Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
HÃ¥rdvara » Kryptoblog

Posts Tagged ‘HÃ¥rdvara’

Hanko-stämpel med skydd mot förfalskning

September 7th, 2010

Fortfarande lika underbara Boingboing berättade för ett tag sedan om ett fenomen jag inte kände till. Tydligen är det vanligt i Japan att man använder en Hanko, e personlig stämpel som signatur. Ett problem med Hanko-stämplar är att de kan kopieras (precis som en namnteckning). Detta har Mitsubishi Pencil försökt lösa genom att skapa en Hanko med inbyggt skydd mot förfalskning.

Mitsubishis säkra Hanko
Mitsubishis säkra(re) Hanko.

Säkerheten sitter i att det finns två ringar med 10 olika positioner vardera. Ringarna sätter ett valbart kantmönster runt det fasta stämpelmönstret. Två ringar med 10 olika positioner ger alltså 100 olika mönster, vilket inte är såå säkert. Men visst, en viss förbättrad säkerhet blir det. Och visst är Hankon snygg?

Sectra får order från EU

September 2nd, 2010

Elektroniktidningen berättar att Sectra fått en stor order från EU för säker telefoni. EU-rådet har lagt ett ramavtal för att köpa in Sectras telefonlösning XS till höga chefer, tjänstemän m.fl och gäller under fyra år.

Sectra XS
Sectra XS

Grattis Sectra! Det är alltid kul att se att det går bra för svenska säkerhetsföretag och XS är en smart produkt.

Fina Enigmabilder

August 9th, 2010

NSAs National Cryptologic Museum har (naturligtvis) Enigma-maskiner att visa upp. Silicom.com har varit på sommarbesök och tagit några fina bilder. Den här på Enigma-rotorer exempelvis:
Enigma-rotorer.

Två nya attacker på AES

June 12th, 2010

Det var inte så länge sedan jag bloggade om att det varit mycket attacker på det symmetriska blockkryptot AES det senaste dryga året. Och nu kommer ett par nya attacker.

Den första attacken är en attack på AES-algoritmen i sig och knyter därmed an direkt till de attacker jag bloggade om. Återigen är det Orr Dunkelman, Nathan Keller och Adi Shamir som ligger bakom den kryptanalytiska attacken.

Det intressanta med den här attacken är att till skillnad från de flesta attacker på AES-algoritmen kräver den här inte ett stort antal nycklar, utan bygger på en enskild nyckel. Just att de senaste årens attacker krävt ett stort antal relaterade (kopplade) nycklar har varit dessa attacker svaghet. Eller som EU-projektet ECRYPT II skriver i sin årliga rapport om nyckellängder och kryptoprimitiver:

We note that related-key attacks’ practical relevance depends on context, and these attacks are unlikely to affect practical uses of the AES algorithm.

Shamirs, Dunkelmans och Kellers nya attack, Improved Single-Key Attacks on 8-round AES kan därmed ses som ett svar på detta, Författarna skriver:

AES is the most widely used block cipher today, and its security is one of the most important issues in cryptanalysis. After 13 years of analysis, related-key attacks were recently found against two of its flavors (AES-192 and AES-256).

However, such a strong type of attack is not universally accepted as a valid attack model, and in the more standard single-key attack model at most 8 rounds of these two versions can be currently attacked. In the case of 8-round AES-192, the only known attack (found 10 years ago) is extremely marginal, requiring the evaluation of essentially all the 2**128 possible plaintext/ciphertext pairs in order to speed up exhaustive key search by a factor of 16.

In this paper we introduce three new cryptanalytic techniques, and use them to get the first non-marginal attack on 8-round AES-192 (making its time complexity about a million times faster than exhaustive search, and reducing its data complexity to about 1/32,000 of the full codebook).

In addition, our new techniques can reduce the best known time complexities for all the other combinations of 7-round and 8-round AES-192 and AES-256.

Fortfarande är det på AES-versioner med ett färre antal iterationer än det som normalt används. Men det är ännu ett sår i AES-bygget.

Den andra attacken är inte pÃ¥ algoritmen, utan en sidoattack pÃ¥ implementationen av AES - mer exakt pÃ¥ en datorplattform som exekverat AES och som sedan stängts av(!). Genom att använda verktyg för att lösa Boolean SAT-problem (svensutvecklade MiniSat) anpassad kryptoproblem – CryptoMiniSat. Detta verktyg har använts för att lösa en Boolesk beskrivning av nyckelschemaläggningen i AES kan dom Ã¥terskapa nyckeln även frÃ¥n ett minne som varit avstängt och därmed tappat en stor del av sitt innehÃ¥ll.

