Fortsätt läsa »]]> I dag har organisationen IACR, International Association for Cryptologic Research accepterat en artikel av Secworks Joachim Strömbergson samt Simon Josefsson som beskriver en typ av svaga nycklar i strömkryptot RC4.

I artikeln The Perils of Repeating Patterns: Observation of Some Weak Keys in RC4 beskriver vi hur nycklar bestående av ett mönster repeterat två eller flera gånger kan ersättas med en nyckel lika lång som mönstret självt. Följande figur illustrerar vad vi menar:

Två olika par med nycklar där nycklarna i varje par får RC4 att generera samma sekvens.

Notera att för de två paren är skillnaden mellan nycklarna att dom är olika långa samt består av olika antal iterationer av samma mönster. I det övre nyckelparet är mönstret 0X55 och i det nedre nyckelparet är mönstret 0X01020304.

Så hur kan det bli så här? Den sekvens RC4 genererar styrs av hur den interna tillståndstabellen S initieras. Detta sker med funktionen KSA (Key Scheduling Algorithm):

Den nyckelberoende initieringen i RC4.

Först fylls S med mönstret [0, 1, .. , 255]. Sedan kastas värdena i S om genom att under ett svep över S byta värden på två positioner i taget. Vilka positioner som används är alltid positionerna [0, 1, 2, ... 255] (som anges av i) samt positioner som anges av j, vilket beror av nyckeln K. Detta sker på kodrad (5).

Nyckeln består av ett antal bytes och dessa bytes används i tur och ordning för att ge ett positivt bidrag till j. Och när alla bytes i K använts börjar man använda första byten i nyckeln igen tills dess att svepet över S är färdigt.

Boven i dramat är att värdena i nyckeln används på detta cykliska sätt utan att nyckelns längd får vara med och påverka pekaren j. En nyckel som består av två mönster [PP] appliceras på S ger samma bidrag till j som en hälften så lång nyckel som bara består av mönstret [P].

Vi tror inte att vi är dom första som observerat beteendet, det är alldeles för enkelt och dessutom är konstruktionen med att cirkulärt applicera ett mönster relativt vanligt. Det är därför en aning märkligt att vi inte lyckas hitta en beskrivning av beteendet kopplat till RC4. Vi har verkligen försökt så gått vi kan läsa igenom allt om RC4 och nycklar vi kunnat hitta, och det finns rätt många. RC4 är tyvärr ett krypto där det finns många svagheter. Vi har även kontaktat forskare som publicerat några av dessa svagheter men dessa har inte heller känt till beteendet vi beskriver.

Det finns dock en beskrivning av beteendet av Bruce Schneier i sin artikel som introducerar blockkryptot Blowfish. Schneier skriver om hur nyckeln används för att initera Blowfish:

Repeatedly cycle through the key bits until the entire P-array has been XORed with key bits. (For every short key, there is at least one equivalent longer key; for example, if A is a 64-bit key, then AA, AAA, etc., are equivalent keys.)

Vi tycker dock att det är omvänt sätt att beskriva det hela. Problemet är inte att för en given nyckel N finns det längre nycklar n*N där n är ett heltal [2, 3, ..]. Nej problemet är att för en nyckel som består av ett mönster N repeterat x gånger finns det ett antal kortare och därmed svagare nycklar.

I exempelvis SSL/TLS genereras nyckeln av en internfunktion med bra kvalitet och sannolikheten att en nyckel som består av ett repeterat mönster används är därför liten. Även i andra tillämpningar där användaren anger nyckel sker ofta en processning av nyckeln genom att köra nyckeln i en kryptografisk hashfunktion (helst många gånger) eller genom ett systen som PBKDF2, bcrypt (som använder Blowfish internt) eller scrypt.

Men jag har tyvärr sett tillämpningar där RC4 används och nyckeln appliceras direkt. Tillämpningar där nyckeln varit av typen 0X0101010101010101 eller 0X0102030405060701020304050607. För dessa är nyckeln inte 64 eller 128 bitar utan 8 respektive 64 bitar.

Vi räknar med att höra av forskare och andra kunniga människor som pekar ut var beteendet och problemet finns beskrivet. Men om det inte sker hoppas vi att den här artikeln hjälper till att sprida kunskapen om beteendet. Vill du undvika de problem vi observerat när du använder kryptp RC4 bör du helt enkelt inte använda nycklar som består av ett repeterat mönster.

