Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
August » 2007 » Kryptoblog

Archive for August, 2007

Skype skyller på Microsoft

August 21st, 2007

De senaste dagarna har det florerat ett antal rykten om orsaken till att Skypenätverket 2007-08-16 i stort sett fullständigt fallerade. Nu har Skype kommit med sin förklaring – och det är Microsofts fel(!):


On Thursday, 16th August 2007, the Skype peer-to-peer network became unstable and suffered a critical disruption. The disruption was triggered by a massive restart of our users’ computers across the globe within a very short timeframe as they re-booted after receiving a routine set of patches through Windows Update.

Visst, dumhet kan förklara mycket, men jag tycker inte att detta håller vatten. Jag har inte sett statistik på att andra P2P-system (däribland Kazaa) råkade ut för massiva störningar. Vidare blir Skypes argumentation lite märklig med tanke på vad Skype tidigare sagt om sin teknologi:


Q: Kan jag ansluta till en SIP-server med Skype?
A: Nej, det går inte. Vi har utformat Skype med upphovsrättsskyddad teknologi som ej är kompatibel med SIP. SIP var helt enkelt inte tillräckligt bra för vår del.

Det stora bekymret med Skype som jag ser det är att det finns få möjligheter att verifiera att, som Skype skriver We can confirm categorically that no malicious activities were attributed, detta inte minst på grund av Skype applikationens uppbyggnad med kod som gör den mer än vanligt svår att analysera. När det dyker upp påstådda DoS-attacker och exploits blir det i Skypes fall svårt att bedöma om det är ett problem eller ej. Därmed blir det än svårare att lita på Skype som kommunikationstjänst eller uttalanden från Skype.

Oavsett rekommenderar jag återigen en genomläsning av presentationen Silver Needle in the Skype för information om hur Skype är uppbyggd.

Kvantbaserad slumptalsgenerator

August 18th, 2007

Jag sprang på en sida om QRB121, en slumptalsgenerator som säger sig vara baserad på kvantfysikaliska fenomen:
Kvantbaserad RNG
Enligt tillverkaren består entropikällan av en fotonkälla kapabel att avge enskilda fotoner samt en fotodetektor. Utifrån detektorn mäts sedan tiden mellan detekterade fotoner upp och används för att generera slumptalen ut från generatorn. Eller som tillverkaren själv förklarar det hela:


QRBG121 is a fast non-deterministic random bit (number) generator whose randomness relies on intrinsic randomness of the quantum physical process of photonic emission in semiconductors and subsequent detection by photoelectric effect. In this process photons are detected at random, one by one independently of each other. Timing information of detected photons is used to generate random binary digits – bits. The unique feature of this method is that it uses only one photon detector to produce both zeros and ones which results in a very small bias and high immunity to components variation and aging. Furthermore, detection of individual photons is made by a photomultiplier (PMT). Compared to solid state photon detectors the PMT’s have drastically superior signal to noise performance and much lower probability of appearing of afterpulses which could be a source of unwanted correlations.

Because of their non-deterministic nature and near-to-maximal entropy, quantum random number generators are ideally suited for most critical applications such as cryptography, production of PIN and TAN numbers, simulations in industry or science, statistics research etc.

På webbsidan för QRB121 finns information om prestanda, testresultat från diehard-tester som utförts på slumptal genererade med modulen, och för att ladda ner exempelfiler med slumptal.

CS listar Sveriges IT-säkerhetsexperter

August 17th, 2007

IDG (Computer Sweden) har publicerat en lista över vad dom kallar Sveriges skarpaste säkerhetsexperter. Topp fem utgörs av:

  1. Anne-Marie Eklund Löwinder, informations- säkerhetsansvarig, Stiftelsen för internetinfrastruktur

  2. Robert Malmgren, konsult eget företag, Romab

  3. Patrik Fältström, internetexpert, Cisco

  4. Per Hellqvist, it-säkerhetsexpert, Symantec

  5. Jakob Schlyter, it-säkerhetskonsult, Kirei

Jag har svårt att bedöma om rankingen dem emellan är korrekt eller ej, men att dessa fem är otroligt duktiga på säkerhet och gör mycket viktigt arbete för att förbättra IT-säkerheten i Sverige och världen håller jag helt med om. Och, naturligtvis, stort grattis till Anne-Marie som gör ett jättejobb med att få IT-sverige säkrare – en värdig vinnare.
AMEL

