2002
Průlomové události
v kryptoanalýze postranními kanály v roce 2002:
V. Klíma: Postranní kanály, Data Security
Management, číslo 6/2002, str. 28 - 31. Postranní kanály vynáší
důležité informace z informačních systémů. Jedná se o nový
fenomén, objevený teprve před jednotkami let, který ještě není v
povědomí tvůrců informačních, komunikačních a
bezpečnostních systémů. Přesto je velmi nebezpečný. I
použití těch nejlepších norem a nejsilnějších technik ochrany dat ještě
neznamená, že v systému není postranní kanál. Příspěvek seznamuje s
průlomovými událostmi v postranních kanálech v roce 2002 a
protiopatřeními.
Kam kráčí
informační bezpečnost v dalších 10 letech - názory specialistů:
V. Klíma: Šifrovací technologie, Vize informační bezpečnosti
2002/2003, TATE international.
s.r.o., 2002, ISBN 80-902858-6-4, str. 60 - 63. (Dvojjazyčná
publikace)
Technické aspekty
informační války
V. Klíma, L. Kratochvíl, T. Rosa: Postranní kanály, sémantická bezpečnost
komunikačních protokolů a zařízení BOB, Konference Technické
aspekty informační války, Vojenská akademie v Brně, 10.12.2002.
Z útoků konstruovaných matematiky v abstraktním světě logických
vět a důkazů se v informační válce mohou stát útoky reálné
směřující k vyvolání těžkých ekonomických nebo lidských ztrát.
Je proto velmi důležité poznat, jaké možnosti má útočník v takovém
případě k dispozici. Příspěvek stručně seznamuje
s pojmem postranního kanálu a možnými protiopatřeními. Vysvětluje
pojem sémantické bezpečnosti a poté se zabývá konkrétním zařízením
BOB (bezpečnostní oddělovací blok), které umožňuje realizovat
některé principy sémantické bezpečnosti. Jeho hlavní využití je
plánováno pro řízené a auditované předávání dat mezi aplikacemi
pracujícími v sítích s různým stupněm utajení a důvěry.
Nový operační modus
blokových šifer, tvorba náhodných čísel:
V. Klíma: Jak ze čtverce udělat kruh, Chip, prosinec 2002, str. 165 -
169.
chip-2002-12-165-169.pdf
V tomto článku Vás seznámíme s novým využitím blokové šifry jak pro
generování náhodných čísel, tak pro šifrování. Ukážeme vám, jak lze
blokovou šifru výhodně přeměnit na proudovou pomocí běžného
čítače. Tento nový operační modus byl oficiálně navržen
americkým standardizačním úřadem NIST.
V. Klíma, T. Rosa:
Postranní kanály - moderní hrozby informačních a komunikačních
systémů
Konference Informačná bezpečnosť 2002, Bratislava, 6.11.2002
Eliptické křivky a
šifrování (2):
V.Klíma: Eliptické křivky a šifrování (2), Chip, říjen 2002, str. 160
- 162.
chip-2002-10-160-162.pdf
V předchozím dílu jsme se seznámili s eliptickými křivkami, nyní se
podíváme na jejich využití k elektronickému podpisu a k šifrování a
řekneme si pár poznámek k jejich bezpečnosti. Upozorníme také na
různé standardy, v nichž se do detailů dozvíte, jak tyto systémy využít.
V.Klíma, T.Rosa: Postranní
kanály - moderní hrozby informačních a komunikačních systémů
Konference Bezpečnost informací BIN 2002, Praha, 11.9.2002,
Tento příspěvek seznamuje s novou oblastí současné kryptologie -
tzv. postranními kanály, které nežádoucím způsobem vynáší důležité
informace z informačních systémů. Jedná se o nový fenomén, objevený
teprve před jednotkami let, proti němuž je složitá obrana. Ani
použití těch nejlepších norem totiž ještě neznamená, že v systému
nebude takový postranní kanál existovat. Ukazujeme jejich existenci na
řadě příkladů a nejnovějších výsledků. Obrana
proti nim musí být proto vzata velmi vážně v úvahu při návrzích
bezpečnostních systémů nebo při jejich revizi.
Příspěvek je určen všem, kdo se zabývají bezpečností
informačních systémů z manažerského nebo technického hlediska.
Část tohoto příspěvku bude uveřejněna v
časopise DSM č.6/2002
Eliptické křivky a
šifrování (1):
V.Klíma: Eliptické křivky a šifrování (1), Chip, září 2002, str. 134
- 136.
chip-2002-09-134-136.pdf
Kryptografie eliptických křivek (ECC) je moderní a nadějný směr,
který v řadě ukazatelů přináší lepší výsledky než
současné běžně používané kryptosystémy. Seznámíme vás s
podstatou i možnostmi v této oblasti. V tomto dílu se seznámíte s rovnicí
eliptické křivky nad konečným tělesem a s tzv. problémem
diskrétního logaritmu.