Har du synpunkter och information om artkeln får du mer än gärna höra av dig till mig och Simon.

Fortsätt läsa »]]> Det få sätt att effektivt lära sig saker som att faktisk sätta sig ner och praktiskt utföra, öva på den man vill lära sig. Det gäller både saker som kanske är tråkiga, exempelvis glosor på tyska och saker som är desto roligare – spela gitarr eller hacka krypton.

Säkerhetsföretaget Matasano Security har insett detta och har därför skapat en serie spännande krypto och IT-säkerhetsutmaningar. Utmaningarna skickas som mail innehållandes åtta olika problem. Totalt finns sex uppsättningar problem. Problemen sträcker sig från grundläggande kodningar och XOR-krypton till slumptalsgeneratorer, strömkrypton, nyckelsystem och mycket mer. Själva utmaningarna är inte problem avsedda att luras, utan bygger på faktiska attacker och svagheter.

Jag har precis börjat arbeta mig igenom utmaningarna. För att göra det lite svårare för mig själv försöker jag dessutom implementera mina lösningar inte bara i Python och/eller C, utan även i SystemVerilog. Vi får se hur länge det är realistiskt att göra det. Att implementera RSA i hårdvara kräver en hel del arbete – troligen mer än att lösa själva problemen i utmaningarna. Så här långt har det varit både givande och väldigt roligt.

För mer information om utmaningarna och hur du anmäler dig (du skickar ett mail), se Matasanos sida om utmaningarna. Om du genomför samtliga 48 utmaningar lovar Matasano även att donera 20 USD till välgörande ändamål.

Här finns även en sida skriven av en person som genomfört samtliga utmaningar och berättar lite mer om dom. En krav från Matasano är dock att inte ge beskriva utmaningarna i detalj eller dela med sig av sina lösningar, just för att andra också ska få chansen.

Fortsätt läsa »]]> I ett anfall av programmeringsklåda har jag (Joachim) implementerat den nyckelstyrda, kryptografiska hashfunktionen SipHash i assembler för den gamla 8-bitars processorn MOS 6502.

MOS 6502

Resultatet, siphash_6502 finns i ett öppet repo på Gitorious.

Jag förväntar mig inte att koden kommer att få någon större spridning. Däremot var det en intressant övning att implementera 64-bitarsoperationer på en 8-bitarsprocessor med få instruktioner och än färre register. Koden, som är byggd med makron, borde även kunna gå att porta relativt lätt.

Storleksmässigt tar den nuvarande implementationen 677 Bytes i kod och 103 Bytes för datastrukturer inklusive lagring av nyckel samt datablock. Genom att ändra om de stora makrona till funktioner som återanvänds skulle det gå att banta koden en aning. Det finns i dag ett utkast till en kompakt version i repot, men den är inte färdig än. Men att få in en komplett MAC-funktionalitet på under 1 kByte på en sådan här processor visar att SipHash går att använda även i riktigt små system.

Prestandamässigt tar en kompressionsoperation knappt 5000 cykler, vilket ger ungefär 600 cykler/Byte för ett långt meddelande. I värsta fallet, med ett meddelande på ett enda block tar det ungefär 15000 cykler. En gammal Commomodore 64:a klarar ungefär 200 stycken sådana bearbetningar/s. För ett litet Internet of Things-system borde det i många fall vara mer än tillräckligt för att kunna autenticera meddelanden i realtid.

På Gitorious finns även den hårdvaruimplementation av SipHash som Secworks tidigare släppt.

Fortsätt läsa »]]> Tillsammans med Simon Josefsson och Nikos Mavrogiannopoulos är Secworks involverade i arbetet att skriva en Internet Draft avsedd att få in strömkryptot Salsa20 i TLS och DTLS.

Skälet till arbetet med draften draft-josefsson-salsa20-tls-01 är att vi ser att det behövs ett bra, säkert strömkrypto i TLS och DTLS. I dag finns bara RC4 som strömkrypto, men RC4 är rejält trasigt. Det finns ett antal blockkrypton, inte minst AES, men de senaste årens säkerhetsproblem har gjort att fler använder RC4.

Att få in ett nytt strömkrypto kräver att det finns en RFC som beskriver hur strömkryptot ska användas i TLS och DTLS och draften är arbetsdokumentet till vad som förhoppningsvis blir denna RFC.