Mer om svagheter i strömkryptot ISAAC

August 16th, 2007

Läsaren A lämnade en i går en intressant kommentar med en länk till en artikel av Jean-Philippe Aumasson som i sin artikel visar att delar av artikeln om svagheter i arraybaserade strömkrypton skriven av Souradyuti och Preneel delvis är felaktig. Mer exakt är Souradyuti och Preneel attack på strömkryptot ISAAC inte korrekt, utan bygger på en feltolkning av ISAAC-algoritmen. Aumasson skriver:


At Asiacrypt’06, Paul and Preneel presented [5] (JS: Artikeln om svagheter i arraybaserade strömkrypton) distinguishers for several stream ciphers and pseudo-random generators with RC4-like construction, including ISAAC. However their analysis is based on a incorrect version of the algorithm, probably due to the hardly understandable code given in [2] (JS: Artikel av ISAACs skapare Robert Jenkins som innehåller beskrivningen av ISAAC): in their paper, at line 4 of Algorithm 3, the internal state updated is not the current one, but the next; (JS: Mitt förtydligande) they wrote “4 : m[i + 1] = . . . ” instead of “4 : m[i] = . . . ”.

In ISAAC’s code, the statement *(m++) = (...) indeed affects the current value pointed by m at the expression given, then increments the pointer.

Based on this incorrect algorithm, the authors observe that the output at iteration i comes equal to 2si with probability 1 2 (1 + 2−8 ). From the bias over the parity they construct a distinguisher running in time 2**17. However this does not apply to the real algorithm of ISAAC

Hoppsan! Attackerna på andra strömkrypton, exempelvis Py pch Py6 tror jag är korrekta, men den generella problematik runt arraybaserade strömkrypton som Souradyuti och Preneel presenterar borde i och med detta få sig en törn.

En personlig reflektion är att när jag en gång i tiden implementerade ISAAC i hårdvara minns jag att jag tyckte att algoritmbeskrivningen var svår att förstå. Och att kvaliteten, eller om man så vill läsbarheten och tydligheten i beskrivningar av algoritmer varierar inser man rätt snabbt om man tittar på några olika algoritmer. NISTs beskrivningar brukar vara en fröjd att arbete med mycket detaljerade exempel, testvektorer, tips och tydliga förklaringar av nomenklatur och symboler.

Tyvärr är det sällan beskrivningarna är lika genomarbetade som NISTs, speciellt inte i konferensartiklar. I den pågående eSTREAM-utvärderingen av nya strömkrypton har detta varit ett återkommande problem. Vid utvärdering av vilka kandidater som skulle gå vidare till tredje omgången var tydlighet och hur komplett (med exempel, vektorer etc) beskrivningarna av kanditatalgoritmerna med som urvalskriterie. I utvärderingsrapporten av fas två skriver man bla:


Zk-Crypt has poor documentation. This is a great obstacle to anyone trying to attempt cryptanalysis. In particular, within a limited timeframe, anyone looking over the set of eSTREAM submissions with a view to attempting cryptanalysis on one of them, will almost certainly pick an algorithm that can be understood more readily.

Zk-Crypt gick inte heller vidare till tredje omgången.

När jag började bygga hårdvaruimplementationer av eSTREAM-kandidaterna och kom till MICKEY-128, som i sammanhanget ändå har en bra och tydlig beskrivning samt exempelkod och testvektorer, hittade jag diskrepanser mellan beskrivningen i artikeln och exempelkoden. Dessa diskrepanser (fel i beskrivningen) var tydligen ingen som utvärderat algoritmen utifrån bara artikeln noterat. Efter konversation med MICKEY-128:s skapare Steve Babbage och Matthew Dodd blev artikeln sedan upprättad.

Jag tycker att Aumassons artikel pekar på hur viktigt det är att många personer läser varandras artiklar, testar att implementera algoritmerna, gör analyser. Det är därför algoritmer som utvärderas djupare och oftare är mer trovärdiga (förutsatt att ingen har hittat några hål i algoritmen.) Krypton är skapade av människor, och människor gör ibland fel, men med fler personer, tror jag, minskar risken för att felen inte upptäcks.

Är allt nu frid och fröjd för ISAAC? Nja, inte riktigt. Aumasson visar i sin artikel att det ändå finns svagheter i ISAAC, även om dessa inte ser ut att leda till en praktisk attack. Aumasson presenterar även en variant av ISAAC kallad ISAAC+ som enligt Aumasson tar bort de svagheter han hittat.