V.Klíma, T.Rosa: Další
výsledky a úvahy o útocích postranními kanály na RSA (v angličtině)
Klíma, V., Rosa, T.: Further Results and Considerations on Side Channel
Attacks on RSA,
Workshop on Cryptographic Hardware and Embedded Systems 2002, Hotel Sofitel,
San Francisco Bay (Redwood City), USA, August 13 - 15, 2002, CHES
2002, pp. 245-260 , Springer-Verlag, 2002, 2002/071. Abstract: This paper contains three
parts. In the first part we present a new side channel attack on plaintext
encrypted by EME-OAEP PKCS#1 v.2.1. In contrast with Manger´s attack, we attack
that part of the plaintext, which is shielded by the OAEP method. In the second
part we show that Bleichenbacher's and Manger's attack on the RSA encryption
scheme PKCS#1 v.1.5 and EME-OAEP PKCS#1 v.2.1 can be converted to an attack on
the RSA signature scheme with any message encoding (not only PKCS). This is a
new threat for those implementations of PKI, in which the roles of signature
and encryption keys are not strictly separated. This situation is often
encountered in the SSL protocol used to secure access to web servers. In the
third part we deploy a general idea of fault-based attacks on the RSA-KEM
scheme and present two particular attacks as the examples. The result is the
private key instead of the plaintext as with attacks on PKCS#1 v.1.5 and v.2.1.
These attacks should highlight the fact that the RSA-KEM scheme is not an
entirely universal solution to problems of RSAES-OAEP implementation and that
even here the manner of implementation is significant.
Codecard pro šifrování PINů
lze jednoduše vylepšit:
V. Klíma: Zapomeňte PIN? (2), Chip, srpen 2002, str. 142 - 144.
chip-2002-08-126-128.pdf
V minulém díle jsme si povšimli šifrovací pomůcky nazvané codecard a
ukázali jsme, že se dá luštit. V tomto článku ukážeme, jak tomu lze
jednoduše zabránit, a podíváme se také na některé její další zajímavé
vlastnosti.
Jak jsme se vyrovnali se
šifrovací pomůckou codecard pro šifrování PINů:
V. Klíma: Zapomeňte PIN? (1), Chip, červenec 2002, str. 120 - 122.
chip-2002-07-120-122.pdf
Také máte několik platebních karet a k tomu ještě zaheslovaný mobilní
telefon? A také se bojíte, že některý PIN jednoho dne zapomenete?
Seznámíme vás s pomůckou pro šifrování PINů, codecard. Je to výborný
nápad, který to umožňuje. V tomto dílu ukážeme slabiny codecard, v
příštím pokračování možnou nápravu. Zbývá zde místo i na vaše
prázdninové nápady!
V.Klíma, T.Rosa:
Zesílené šifrování v modu CBC (v angličtině)
Klíma, V., Rosa, T.: Strengthened Encryption in the CBC Mode, IACR ePrint archive 2002/061,
May 2002. Abstract:
Vaudenay [1] has presented an attack on the CBC mode of block ciphers, which
uses padding according to the PKCS#5 standard. One of the countermeasures,
which he has assumed, consisted of the encryption of the message M´= M ||
padding || hash(M || padding) instead of the original M. This can increase the
length of the message by several blocks compared with the present padding.
Moreover, Wagner [1] showed a security weakness in this proposal. The next
correction, which Vaudenay proposed ("A Fix Which May Work") has a
general character and doesn't solve practical problems with the real
cryptographic interfaces used in contemporary applications. In this article we
propose three variants of the CBC mode. From the external point of view they
behave the same as the present CBC mode with the PKCS#5 padding, but they
prevent Vaudenay's attack.
Bernsteinův
příspěvek k faktorizaci neohrozil současné moduly RSA:
V. Klíma: Bouře ve sklenici vody, Chip, červen 2002, str. 162 - 163.
chip-2002-06-162-163.pdf
Je známo, že pokud by se podařilo najít efektivní algoritmus na
faktorizaci velkých čísel, byl by prolomen algoritmus RSA. Články o
problému faktorizace a o současné nejlepší metodě NFS (GNFS)
naleznete na této straně (viz Dvě čísla za 200 000 dolarů,
Chip 9/01, 10/01). Bernstein v práci Circuits for integer factorization: a
proposal, viz http://cr.yp.to/papers/nfscircuit.ps přinesl náměty na
některá její zlepšení. Někteří "takéodborníci" pak z
toho nesprávně vyvozovali dopad "na obrovskou řadu praktických
aplikací". Článek přináší jiný názory na tuto věc.