Salsa20 är ett strömkrypto som har kort initieringsfas och därmed ger bra prestanda även för korta meddelanden. Salsa20 går att få att ge bra prestanda på ett flertal olika processorarkitekturer. ARX-strukturen gör att Salsa20 inte öppnar upp för informationsläckage via sidokanaler. Slutligen är Salsa20 relativt väl analyserad då den är en av algoritmerna i eSTREAM-portföljen. Vi tror därför att Salsa20 skulle kunna bli en bra ersättare till RC4 i TLS och DTLS.

Om du har några kommentarer och synpunkter på draften skulle vi som författare uppskatta det mycket. Kontakta oss gärna. Själva arbetet med draften sker på Gitorious.

Fortsätt läsa »]]> Säkerhetsforskaren Ross Anderson har skrivit en av de absolut bästa böckerna om säkerhet – Security Engineering.

Ross har gjort den tidigare versionen av boken fritt tillgänglig. Och nu har Ross även släppt den senaste versionen (från 2008) fritt tillgänglig på sin sida för boken.

Gissningsvis kommer en uppdaterad, tredje version av boken ut under året. Men den version som nu finns är trots sina fem år på nacken fortfarande en riktigt, riktigt bra bok som vi rekommenderar till alla som vill veta mer om säkerhet.

Fortsätt läsa »]]> Andrew Bunnie Huang, som Secworks tidigare uppmärksammat för sitt projekt att utveckla en egen laptop, har släppt sin bok Hacking the Xbox i PDF-format fri för nedladdning.

Hacking the xbox, som kom 2003 är en fantastisk bok, som inte bara berättar om hur Bunnie som forskarstudent lyckades knäcka skyddet i Xbox. Boken är istället en mycket bra introduktion till metoder och verktyg för att analysera och plocka isär digitala system.

Även om boken har några år på nacken är den fortfarande mycket läsvärd och relativt unik i sitt fokus på praktiskt arbete, inte bara teori.

Skälet till att Bunnie och bokens förlag släpper boken fritt beror på hur hackern Aaron Swartz behandlades. Bunnie skriver bland annat:

No Starch Press and I have decided to release this free ebook version of Hacking the Xbox in honor of Aaron Swartz. As you read this book, I hope that you’ll be reminded of how important freedom is to the hacking community and that you’ll be inclined to support the causes that Aaron believed in.

I agreed to release this book for free in part because Aaron’s treatment by MIT is not unfamiliar to me. In this book, you will find the story of when I was an MIT graduate student, extracting security keys from the original Microsoft Xbox. You’ll also read about the crushing disappointment of receiving a letter from MIT legal repudiating any association with my work, effectively leaving me on my own to face Microsoft.

The difference was that the faculty of my lab, the AI laboratory, were outraged by this treatment. They openly defied MIT legal and vowed to publish my work as an official “AI Lab Memo,” thereby granting me greater negotiating leverage with Microsoft. Microsoft, mindful of the potential backlash from the court of public opinion over suing a legitimate academic researcher, came to a civil understanding with me over the issue.

Här finns hela motivering till varför Bunnie och förlaget släpper boken.

Fortsätt läsa »]]> Den öppna hårdvaruimplementation av den kryptografiska hashfunktionen SipHash som Secworks utvecklat finns nu i en ny version.

I den nya versionen har antalet adderare dubblerats så att den den inre iterationen nu kan utföras på en cykel. Detta gör att antalet cykler för att bearbeta ett meddelande om upp till 8 Bytes (ett block) minskat från 28 till 10 cykler. För långa meddelanden går latenstiden mot 0,5 cykler/Byte.

Storleksmässigt har SipHash-core krympt något och kräver nu Alteras Cyclone IV-teknologi 1088 LE:s, en minskning med 25%. Däremot har maximala klockfrekvensen minskad till 90 MHz. Detta gör att SipHash-core i Alteras teknologi för långa meddelanden kan hantera datatakter på mer än 1 Gbps.

Den nya versionen finns i det publika repot för SipHash-core hos Gitorious.

Fortsätt läsa »]]> Kryptera.se berättar att den 16:e februari ordnas för första gången ett CryptoParty i Sverige.

cryptopartyposter

Ett CryptoParty är ett möte där intresserade personer kan få lära sig mer om krypto, teknik för integritet m.m.

