Etikettarkiv: Standarder

Knäckta satellitkrypton och hemliga algoritmer

Ars Technica skriver om hur forskare i Tyskland lyckats knäcka krypton som används vid satellitkommunikation.

Satellitkommunikation

Eftersom signalen från en satellit täcker så stora ytor är det enkelt att fånga in signalen. För att skydda samtal från avlyssning krävs därför ett bra konfidentialitetsskydd – ett bra krypto.

Det är den internationella standardriseringsorganisationen ETSI som specificerat både kryptona GMR-1 och GMR-2 kryptona samt hur dom ska användas. Hur dom ska användas är öppen information, men själva kryptona är hemliga. ETSI skriver i sin specifikation (pdf):

The internal specification of algorithm A5-GMR-1 is managed under the responsibility of the GSC; it will be made available in response to an appropriate request

Att algoritmerna är hemliga hindrade dock inte forskarna. Genom hacka sönder uppdateringsfiler av programvaran till telefoner samt genom att analysera trafiken vid användande av satellittelefoner från Thuraya och Inmarsat kunde forskarna räkna ut hur algoritmerna fungerar.

Forskarnas analys visar att det skydd kryptona ger är så svagt att det finns en klar risk att satellitbaserad trafik inklusive samtal går att avlyssna. I artikeln Don’t Trust Satellite Phones: A Security Analysis of Two Satphone Standards skriver forskarna:

In this paper, we analyze the encryption systems used in the two existing (and competing) satphone standards, GMR-1 and GMR-2.

We were able to adopt known A5/2 ciphertext-only attacks to the GMR-1 algorithm with an average case complexity of 2**32 steps. With respect to the GMR-2 cipher, we developed a new attack which is powerful in a known-plaintext setting. In this situation, the encryption key for one session, i.e., one phone call, can be ecovered with approximately 50–65 bytes of key stream and a moderate computational complexity.

A major finding of our work is that the stream ciphers of the two existing satellite phone systems are considerably weaker than what is state-of-the-art in symmetric cryptography.

(På forskarnas egna webbplats finns mycket mer information.)

Forskarnas bedömning är att eftersom det skulle kosta så mycket att byta algoritmer kommer dessa inte att ändras. Istället rekommendrar dom att betrakta kommunikationen som öppen och sedan komplettera med ytterligare lager av skydd. Tyvärr kostar dessa extraskydd kapacitet i en förbindelse som redan har ganska begränsad kapacitet. Dessutom kan dessa skydd införa ökad fördröjning och andra trafikala problem. Inmarsat, som även är operatör av satellitkommuninkation har över än så länge inte kommenterat eller gett några officiella råd till sina kunder.

Tyvärr är detta inte första gången ett hemligt krypto visat sig vara svagt och långt ifrån vad man kan förvänta sig av ett krypto som används i befintliga system. I smarta kort av MiFare Classic-typ, som bland annat används för betalning i publika transportsystem i Göteborg och Stockholm, finns ett hemligt krypto kallat Crypto-1. Trots att kryptot var hemligt lyckades forskare klura ut både hur kryptot fungerar, och att dess säkerhet var i stort noll.

Keeloq är ett krypto som används i elektroniska bilnycklar av i stort sett samtliga stora biltillverkare. Även detta krypto var hemligt och även här lyckades forskare räkna ut hur det fungerar samt visa på kryptots monumentala brister.

För ETSI är forskarnas nya resultat ännu ett misslyckande. Deras kryptostandarder för DECT, GSM, 3G och satellitkommunikation har alla visat sig ha stora brister. När det kommer till kryptoalgoritmer är det frågan om ETSI lever upp till sin devis World Class Standards.

Att hålla informationen om vilka kryptografiska algoritmer du använder hemliga är inte ett problem. Du kan helt enkelt strunta att berätta det. Problemet är om säkerheten hos ditt system beror av att denna information är hemlig.

Information som om den kommer ut kan skada din verksamhet ställer krav på skydd som kostar pengar. Du behöver införa mekanismer och metoder för att begränsa tillgången. Skyddet behöver dessutom övervakas så att du vet att det faktiskt fungerar.