Vaudenayův útok na
modus CBC a navrhovaná protiopatření:
V. Klíma: Překvapivý útok a česká obrana, Chip, červen 2002,
str. 156 - 157.
chip-2002-06-156-157.pdf
V Chipu 5/02 jsme vás informovali o novém standardu AES i o tzv. modech, tj.
způsobech jeho použití. Ukázali jsme, že není vhodné šifrovat soubory dat
v modu elektronické kódové knihy, a doporučili jsme zejména modus CBC
(Cipher Block Chaining, tj. řetězení šifrového textu). Zároveň
jsme upozornili na existenci čerstvých útoků na CBC. V tomto
článku nový útok na CBC popisujeme a navrhujeme tři varianty
protiopatření. Všechny varianty respektují doplňování podle PKCS#5 a
jsou kompatibilní se současně používanými kryptografickými
rozhraními.
Advanced Encryption
Standard (AES):
V. Klíma: AES - Nová šifra nastupuje,Chip, květen 2002, str. 142 - 144.
chip-2002-05-142-144.pdf
Po čtyřech a půl letech od vyhlášení soutěže na výběr
nové šifry vstupuje v platnost AES - od 26. května 2002 může být
tento standard používán k ochraně neutajovaných senzitivních dat ve státní
správě USA a očekává se, že se stane nejrozšířenější
komerční šifrou na světě. Přinášíme několik
užitečných informací jak pro manažery, tak pro ty, kdo budou AES
implementovat.
Al-Kajda špatně
šifrovala své operativní informace:
V. Klíma: Tajné zápisy al-Kajdy dešifrovány, Právo, 14.2.2002, str.12
Když se protitalibánská aliance blížila ke Kábulu, špičky al-Kajdy
nestačily vše zlikvidovat. Kořistí následného drancování se tak staly
i jeden jejich stolní počítač a jeden notebook. Od
"obchodníka" je pak koupili novináři z Wall Street Journal za
1100 dolarů. Bylo pro ně milým překvapením, když tam nalezli
přes 1750 souborů s texty a videozáznamy, týkající se činnosti
organizace al-Kajda. Nejdůležitější z nich však byly zašifrovány...
Proč šifrovat?
V. Klíma: Chraňte si své soukromí, Právo, 31.1.2002, str.9
O ochraně dat šifrováním. PGP. Linky na šifrovací software a na portál o
šifrování.
Útok na privátní klíče
PGP - Czech attack
Klíma, V., Rosa, T.: Attack on Private Signature Keys of
the OpenPGP format, PGP (TM) Programs and Other Applications Compatible with
OpenPGP, IACR ePrint archive 2002/076,
March 2001.
Abstract: The article describes an attack on OpenPGP
format, which leads to disclosure of the private signature keys of the DSA and
RSA algorithms. The OpenPGP format is used in a number of applications
including PGP, GNU Privacy Guard and other programs specified on the list of
products compatible with OpenPGP, which is available at
http://www.pgpi.org/products. Therefore all these applications must undergo the
same revision as the actual program PGPTM. The success of the attack was
practically verified and demonstrated on the PGPTM(*) program, version 7.0.3
with a combination of AES and DH/DSS algorithms. As the private signature key
is the basic information of the whole system which is kept secret, it is
encrypted using the strong cipher. However, it shows that this protection is
illusory, as the attacker has neither to attack this cipher nor user´s secret
passphrase. A modification of the private key file in a certain manner and
subsequent capturing of one signed message is sufficient for successful attack.
Insufficient protection of the integrity of the public as well as private parts
of signature keys in the OpenPGP format is analyzed in DSA and RSA algorithms
and on the basis of this, a procedure of attacks is shown on both private
signature keys. The attacks apply to all lengths of parameters (modules, keys)
of RSA and DSA. In the end the cryptographic measures for correction of the
OpenPGP format as well as PGPTM format are proposed.
praxe: kryptografie,
bezpečnost RSA:
V. Klíma, T. Rosa: RSA v novém světle (4), Chip, únor 2002, str. 134 -
137.
chip-2002-02-134-137.pdf
Reálná hrozba Mangerova útoku na některé implementace algoritmu RSA volá
po jejich revizi. Minule jsme naznačili teoretické východisko možné
obrany, nyní si ji ukážeme prakticky přímo na napadeném standardu PKCS#1.V
tomto dílu dáváme jednak zcela praktické minimální zásady, jak revidouvat
implementace RSA podle PKCS#1 a jednak využíváme techniku maskování operací
proti parazitnímu vyzařování informací postranními kanály, zavedenou v
minulém díle.
praxe:
kryptografie, RSA:
V. Klíma, T. Rosa: RSA v novém světle (3), Chip, leden 2002, str. 126 -
129.
chip-2002-01-126-129.pdf
V tomto dílu jsme si zavedli techniku maskování operací proti parazitnímu
vyzařování informací postranními kanály. Na základě
informačně teoretického modelu jsme prokázali její kladný
přínos. Užití této techniky jsme ukázali na příkladu maskování
operace sčítání. Tím je připravena půda pro konkrétní využití
této metody v návrhu procedury pro odšifrování zpráv pomocí RSA podle standardu
PKCS#1.