog en inte allt för vild gissning. Vi lär få återkomma.

Uppdatering 2008-01-03:
Albert påpekar i en kommentar att videon nu finns, både hos Google och hos CCC.

Ruptor påpekar i en kommentar att han tidigare publicerat källkod innehållande en attack av HiTag2-kryptot.

Jag blir inte helt klok på om det är samma krypto i HiTag2 och MiFare. Kryptot i källkoden har iaf en 48-bits LFSR-kedja. Någon som vet?

Mer uppdatering 2008-01-03:
Ruptor har även på cryptanalysis sida om den på CCC presenterade attacken länkat till sin kod och även till en PDF med specen för Hitag2. Karsten (som gjort analysen av CRYPTO1) verkar ha tittat på Ruptors kod och kommit fram till att det inte är samma krypto.

Besök på FSCONS

December 8th, 2007

(Det här inlägget fylls på löpande. Start 15:30. Slut 17:50 + ett par tillägg.)

Computer Sweden har publicerat en artikel från FSCONS.

Sitter just nu på konferensen FSCONS i Göteborg.

FSCONS

Allmänna intryck från konferensen + spring i korridoren
Första intrycket är att det är mycket folk på konferensen. Pratade med ett par av arrangörerna och de trodde 150 – 200 personer, vilket såg ut att stämma. I de allmänna rummen sitter folk i små grupper och arbetar – här händer det saker.

Nybildade Svenska Wikimedia Foundation jagar medlemmar på konferensen. 100 SEK är inte mycket om det bidrar till att utveckla svenska Wikipedia.

Simon Josefsson har tidigare under dagen pratat om OpenID. Jag träffade honom och fick se de nya, smutta autenticieringsnycklarna från Yubico han har med sig.

En annan Yubikey.
Yubikey

Hamnade i en kort diskussion om acceleration av paketprocessing. Ett intressant företag är Netronome. Netronome har precis tagit över Intels utveckling av NPU:er. Utvecklar produkter för flow processing, packetanalys och applikationsacceleration. Kör med GNU/Linux.

Netronomes kort.

Red Hat Enterprise Linux 5 Virtualisation:
(Noter tagna under presentationen.)

Jan Hedström från RedHat pratar om virtualisering med Xen.

Jan Hedström - utan hatt.

Draken på virtualiseringssidan är VMware.

Olika användningsfall: Konsolidering av datacenters, stöd för heterogena system.

Virtualisering med Xen: Är en hypervisor, dvs paravirtualisering. Startade som en uppsättning patchar till Linuxkärnan utvecklade av Ian Pratt och kollegor vid University of Cambridge. GPL:ad. Hypervisorbaserad virtualisering mycket snabbare än andra virtualiseringsteknologier. Stöder de fysiska arkitekturerna IA-32, x86-64, IA-64 och PowerPC. Jan tror inte att IA-64 eller PowerPC är speciellt intressant.

Hypervisorn ansvarar för IRQ routing, schemaläggning, minneshantering och kommunikation mellan domänerna. Hypervisorn kan ändra resurstilldelning till domänerna under körning, ex öka och minska mäng minne, antal CPU:er etc.

Domain 0 (Dom0) är domän som ansvarar för att styra och övervaka de andra domänerna. Är den första domän som startas upp. Gästdomänerna (DomU) är applikationsdomänerna där virtiualiserade OS + applikationer körs.

Red Hat har utvecklat ett GTK-baserat verktyg för att hantera virtuella maskiner som pratar med hypervisorn.

Libvrt är ett bibliotek för virtualisering som Red Hat utvecklat. Abstraherar virtualiseringen så att man kan byta ut den underliggande virtualiseringsteknologin, ex KVM istället för Xen. Kan även köra med Qemu med borde även kunna köra med VMware etc. Libvrt har XML-gränssnitt och går att anropa med Perl, Python etc.

Live migration.
live migration

Kräver nätverk med hög bandbredd. Helst samma Lager två-nät (LAN). Gör det möjligt att flytta ett OS från en fysisk maskin till en annan maskin utan att exekvering av OS:et och dess applikationer avbryts. Kräver enl Jan någon slags delat lagringsmedia (ex iSCSI). Skapar en container på målmaskinen. En container är ett allokerat utrymme för en domän.