CryptoPartyt i Stockholm arrangeras av organisationen DFRI samt hackerspacet Sparvnästet. Partyt kommer att hållas i .SE:s lokaler på Ringvägen 100 i Stockholm.

På programmet finns än så länge presentationer och workshops om Grundläggande krypto och kryptering, Digitalt Källskydd, Tor och hur filtermekanismer på nätet fungerar. Samt naturligtvis organiserad nyckelsignering (key signing party).

Evenemanget ser mycket intressant ut och organiseras av duktiga och kompetenta personer. Dessutom är det gratis – kan det bli bättre?

Fortsätt läsa »]]> Det svenska IT-säkerhetsföretaget Kirei har släppt en handledning om IP-baserade kommunikationsprotokoll.

Handledningen är utvecklad på uppdrag av en större kund under förra året. Handledningen beskriver olika typer av IP-baserade tillämpningar samt hur tillämpningarnas egenskaper påverkas beroende på hur den underliggande anslutningen. Hur väl fungerar exempelvis en realtidstillämpning över en anslutning med lång fördröjning, och spelar det för tillämpningens användbarhet att öka anslutningens överföringskapacitet är exempel på frågor handledningen försöker besvara.

Handledningen vänder sig i första hand till ansvariga för utveckling av IT-stöd, t.ex. IT-chefer, IT-arkitekter och verksamhetsansvariga, men innehåller även en fördjupningsdel med mycket matnyttig information för systemspecialister, nätverksansvariga, utvecklare och andra tekniker.

Secworks har under året arbetat för Kirei med att utveckla handledningen. Att arbeta tillsammans med några av Sveriges vassaste IT-säkerhetsexperter har varit både spännande och kul.

Handledningen är släppt under Creative Common-licens.

Vi som skrivit handledningen tar väldigt gärna emot kommentarer och synpunkter samt förslag på ändringar och förbättringar.

Fortsätt läsa »]]> Knappt har röken från NISTs SHA-3-tävling lagt sig för det är dags igen.

CAESAR
Daniel J Bernstein har med ekonomiskt stöd från NIST i all korthet utlyst en ny tävling. Den nya tävlingen, CAESAR – Competition for Authenticated Encryption: Security, Applicability, and Robustness syftar till att få fram symmetriska kryptoalgoritmer som även ger autenticering av datat som bearbetas.

I dag är det väldigt tydligt att för den överväldigande mängden kommunikation är kryptering (som ger konfidentialitet) oftast mycket mindre viktigt än att veta att meddelanden kommer från rätt sändare och att det inte modifierats under överföring. Inte minst gäller detta industrisystem och inbyggda system där informationen sällan är känslig, men måste vara korrekt. Tyvärr är det få kryptoalgoritmer som ger både konfidentialitets- och autenticitetsskydd och det är vanligt att se system där bara konfidentialitet används.

Kryptot AES exempelvis kräver en kryptomod som GCM för att ge båda egenskaperna, en kryptomod som är relativt kostsam.

CAESAR avser att försöka standardisera en portfölj med bra ström- och blockkrypton samt kryptomoder som ger båda egenskaperna. Ett mycket bra initiativ.

Tidplanen för CAESAR är att kandidater ska vara inlämnade i början av 2014 och sedan sker utvärderingar under flera år för att slutligen 2017 förhoppningsvis leda till en portfölj med flera algoritmer.

Nya hashfunktioner
Det pågår även ett initiativ att starta en tävling motsvarande eSTREAM sponsrat av EU för att få fram nya hashfunktioner som är både kompakta och mycket snabbare än MD5, inte minst på enklare plattformar. Här finns det dock mindre konkreta planer än.

SHA-3 (Keccak) är en snabb algoritm på 64-bitars processorer. Men på 16- eller 32-bitars processorer samt i hårdvara har den visat sig vara svår att få riktigt snabb och samtidigt kompakt. SHA-2-algoritmerna har inte slagit, mycket på grund av att dom är så mycket långsammare än SHA-1 och MD5.

Många hoppades att SHA-3 skulle få fram radikalt snabbare algoritmer, men så blev det inte. Däremot har det efter SHA-3 dykt upp minst en intressant sådan algoritm. BLAKE2, en ny version av SHA-3-finalisten är mycket snabb och finns dessutom i ett par versioner för att möte krav från begränsade plattformar och för de med höga krav på säkerhet.