2004
Kryptoanalýza šifry HBB
Vlastimil Klíma: Útoky na šifru HBB, Mikulášská kryptobesídka, 6. - 7.
prosinec 2004, Hotel STEP, Praha.
Prolomení MD5 a souvislosti
Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi
(17) – prolomení hašovací funkce MD5, Sdělovací technika, 12/2004, str. 14
- 15, pdf
(link bude aktivní po vyjití čísla 02/2005).
Praktická demonstrace využití čínského
útoku (6.12.):
Ondrej Mikle, student MFF UK, ukázal, že lze využít
i jednu publikovanou kolizi MD5 ke konstrukci reálných útoků. Výsledek? Velmi
stručně ten nejzajímavější. Zvolte si jakékoliv dva různé
soubory (třeba smlouvy). Pomocí postupu z článku docílíte toho, že
jeden uživatel dostane první z nich, druhý uživatel druhý z nich, a přitom
si oba dva na základě vzájemné telefonické kontroly digitálních
otisků (MD5) budou myslet, že mají tentýž soubor. Něco tady není v
pořádku, že? Podrobnosti se dozvíte v příspěvku na domovské stránce
projektu.
K demonstraci využití čínského útoku jsem vyzval na přednášce uvedené níže. V diskusi byly předloženy asi čtyři nebo pět nápadů. Ondra svůj nápad během několika následujících dní převedl do fungující praktické ukázky a (za mojí pouze metodické účasti) do příspěvku konferenčního typu. Blahopřeji!
Novinky, vyplývající z čínského útoku a z
objevné práce Kelsey - Schneier (uveřejněné 15.11.2004)
Vlastimil Klíma: Hašovací funkce, MD5 a čínský
útok, Seminář (http://bis.modry.cz)
Bezpečnost Informačních Systémů v praxi, MFF UK Praha, 22. 11.
2004, prezentace
v powerpointu (a v pdf),
text bez Kelsey-Schneierova doplňku, viz pdf.
Stránka
věnovaná kolizím hašovacích funkcí , průběžně aktualizovaná zde.
Protože o kolize hašovacích funkcí byl zájem, který
mě překvapil (na www.root.cz asi letos vůbec
nejčtenější článek, 10500 čtenářů), napsal jsem
(při příležitosti přednášení tohoto tématu na konferenci DCD)
text (25 stran, 480 kByte pdf),
který tu kauzu trochu víc vysvětluje a obnáší trochu víc informací.
Dokument přetiskuje i Crypto-world jako speciál.
Nové kryptologicko-bezpečnostní paradigma:
prolomení některé kryptografické techniky by mělo být chápáno jako
zákonitý důsledek vývoje v této oblasti
Vlastimil Klíma: Nedůvěřujte
kryptologům, IT & Security Conference, DCD Publishing, Hotel Diplomat, Praha, 10. -
11. 11. 2004
Kompromitované podepisovací klíče ElGamal v
GnuPG
Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi
(16) – lidová tvořivost se nevyplácí, Sdělovací technika, 11/2004,
str. 14 - 15, pdf
(link bude aktivní po vyjití čísla 01/2005).
Abstrakt: Hlavní architekt projektu
GnuPG (též GPG) se 27.listopadu 2003 ocitl ve zvlášť nepříjemné
situaci. Musel vydat zprávu, jejíž text byl jasný, stručný a mrazivý: Byla nalezena závažná slabina
v implementaci ElGamal... Toto je reálná, celosvětová slabina, která
umožňuje získat během několik sekund váš privátní klíč... Všechny podepisovací klíče schématu
ElGamal používané v systému GPG verze 1.0.2 (leden 2000) až 1.2.3 (srpen 2003)
musí být považovány za kompromitované... Lze si domyslet, že
člověku, který podstatnou část svého času věnuje
právě tomuto volně dostupnému nástupci PGP, se něco takového
určitě nepsalo s lehkou rukou. Článek vysvětluje
proč k tomu došlo.
Základy autentizace, upozornění na slabinu
služby SMS
Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi
(15) – základy autentizace, Sdělovací technika, 9/2004, str. 14 -
15, pdf
.
Abstrakt: Tématem tohoto dílu je využití kryptografických metod k
bezpečnému prokazování identity subjektů v informačních
systémech. Zabýváme se pojmy identifikace, autentizace, autorizace, Kryptologie
striktně rozlišuje dva základní druhy autentizace, a to autentizaci
subjektu a autentizaci původu zprávy. Dále se zabýváme základními schémata
autentizace, schématem výzva-odpověď a využitím asymetrických a
symetrických šifer a hašovacích funkcí k autentizaci. Nakonec se ukazuje díra v
zabezpečnení autentizace odesílaných SMS zpráv, která může mít
někdy vážné důsledky.
Jak používat WinZip, abychom dostali kvalitní šifru
Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi
(14) – lze WinZipem kvalitně šifrovat?, Sdělovací technika, 8/2004,
str. 10 - 11, pdf.
Abstrakt: WinZip kromě komprimace umožňuje doplňkově
i šifrovat soubory a archivy. I když používá kvalitní šifru, haš a HMAC,
přesto z bezpečnostně-systémového hlediska nejsou poskládány
zcela bezpečně. Poukazujeme na chyby a uvádíme postup, jak používat
stávající WinZip tak jak je, bez zásahu do programu, ale s několika tipy,
které umí překonat jeho nedostatky. Pokud se uživatel našich několika
jednoduchých rad bude držet, získává kvalitní šifrovací nástroj. V opačném
případě se může naopak dost divit, jak je to možné, že mu
unikají informace, když "je to zašifrováno pomocí AES".