Jag får nog ta och titta över min gamla hårdvaruimplementation av ISAAC, och om inte annat bygga om den till ISAAC+. Men det får bli senare i dag, nu är det dags att fortsätta sova (klockan är 05:15).

Stort tack till A för en ypperlig kommentar!

Fysisk design för förbättrad säkerhet

August 15th, 2007

BBC har en artikel om hur man genom design och utformning av produkter kan göra dessa säkrare mot stöld. (Nej, detta har inte direkt med IT-säkerhet att göra, men jag tycker att det är så intressant konceptmässigt att det ändå passar in här.)

Första exemplet i artikeln är en cykel där låset är en del av cykeln – inte som det gamla blocklåset som satt fastsvetsat på bakstagen, utan att hela cykeln är ett lås. När man skall skydda sin cykel fälls den ihop och låses ihop med sig själv:
En jobbigt vällåst cykel
Rätt kämpig att släpa på – frågan är dock hur den är är att cykla på i upplåst läge?

Det andra exemplet är en ursmart stol som fixar problemet med var man skall hänga väskor, exempelvis en handväska (om man har en sådan) så att ingen kommer åt att sno den eller rota i den:
Stol med smart väskfack
Enkelt och snyggt. Som artikeln uttrycker saken If someone puts their hands down there, you notice.

Kinas nya system för elektronisk övervakning

August 15th, 2007

Enligt en artikel på NY Times håller myndigheterna i södra Kina på att bygga upp ett helt nytt system för massiv elektronisk övervakning av sina medborgare. I staden Shenzhen planeras att sätta upp 20 000 kameror som även har stöd för ansiktsigenkänning.
Övervakningskameror i Shenzhen
Vidare skall stadens drygt 12 miljoner innevånare utrustas med ett elektroniskt boendekort. Kortet lagrar information som:

  • Namn och adress

  • Yrkeserfarenhet och betyg

  • Utbildningsnivå

  • Religion

  • Etnisk tillhörighet

  • Polisiär status

  • Medicinsk status och försäkringar

  • Kontaktinformation till hyresvärd

  • Reproduktionshistorik

  • Kreditstatus

Jösses!

Även om myndigheterna ser att all den informationen är bra att ha, och att det är ok att titta på all den högst privata informationen så innebär detta att stadens innevånare plötsligt riskerar att bli föremål för ID-stöld, inte bara på namn och adress, utan på information som kan leda till stor skada om den hamnar i fel händer.

Det man kan hoppas på är att om liknande idéer dyker upp här i Sverige slås det ner direkt, men med tanke på alla förslag som kommit och accepteras kan man ju bli en smula orolig. Ibland tappar man hoppet för mänskligheten…

Ny artikel om analys av skydd för AES mot sidoattacker

August 14th, 2007

IACR dök det nyligen upp en intressant artikel av Johannes Blömer och Volker Krummel om analys av skyddsmetoder för AES-kryptot mot tidsbaserade sidoattacker. Artikeln fokuserar på den typ av tidsbaserade sidoattacker som uppkommer pga skillnader i accesstid till S-boxen (som implementerar SubBytes-funktionen) i AES.

Denna typ av attack har presenterats flera gånger de senaste åren, bla av Daniel J Bernstein, Onur Aciicmez m.fl. Artikelförfattarna bygger först upp en modell för att beskriva det informationsläckage som uppstår pga tidsdifferenserna vid access till S-boxen och använder sedan denna modell för att analysera olika förslag på att skydda S-boxen.

En vanligt förekommande lösning är att använda en permuterad S-box, dvs en S-box där de olika elementen i S-boxen flyttats runt på ett sätt som bara sändare och mottagare känner till. Permutationsoperationen blir helt enkelt en funktion av kryptonyckeln och utförs som en del av initieringsfasen. Författarna visar i sin analys att denna typ av skydd inte är tillräcklig, utan att dom med ett par tusen extra tidsmätningar kan räkna ut hur S-boxen är permuterad.

(Jag tycker det är värt att notera att permutationsoperationen innebär att den initieringstid som, beroende på kryptomod, för AES normalt sett är rätt kort utökas ganska markant genom att 256 Bytes skall flyttas runt. Denna förflyttning medför minst 256 extra minnesaccesser. Jag skulle dessutom misstänka att permutationsoperationen, om den går att tvingas fram av den som utför attacken, i sig innebär risk för informationsläckage.)