SRAM-minnen och till viss del även DRAM-minnen tappar sin information när strömmen kopplas bort, men kan behÃ¥lla informationen under en längre tid – kallas data remanence. Speciellt i kalla förhÃ¥llanden kan ett SRAM-minne behÃ¥lla sin information under lÃ¥ng tid.

I artikeln Applications of SAT Solvers to AES key Recovery from Decayed Key Schedule Images visar Abdel Alim Kamal och Amr M. Youssef att dom för 10000 nycklar där 72% nycklen har förstörts (bitarna har ändrat värden slumpmässigt) kan dom återskapa 92% av nycklarna på mindre än 10 sekunder. Nu gäller detta inte enbart AES, utan som författarna skriver:

In this work, we modelled the problem of key recovery of the AES-128 key schedules from its corresponding decayed memory images as a Boolean SAT problem and solved it using the CryptoMiniSat solver. Our experimental results confirm the versatility of our proposed approach which allows us to efficiently recover the AES-128 key schedules for large decay factors.

The method presented in this work can be extended in a straightforward way to AES-192, AES-256 and other ciphers with key schedules that can be presented as a set of Boolean equations and, hence, lend themselves naturally to SAT solvers.

För den som vill läsa mer om data remanence rekommenderas Peter Gutmanns klassiska Data Remanence in Semiconductor Devices.

GPU-accelererad lösenordsknäckare

March 27th, 2010

Elcomsoft har släppt lösenordsknäckare som är accelererade prestandamässigt med grafikprocessorer (GPU).

Elcomsoft

De nya lösenordsknäckarna attackerar lösenord för Wi-Fi lösenord (WPA-PSK) samt lösenordsskyddade backuper från iPhone och iPod. Elcomsoft använder ATI Radeon 5000-GPU:er.

ATI Radeon 5000

Benchmarkmätningar visar enligt ElcomSoft att ATI Radeon HD5970 ger 20x högre prestanda för lösenordsknäckning än Intels Core i7-960. Elmcomsoft ser även att dom får mycket bättre prestanda än med Nvidias Tesla-kort:

WPA-PSK-prestanda.

En Duracellkanin? Nej, en Energizer-trojan

March 12th, 2010

Batteriföretaget Energizer släppte för ett tag sedan en USB-kopplad batteriladdare kallad Energizer Duo.

Energizer Duo

Förutom att ladda via USB kunde produkten köra en liten applikationen på datorn som visade laddstatus fäör batterierna.

Laptop med applikationen.

Men det var nu inte det enda som kördes när laddaren kopplades in. Enligt Symantec kom batteriladdaren med en elak liten trojan. Symantec har en längre beskrivning av Energizertrojanen som bla beskriver vad den kunde göra:


• Download a file
• Execute a file
• Send a directory listing to the remote attacker
• Send files to the remote attacker
• Modify the following registry entry:

Energizer har dragit tillbaka produkten. Det jag undrar över är hur trojanen hittade in i koden till laddaren från första början. Hade det varit ett USB-minne hade det varit en sak, men nu är det inte det och då brukar mängden minne som finns vara högst begränsat. Märkligt.

Vackra bilder på Fialka-rotorer

March 10th, 2010

Ok, det börjar bli sent, men jag kan inte låta bli att posta några bilder från en sida med extremt detaljerad beskrivning av rotorerna till den gamla ryska, elektromekaniska kryptomaskinen Fialka. Det här är vackert:

Rotorer 1
Rotorer - koppling
Vackert fodral
Extreme closeup

HÃ¥rdvaruimplementationer av SHA-3-kandidater

February 12th, 2010

Den senaste tiden har det kommit flera artiklar som beskriver hårdvaruimplementationer av hashfunktioner som är kandidater till NISTs kommande SHA-3-standard. Några av dessa artiklar är Evaluation of Hardware Performance for the SHA-3 Candidates Using SASEBO-GII och An FPGA Technologies Area Examination of the SHA-3 Hash Candidate Implementations och Compact Hardware Implementations of the SHA-3 Candidates ARIRANG, BLAKE, Gr0stl, and Skein.