Modifierade (dirty) minnes-sidor kopieras från källmaskinen till målmaskinen över nätverket. Sker iterativt tills dess domänens väsentligen kompletta minne kopierats. Domänen pausas och de sista minnesdelarna flyttas över. Sedan startas domänen upp på den nya maskinen. Paus, slutgiltig överflyttning och omstart tar 10-300 ms. Bara DomU-domäner går att flytta över, ej Dom0.

ARP redirect används för att flytta över nätverkstrafik för domänen från den gamla till den nya fysiska maskinen.

Jan visar graf över prestanda för en webbserver som flyttas. Pausen tog 165 ms. Normal ca 870 Mbit/s, under migrering sjönk prestandan hos servern till ca 795 Mbit/s under överflyttning av minnes-sidor. Total tid för migrering ca 80 sekunder.

Tack Jan för en bra presentation.

FLOSS in the nordic public sector
Keynote-presentation av Mats Östling, Sveriges Kommuner & Landsting (SKL).

Mats Östling

Pratar om användning av öppen och fri kod i svenska kommuner. Använder uttrycket Open Source.

Hård press på sveriges offentliga sektor att effektivisera och skära ned kostnaderna. Sätter press på mängden olika iT-system som används och återanvändning av applikationer och kod mellan kommuner och myndigheter.

Kommuner i sverige använder bland annat GNU/Linux, OpenOffice, Asterisk, Jboss….

Och här behövde jag avbryta. Tack alla som arrangerat FSCONS för en intressant konferens jag hann uppleva en liten del av.

FSCONS i Göteborg

December 5th, 2007

Nu på fredag och lördag går konferensen Free Software Conference Scandinavia – FSCONS 2007 i Göteborg.

FSCONS 2007

Att döma av konferensprogrammet kommer det att presenteras massor med spännande saker. Exempelvis presenterar Laura Creighton projektet PyPy. Hackersveriges Ragnar Skanåker, Horizon-grävlingen och hackerninjan Daniel Stenberg presenterar sitt projekt Curl.

För den som är intresserad av IT-säkerhet går det bra att lyssna till Simon Josefsson som att pratat GnuTLS och OpenID. Vidare kommer Mathias Klang att prata om Digital Rights Management (DRM). Slutligen kommer det att anordnas ett nyckelsigneringstillfälle på konferensen.

Sedan är konferensen naturligtvis ett bra tillfälle att mingla, lyssna och diskutera. Jag hoppas att själv hinna till konferensen på fredag.

Välkommen till Göteborrrrg!

NIST öppnar dörren för AHS-kandidater

November 7th, 2007

(Uppdaterad 2007-11-07, 05:10: Nyckelfelstrisse (LinusN) + Vlastimil Klima)

NIST har meddelat att dörren för kandidater till hashfunktionstävlingen nu har öppnats. Tidigare har man pratat om AHS - Advanced Hash Standard, men nu refererar man till de blivande standarden som SHA-3 och anger att vinnande funktion kommer att beskrivas i en uppdaterad version av dokumentet FIPS PUB 180-2. NIST skriver:


NIST has opened a public competition to develop a new cryptographic hash algorithm, which converts a variable length message into a short “message digest” that can be used for digital signatures, message authentication and other applications. The competition is NIST’s response to recent advances in the cryptanalysis of hash functions.

The new hash algorithm will be called “SHA-3” and will augment the hash algorithms currently specified in FIPS 180-2, Secure Hash Standard. Entries for the competition must be received by October 31, 2008.

Notera tidpunkten när dörren för kandidater stängs: 2008-10-31, dvs om ett år. Över huvud taget kan det vara värt att titta på tidplanen. (Jag har bloggat om tävlingen ett tag…)

I mitten av 2006 gick NIST ut med information att man beslutat att arrangera en tävling. I februari ville NIST få in kommentarer på sitt förslag till organisation av tävlingen och krav att ställa på kandidaterna. De till NIST inkomna kommentarer redovisades i somras, kommentarer där bland annat det intressanta konceptet Sponge Functions oväntat dök upp.

Nu tar det alltså ett år innan kandidaterna börjar utvärderas på allvar, och sedan tar det 4-5 år innan vi har SHA-3 publicerad och klar. NIST skyndar långsamt. Men vill vi ha bra hashfunktioner, och inte upprepa de missar som inträffade med AES så skall vi nog skynda långsamt.

Det kan vara intressant att titta lite på de tekniska krav som ställs på kandidaterna. Först av allt ser man att SHA-3 skall kunnna gå in och ersätta SHA-2:


NIST does not currently plan to withdraw SHA-2 or remove it from the revised Secure Hash Standard; however, it is intended that SHA-3 can be directly substituted for SHA-2 in current applications, and will significantly improve the robustness of NIST’s overall hash algorithm toolkit.