Dessutom bör du ta fram en plan för hur du ska agera om informationen trots allt kommer ut. När hemligheten kommit ut måste den troligen bytas ut, alternativt att du måste kasta in handduken och införa andra skyddsåtgärder så som forskarna nu föreslår att användare av satellitkommunikation bör göra. Att byta algoritm kan bli väldigt kostsamt. Är det en algoritm som används i inbyggda system som tillverkas i stora volymer, används i fält och har lång livslängd är innebär bytet eventuellt att du måste byta ut hela systemet.

Hade din hemlighet istället bara varit en kryptonyckel hade bytet troligen handlat om att byta ut en sträng på 16, 32, 64 tecken eller liknande. Säkerheten sitter i nyckeln. Den är allt du egentligen ska behöva skydda.

Bra kryptoalgoritmer försvagas inte av att informationen om hur dom fungerar är känd. Tvärt om beror vår tillit på algoritmerna just av öppenheten. Algoritmen som utgör blockkryptot AES undersöktes ett stort antal gånger på olika sätt innan den accepterades som standard. Och AES fortstt under kontinuerlig undersökning. Det finns generationer av forskare som fixat sin hatt eller årets publiceringar genom att försöka hitta på nya sätt att vara elak mot AES.

Ju fler undersökningar som en algoritm står emot desto större tillit vågar vi sätta till den. Och det är öppenheten, tillgängligheten som gör dessa undersökningar möjliga.

I jämförelse med en öppen algoritm undersöks en hemlig algoritm mer sällan. Dessutom sker undersökningen oftast under en begränsad tid. När en hemlig algoritm bedömts som säker tas den i bruk och sedan sker sällan omvärdering av algoritmens säkerhet.

Det finns användare av hemliga algoritmer som vet vad dom gör, som har den spetskompetens som krävs att göra en bra bedömning. Men när erkända kryptoforskare som medlemmarna i ETSIs säkerhetsgrupp SAGE gör fel och försvagar snarare än förstärker en algoritm (som är fallet med KASUMI, byggt på MISTY-1) är det inte självklart att även en enskild grupp med aldrig så skarpa experter gör en bra bedömning. Den mekanism som har störst chans att ge bra algoritmer är öppna processer med många, oberoende tester över lång tid. Att skynda långsamt och kontinuerligt ompröva resultat.

AES togs fram genom en sådan process, strömkryptona i eSTREAM togs fram genom en sådan process och kommande hashfunktionen SHA-3 tas fram på detta sätt. Det finns inga garantier att detta ger säkra algoritmer, det visar bland annat eSTREAM där några krypton i dag är knäckta. Men detta är den bästa metod vi har i dag och det är en process som förbättras för varje iteration.

Även ETSI verkar till slut ha lärt sig av alla sina misstag och i arbetet med den senaste standarden ZUC har det faktiskt organiserats seminarier, workshops, diskussionsforum på nätet och varit en mycket mer öppen process (även om det finns mindre öppna designval även i ZUC).

Om du oroar dig för att någon ska veta hur ditt system fungerar så strunta att berätta vilket krypto du använder. Men hitta inte på egna algoritmer, utan använd öppna, etablerade standarder som stått emot granskning under lång tid. Gör du det är nyckeln till kostnadseffektiv,fungerande säkerhet din kryptonyckel.

DMARC – nytt initiativ för att skydda mot domänförfalskning

Googles Gmailblog finns en beskrivning av ett nytt initiativ mot domänförfalskning (domain spoofing) kallar DMARC. Vid spam och annan icke önskvärd epost är det vanligt att mailen skickas från falska domännamn. Flera olika tekniker har sedan tidigare tagits fram för att stoppa detta – exempelvis Sender Policy Framework (SPF) DomainKeys Identified Mail (DKIM).