Det pÃ¥gÃ¥r även flera forskningsprojekt där man bygger upp ramverk för att pÃ¥ olika sätt jämföra implementationer (SW och HW) av olika kryptografiska funktioner – krypton, hashfunktioner etc. Ett sÃ¥dan projekt är Athena-projektet som fokuserar pÃ¥ hÃ¥rdvaruimplementationer. Ett annat projekt är ECRYPTs eBASH som mer tittar pÃ¥ SW-implementationer över ett stort antal processorarkitekturer.

Ett bekymmer med alla olika HW-implementationer är att det finns så många design- och teknologimässiga frihetsgrader. Är en given implementation optimerad för maximal prestanda eller minimal storlek? Är målteknologin en ASIC-process (och i så fall vilken processnod) eller en FPGA? Vilka teknologispecifika funktioner utntyttjas etc. Det är lätt att det blir en jämförelse mellan äpplen och päron, och kanske äpplen och köttfärslimpa.

I höstas kom artikeln Artikeln High-Speed Hardware Implementations of BLAKE, Blue Midnight Wish, CubeHash, ECHO, Fugue, Gr{o}stl, Hamsi, JH, Keccak, Luffa, Shabal, SHAvite-3, SIMD, and Skein där man försökt hantera detta. Genom att välja samma målteknologi, samma verktygsflöde, samma metodik och implementationstategi har man försökt skapa implementationer av kandidater som skall gå att jämföra med varandra.

Rapporten ger en bra översiktlig beskrivning av samtliga HW-implementationer som skapats. Målteknologi är en 180nm Standard Cell-process (ASIC) från Faraday och man har tagit design genom syntes ned till nätlista och där gjort prestandaskattningar.

Utifrån ren prestanda når Keccak 21 Gbit/s och vinner med bred marginal:
Prestandatabell.

En mer intressant blir det om man tittar på prestanda kontra storlek på implementationen:
Prestanda vs area.

Det verkar som de flesta kandidater ligger inom 40-60 kGates och där återfinns de fem snabbaste kandidaterna. I diagrammet ser man även hur Keccak och Luffa sticker ut prestandamässigt. Vidare är det värt att notera hur mycket mer komplexa de största kandidaterna är, och att det iaf inte ger någon prestandafördel. Om man skulle gå på dessa siffror (och utgår ifrån att säkerheten är lika hög hos alla kandidater) borde Keccak och Luffa ligga bra till samt att BMW och SIMD samt Skein sitta sämre till.

Det jag saknar nu är en bra jämförelse med SW-implementationer, ex från eBASH samt vad andra får fram för resultat av HW-implementationer (ex Athena). Visserligen riskerar det att bli äpplen och köttfärslimpa, men jag tror att den samlade bilden är viktig.

Kör beräkningar på din PS3:a

March 1st, 2009

(Har haft dom här länkarna liggande pÃ¥ tok för länge i min lista med intressanta saker…)

Enligt en artikel på Physorg har några forskare på Dartmouth-universitetet släppt ett system + instruktioner för att köra parallella beräkningar på en Sony PlayStation 3 (PS3).

Jag har inte testat på min egen maskin (än), men att döma av webbsidan för systemet är det ganska rätt fram att installera och köra. Är det någon som testat och har några åsikter skulle jag uppskatta en kommentar.

rule30 IP-core släppt

January 12th, 2009

I dag släppte vi på InformAsic den cellautomatbaserade slumptalsgenerator byggd på rule30 jag byggt som öppen IP-core. Det tog lite längre tid att få ut den än jag hade hoppats, men nu blev det en bra start på nya arbetsåret.

För den som vill titta på och använda vår IP-core finns den här. Koden är BSD licensierad. Skriven i Verilog (naturligtvis). Förhoppningsvis kommer den till nytta för att exempelvis driva FPGA-baserad test med kontrollerad, slumpmässiga indata. Det är så jag ex använder den för att testa kryptoimplementationer.

Glädjande nog fick vi en del uppmärksamhet för släppet, bland annat i Elektroniktidningen och Elektronik i Norden. Ett litet förtydligande angående Opencores och Sourceforge är att vi på InformAsic tycker att dessa är mycket bra initiativ.

Dock är Opencores en aning (lite väl) knölig att använda, både för utvecklare och användare av cores. Tittar man på många av de (ex Rudolf Usselman) som var med att starta Opencores bor deras cores i dag på andra platser även om det finns information om deras core på Opencores. En sådan lösning skulle säkert kunna fungera för oss också. Vi får se hur vi gör nästa gång, speciellt när vi snart släpper nästa öppna IP-core.