Therefore, the submitted algorithms for SHA-3 must provide message digests of 224, 256, 384 and 512-bits to allow substitution for the SHA-2 family. The 160-bit hash value produced by SHA-1 is becoming too small to use for digital signatures, therefore, a 160-bit replacement hash algorithm is not contemplated.

Since SHA-3 is expected to provide a simple substitute for the SHA-2 family of hash functions, certain properties of the SHA-2 hash functions must be preserved, including the input parameters; the output sizes; the collision resistance, preimage resistance, and second-preimage resistance properties; and the “one-pass” streaming mode of execution.

Vidare vill NIST, precis som i fallet med AES (och till skillnad från eSTREAM) till slut landa på en algoritmfamilj:


For interoperability, NIST strongly desires a single hash algorithm family (that is, that different size message digests be internally generated in as similar a manner as possible) to be selected for SHA-3. However, if more than one suitable candidate family is
identified, and each provides significant advantages, NIST may consider recommending more than one family for inclusion in the revised Secure Hash Standard.

Det verkar dessutom vara så att den senaste tidens attacker på Merkle-Damgård-baserade strukturer (MD5, SHA-1 etc) oroar NIST, och att man vill se nya fundamentala sätt att skapa hashfunktioner:


NIST is open to, and encourages, submissions of hash functions that differ from the traditional Merkle-Damgard model, using other structures, chaining modes, and possibly additional inputs.

However, if a submitted algorithm cannot be used directly in current applications of hash functions as specified in FIPS or NIST Special Publications, the submitted algorithm must define a compatibility construct with the same input and output parameters as the SHA hash functions such that it can replace the existing SHA functions in current applications without any loss of security.

De kommentarer på tävlingen som kom in och tog upp behovet av att kunna göra effektiva implementationer av algoritmerna i både HW och SW i stora och små system har NIST tagit fasta på. Som implementatör av krypton till olika typer av inbyggda system blir jag glad när jag ser det här (tack NIST!):


A statement of the algorithm’s estimated computational efficiency and memory requirements in hardware and software across a variety of platforms shall be included.

At a minimum, the submitter shall state efficiency estimates for the “NIST SHA-3 Reference Platform” (specified in Section 6.B) and for 8-bit processors. (Efficiency estimates for other platforms may be included at the submitters’
discretion.) These estimates shall each include the following information, at a minimum:

a. Description of the platform used to generate the estimate, in sufficient detail so that the estimates could be verified in the public evaluation process (e.g., for software running on a PC, include information about the processor, clock speed,
memory, operating system, etc.). For hardware estimates, a gate count (or estimated gate count) should be included.

b. Speed estimate for the algorithm on the platform specified in Section 6.B. At a minimum, the number of clock cycles required to: 1. generate one message digest, and 2. set up the algorithm (e.g., build internal tables) shall be specified for each message digest size required in the Minimum Acceptability Requirements section (Section 3) of this announcement.

c. Any available information on tradeoffs between speed and memory.

De här textsnuttarna är hämtade från det officiella dokumentet som specar upp krav på kandidaterna. Där finns en hel del till om IPR-krav, tidplan, referensplattform etc. Är du intresserad så läs det – ett bra dokument.

Hur det går och vem som skickar in kandidater då? Min personliga förhoppning är att vi får se minst en kandidat med svensk representation, då troligen antingen från LTH (Johansson & Co) eller KTH (Håstad & Co), men det vore även kul om någon från industrin gjorde ett försök.

Vad gäller andra kandidater borde Daemens svampgäng komma med en kandidat. Eli Biham & Co, IBM samt Rivest & Co som alla tidigare visat intresse av tävlingen kommer gissningsvis även de med kandidater. Vidare har Daniel J Bernstein gjort en hel del arbeten på sina hashfunktioner Salsa20 och Rumba20, så han skickar säkerligen in en kandidat.

En annan person (+ kollegor) som troligen skickar in en kandidat är Vlastimil Klima som hittade tunnlarna i MD5 och tidigare i år presenterat en ny familj av hashfunktioner kallad HDN. Och Bruce Schneier försöker nog återigen vara med i en tävling – tredje gången gillt kanske?

Den som lever får se, nu börjar tävlingen på allvar och det kommer att bli spännande att följa hur det går!