Domain-based Message Authentication, Reporting and Conformance (DMARC) bygger vidare på SPF och DKIM genom att tillföra en mekanism för organisationer i sina mail att tala om hur dom autenticerar sina mail och hur mail skall hanteras om autenticeringen inte är korrekt. Bland annat ger DMARC en möjlighet för mottagare att rapportera tillbaka till sändaren om den får mail som den inte litar på. En organisation som använder DMARC använder DNS för att berätta om hur dom avser att autenticera sin domän och policy för att hantera felaktiga mail. Exempelvis kan det se ut så här:

% dig +short TXT _dmarc.example.com.
”v=DMARC1\; p=none\; rua=mailto:dmarc-feedback@example.com\;
ruf=mailto:auth-reports@example.com”

Det finns en organisation skapad för att utveckla och marknadsföra DMARC skapad av bland annat Google. Ett av organisationens mål är att via IETF standardisera DMARC. Enligt organisationen används DMARC redan i dag, bland annat av Gmail, Facebook, LinkedIn och PayPal. På organisationens webbplats finns även specifikationen för DMARC om man vill titta närmare på hur det fungerar.

Jag lyckas dock inte hitta DMARC-policyn för Gmail/Google – bara att dom vill använda SPF. Vidare får jag inte organisationens webbplats, dmarc.org att svara på HTTPS (säker webbaccess). Och domänen dmarc.org verkar inte använda DNSSEC…

STEED – Initiativ för kryptering mellan ändpunkter

Sprang på ett nytt säkerhetsinitiativ kallat STEED. Tanken med STEED är att utveckla kryptering som spänner hela vägen mellan ändpunkterna i en kommunikation och skall vara så enkel att använda att det alltid (ofta) används. Initiativtagarna till STEED skriver:

End-to-end e-mail encryption is still ignored by almost all users. The mails are left in the clear in the mailboxes of the web mail providers, where they are frequently collected by attackers and lead to an escalation of the attack due to the sensitivity of the mail content. We suggest a new and simplified infrastructure to protect mail that is compatible with OpenPGP and S/MIME and relies on an easy-to-use trust model without a central administration.

Initiativtagarna är i det här fallet Marcus Brinkmann och Werner Koch från Tyska företaget g10CODE, kanske mest kända för att driva utvecklingen av GnuPG.

Det SPEED är tänkt att erbjuda är saker som:

  • Automatisk nyckelgenerering
  • Automatisk nyckeldistribution
  • Opportunistisk kryptering
Tillsammans är detta egenskaper avsedda att göra säkehetsanvändningen så osynlig som möjligt som användaren. I första hand verkar STEED vara fokuserat på mailtjänster. Det finns en artikel av Marcus och Werner som närmare beskriver vad de vill åstadkomma med STEED och hur detta är tänkt att ske. Vi får se om STEED flyger eller inte, men initiativ som gör säkerhet enklare att använda och därmed mer utbredd gillar jag.

Vilka algoritmer används i Internetstandarder

Internet Crypto en sida skapad av säkerhetsexperten David McGrew samlar information om användning av olika typer av kryptofunktioner på Internet.

David A. McGrew
David A. McGrew

Med Internet avses i det här fallet huvudsakligen de standarder (Request For Comments – RFC) och förslag till standarder (Internet Draft – I-D) som publiceras av Internet Engineering Task Force – IETF.

Jag tycker att Internet Crypto är en bra sida eftersom den på ett bra sätt samlar och kategoriserar upp den stora mängden standarder och dokument som finns och gör det lätt att hitta. Om du exempelvis vill få reda på vilka standarder det finns för att autenticera meddelanden (Message Authentication Code – MAC) går det lätt att hitta under sin kategori. Det som dock inte finns är rekommendationer om vilka koder som är bra eller dåligt att använda.