Författarna presenterar i sin artikel en egen metod för att minska accesstidsdifferenserna nämligen att dela upp S-boxen i ett antal små S-boxar där storleken på en mini-S-box matchar storleken på en rad i processorns cacheminne. Författarna visar att denna metod undviker informationsläckage, men att implementationen blir 60% långsammare än för en normal S-box. Att använda mini-S-boxar för att säkra permuterade S-boxar, men som författarna påpekar blir denna lösning lika snabb och säker som att använda en vanlig S-box realiserad med mini-S-boxar.

Jag tycker att författarnas artikel är intressant för den visar hur svårt det är göra implementationer av säkerhetsalgoritmer som är effektiva och säkra. Det finns oftast en möjlighet att göra en avvägning (inte snabbt eller säkert – väl en, utan en glidande skala). Men om man inte tänker efter på målplattform och arkitektur (inte minst minneshierarkier och accessmönster) när man bygger sin implementation kan slutresultatet bli mindre lyckat.

En nyhet som dök upp i dag och jag tror har viss relevans i sammanhanget är att AMD precis presenterat att dom avser att bygga ut instruktionsuppsättningen i sina x86-processorer med instruktioner för att underlätta för parallellism. Först ut är två instruktioner som gör det möjligt att få access till instruktionsavslutning och cachemissar.

Att använda dessa instruktioner vid utveckling av säkrare implementationer av kryptoalgoritmer skulle säkert vara praktiskt. Frågan jag ställer mig är dock huruvuvida dessa instruktioner öppnar upp för informationsläckage mellan processer och därmed för attacker på implementationer. Exempelvis på AES.

Vi får nog anledning att återkomma i frågan. Spännande är det, iaf om man gillar krypton och datorarkitektur.

SSH-bakdörr i ReadyNAS

August 10th, 2007

Infrant (numera Netgear) är tillverkare av den populära nätverkslagringsenheten ReadyNAS.
En ReadyNAS
Enligt en pressrelease från tillverkaren visar det sig att det finns en funktion i ReadyNAS OS RADIiator som gör det möjligt för Infrant/Netgear att få rootaccess på en ReadyNAS:


Each ReadyNAS system incorporates a different root password that can be used by NETGEAR Support to understand and/or fix a ReadyNAS system remotely using the ReadyNAS serial number as a key.

An attacker that has obtained the algorithm (and your serial number) to generate the root password would be able to remotely access the ReadyNAS and view, change, or delete data on the ReadyNAS.

Infrant har nu släppt verktyget ToggleSSH som gör det möjligt att slå av SSH-bakdörren. Har du en ReadyNAS bör du nog tanka ner och applicera det verktyget. Bakdörren har dock skapat en hel del upprördhet, inte bara för att tillverkaren har ansett sig ha ett behov av denna möjlighet, utan för att man mörkat om att fuktionen har funnits.

SPF-status i Sverige

August 10th, 2007

Bloggaren Armok Feno har undersökt hur många domäner i Sverige som använder SPF (Sender Policy Framework). Armok skriver:


Cirka 11 procent (10,7% ... 116 av 1080) av dessa 1100 i listan nedan har SPF uppsatt för sina domäner. En ganska låg siffra som bord vara större.

Jag har dock bloggat om KTH-forskaren Stefan Görlings första undersökning om SPF-användning som när den skrevs visade på att ca 2% av de domäner han undersökte använde SPF. Detta var dock på en global nivå, så frågan är om användningen av SPF ökar, eller om Armoks undersökning visar att SPF är vanligare i Sverige. Oavsett detta håller Stefan Görling fortfarande på med sin undersökning om SPF-filtrering.

Pwnie awards för 2007

August 8th, 2007

Pwnie awards är en utmärkelse som försöker uppmärksamma olika typer av säkerhetsproblem. De flesta utmärkelserna är allt annat än positiva, utan delas ut för pinsamma säkerhetshål eller dåliga sätt att hantera uppdagade säkerhetsproblem.

I Pwnie-juryn sitter ett antal säkerhetsexperter, bla Halvar Flake (som just uppmärksammades för att han inte fick resa in i USA), och prisutdelningen sker på Black Hat i Las Vegas. Vinnarna av Pwnie awards 2007 har nu blivit utsedda. Några exempel:

Vinnarna får ett fint pris i form av en förgylld Pwnie:
En vacker Pwnie!
Vi säger Grattis!