Internet Crypto

En sak som finns är intressant kryptostatistik. Statistiken är frekvensen för hur ofta olika typer av kryptostandarder refereras i RFC:er och drafts. Detta ger i alla fall en hum om hur populära vissa algoritmer är. Tio i topp-listan ser ut som följer:

  1. Hashfunktionen MD5
  2. Hashfunktionen SHA-1
  3. Meddelandeautenticeringskoden HMAC
  4. Nyckelutbytesalgoritmen Diffie-Hellman (DH)
  5. Hashfunktionen SHA-2
  6. Blockkruptot AES
  7. Blockkryptot 3DES
  8. Asymmetriska kryptot ECC
  9. Signaturalgotritmen DSA
  10. Asymmetriska kryptot RSA

Att listan domineras av hashfunktioner samt följs av några krypton och metoder för att utbyta nycklar är inte så förvånande – detta är arbetshästarna som skapar säkerheten på Internet. Vi ser även hur AES som blockkrypto verkligen har blivit den stora de facto-standarden bland symmetriska krypton.

Däremot blir jag en aning beklämd när man klickar på listans förstaplats och tittar närmare på MD5. Hashfunktionen MD5 är en algoritm som sedan flera år tillbaka anses vara helt trasig, en algoritm kryptologer och experter rekommenderar att inte använda. MD5 är en gammal algoritm med stor spridning. Att den därför finns i många standarder (RFC:er) är inte speciellt konstigt.

Vad som gör mig beklämd är att det är så många nya, aktiva drafts, alltså förslag till standarder som refererar till MD5. Några av dessa är så kallade informations-drafts. Detta innebär att dom dokumenterar någon form av funktion på Internet, exempelvis ett specifikt applikationsprotoll någon utvecklat. Vidare finns det drafts där MD5 tas upp som varnande exempel. Men tyvärr är det fortfarande ett antal standard-drafts där MD5 pekas ut som komponent att använda.

Vill vi komma bort från en algoritm vi vet inte är säker måste sluta bygga in nya beroenden av algoritmen i framtida standarder. Att 2011 designa något som använder MD5 är fel och det borde ringa varningsklockor. Massor med klockor. Högt och ljudligt. Om du ser någon som ritar, skissar, skriver in MD5 i en ny konstruktion – hjälp denne att komma på bättre tankar. Att byta ut en algoritm är mycket billigare när konstruktionen bara är på designstadiet, inte ute i fält i miljontals burkar i skogen. Att tänka efter före är inte lätt, men i fallet MD5 är det inte så svårt.

Samtidigt sprang jag på en informations-RFC, RFC 5218 – What Makes for a Successful Protocol? som försöker förklara och beskriva varför vissa standarder blir framgångsrika (som MD5 och IPv4). Utan att avslöja för mycket kan jag säga att bästa tekniken inte alltid vinner.

Cookie-RFCn 6265

Daniel Stenberg har skrivit en bra postning om den nya RFC, RFC 6265 – HTTP State Management Mechanism som dokumenterar Cookies.

Det är rätt märkligt att en mekanism på Internet som är så otroligt vanlig inte varit ordentligt specificerad. Min uppfattning är att denna brist på specifikation och dokumentation är ett skäl till att cookies varit en källa till sårbarheter och säkerhetsproblem. Förhoppningsvis leder den nya RFCn till att det går att städa upp implementationer. Och inte minst att RFCn blir ett avstamp för vidareutveckling.

Status för kryptot ZUC

På Kryptoblog skrev jag ett par gånger (första artikeln, andra artikeln) om det nya strömkryptot ZUC som är tänkt att plockas in i mobilstandarderna LTE och LTE Advanced. Nu har det gått några månader så jag bestämde mig för att se om det finns några nyheter – inte minst vad gäller säkerhetsanalyser.

En av de saker som skett är att det organiserats en konferens om ZUC. The First International Workshop on ZUC Algorithm hölls den 2-3 december 2010 i Peking. Att döma av konferensprogrammet (pdf) presenterades ett flertal analyser. (Jag hittar ingen sida med lista till alla presentationer. Men genom att Googla på titeln och ev författare går det att få fram presentationerna.)

En av de som presenterade en säkerhetsanalys av ZUC och de nya LTE-algoritmerna EEA3 och EIA3 som använder ZUC var Bart Preneel från COSIC och ETSI/SAGE. Hans slutsats sammanfattas av hans sista bild:
Preneel conclusions

Dvs, inga svagheter i ZUC men tveksamheter om ZUC skiljer tillräckligt mycket från Snow3G för att skapa diversitet. Och EIA3 är inte robust.

En annan presentation från konferensen värd att titta lite på är
Evolution of Stream Ciphers towards ZUC som beskriver hur utvecklingen gått till med fokus på krypton i mobilsystem.

I stort sett samtidigt som ZUC-konferensen, mer exakt 5-9 december 2010 (dvs ett par dagar senare) gick den större kryptokonferensen AsiaCrypt 2010. Det är svårt att tänka sig att inte flera deltagare på ZUC-konferensen även var på AsiaCrypt. Och på AsiaCrypts rump session presenterade Hongjun Wu några klart intressanta resultat.

Cryptanalysis of Stream Cipher ZUC in the 3GPP Confidentiality & Integrity Algorithms 128-EEA3 & 128-EIA3 visar att initieringsdelen av ZUC har ett par grova fel som innebär att samma nyckel med ett stort antal initialvektorer leder till samma initialtillstånd. Wu och hans kollegor konstaterar att ZUC har problem med attacker baserade på kontroll av initialvektorn. Och att i vissa fall minskar den effektiva nyckelstyrkan från 128 till 66(!) bitar.

Nu är detta resultat inte officiellt publicerat och därmed inte granskat och verifierat. Men det är anmärkningsvärt att den observation Wu och hans kollegor gjort kunnat gå SAGEs granskning förbi.

En annan analys som visar på mostavande svagheter som Preneel och SAGE påpekat vad gäller MAC-funktionaliteten i EIA3 har dykt upp på artikeldatabasen IACR. Artikeln A Forgery Attack on the Candidate LTE Integrity Algorithm 128-EIA3 visar enligt författarna:

In this note we show that the message authentication code 128-EIA3 considered for adoption as one of the integrity algorithms of the emerging mobile standard LTE is vulnerable to a simple existential forgery attack.

This attack allows, given any message and the associated MAC value under an unknown integrity key and an initial vector, to predict the MAC value of a related message under the same key and the same initial vector with a success probability 1/2.

Slutligen noterar jag att det även pågår ett arbete hos Thomas Johansson och Martin Hell på EIT/LTH om att analysera ZUC. Arbetet som utförs av Marwan Mostafa ska vara klart 2011-02-18. Då Thomas Johansson är en av skaparna av strömkryptot Snow borde han och Marwan kunna göra en bra analys. Det skall bli väldigt spännande att se vad dom kommer fram till.

Hur det går med ZUC vågar jag inte sia, men förhoppningsvis skyndar man långsamt och inte trycker igenom standardiseringen utan att ta in de analysresultat som nu börjar trilla in.

Frukostseminarium om e-legitimationer i Sverige

Den 22e februari anordnar .SE ett frukostseminarie om e-legitimationer i sverige. Syfte och agenda för seminariet beskriver vad det handlar om:

En statlig utredning presenterade strax före jul ett förslag till ny modell för federerade (distribuerade) e-legitimationer och seminariet kommer framför allt att ägnas åt att presentera förslaget och diskutera vilka nya möjligheter som öppnar sig.

Frukost serveras från 8.00. Seminariet inleds 8.30. Moderator är Anders Thoresson, frilansjournalist som bland annat skrivit den nyutkomna boken ”Igenkänd och identifierad – en guide om legitimationer på nätet”.

Hela diskussionen kommer att livesändas över Internet, på adressen iis.se/live, och inspelningen kommer också att finnas tillgänglig efteråt på .SE:s Youtube-kanal.

Talare:
Fredrik Ljunggren, säkerhetskonsult från Kirei och expert i utredningen, inleder.
Pär Karlsson, Bankföreningen, om bankernas roll
Mikael Skogström, Heimore Group
Därefter blir det diskussion med talarna och publiken.

För den som vill veta mer finns information om plats och anmälan på .SE:s sida om frukostseminariet.