Délka klíče symetrických a asymetrických šifer
Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi
(13) – Volba klíče, Sdělovací technika, 7/2004, str. 14 - 15, pdf.
Abstrakt: Jaký
algoritmus máme použít v aplikaci, kterou navrhujeme? Postačí AES se 128
bitovým klíčem nebo o čtvrtinu pomalejší AES s 256 bitovým
klíčem? Jakou hašovací funkci použít k derivaci klíčů? SHA-256
nebo SHA-384 a zkrátit její výstup? O bezpečnosti a vhodných délkách
klíčů různých algoritmů se často vedou, tu více tu
méně, zasvěcené debaty nejen mezi programátory, bezpečnostními
architekty, ale i teoretickými kryptology. Často je také problém shodnout
se na tom, jak vlastně chceme bezpečnost měřit. Ukážeme si
zde praktický pohled na to, jaké algoritmy nabízí jakou bezpečnost a jaké
kombinace algoritmů má a nemá smysl používat.
Ochrana dat a šifrování v kapesních
počítačích
Vlastimil Klíma, Milan Zámostný: Šifrování dat v
kapesních počítačích, Chip Speciál "Počítač v
kapse", květen 2004, str. 50 - 53, pdf (5
MByte).
ElGamal
Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi
(12) – Schémata ElGamal, Sdělovací technika, 6/2004, str. 12, pdf.
Abstrakt: ElGamal
představuje rodinu schémat, jejíž základní větve tvoří
asymetrické šifry a podpisová schémata. Předesíláme, že
narozdíl od podobně univerzálního systému RSA, kde jak šifrovací, tak i
podpisové schéma vycházejí ze stejných základních transformací,
v případě ElGamal tak dokonalou provázanost nenajdeme.
V podstatě můžeme říci, že šifrovací a podpisové větve
zde spojuje toliko společný problém pro jištění bezpečnosti
(diskrétní logaritmus) a jméno autora.
Diffieho-Hellmanův protokol dohody na
klíči
Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi
(11) – Protokol D-H, Sdělovací technika, 5/2004, str. 16, pdf.
Abstrakt: Asymetrické šifry se v současné době
používají prakticky výhradně v rámci takzvaných hybridních
šifrovacích schémat. Zde je otevřený text nejprve zašifrován některou
ze symetrických metod, kde je ochráněn takzvaným dočasným symetrickým
klíčem, který je generován náhodně pro každou novou zprávu. Tento
dočasný symetrický klíč je poté sám zašifrován pomocí zvolené
asymetrické šifry a v tomto tvaru je přiložen k šifrovému textu
zprávy. Důvodem pro takové uspořádání je mimo jiné podstatně
vyšší rychlost symetrických metod v porovnání s asymetrickými.
Připomeňme také, že asymetrická kryptografie tento trend reflektuje
tím, že vytváří speciální druhy schémat právě pro účely
bezpečného ustavení dočasného sdíleného symetrického klíče mezi
komunikujícími stranami. K nejpoužívanějším schématům takového typu
patří i Diffieho-Hellmanův protokol dohody na klíči
(zkráceně D-H), kterému se článek věnuje.
Přednášky na MFF UK
Vlastimil Klíma: Základy moderní
kryptologie - Symetrická kryptografie III. (operační mody blokových šifer a hašovací
funkce), MFF
UK, prosloveno v rámci přednášek oboru "Matematické metody
informační bezpečnosti", obsah
přednášek a pdf.
Vlastimil Klíma: Základy moderní
kryptologie - Symetrická kryptografie II. (symetrická kryptografie, proudové a blokové šifry,
DES, EAS), MFF
UK, prosloveno v rámci přednášek oboru "Matematické metody
informační bezpečnosti", obsah
přednášek a pdf.
Vlastimil Klíma: Základy moderní
kryptologie - Symetrická kryptografie I. (nové myšlenky kryptografie, bezpečnostní
cíle, kryptoanalýza, typy kryptografických systémů, kryptologie), MFF UK, prosloveno v rámci
přednášek oboru "Matematické metody informační bezpečnosti",
obsah
přednášek a pdf.
Schémata DSA a ECDSA
Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi
(10) – DSA, ECDSA, Sdělovací technika, 4/2004, str. 21, pdf.
Abstrakt: Nejznámějšími schématy
pro digitální podpisy jsou v současné době RSA, DSA a ECDSA.
Podpisové schéma DSA (Digital Signature Algorithm) definované standardem FIPS PUB 186-2 a jeho varianta Elliptic Curve DSA (ECDSA), vzniklá přenesením DSA nad algebru bodů rovinné
eliptické křivky, hrají právem důležitou úlohu v současné
asymetrické kryptografii. Na území USA jsou totiž DSA a ECDSA schváleny standardem FIPS PUB 186-2
pro použití ve vládních institucích, což je určitá výsada, kterou
donedávna nemělo ani RSA. Teprve novelizace zmíněného standardu
v roce 2000 v tomto smyslu RSA a DSA zrovnoprávnila.
Schéma RSA
Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi
(9) – metoda RSA, Sdělovací technika, 3/2004, str. 17, pdf.
Abstrakt:
Když roku 1978 vyšel článek pánů Rivesta, Shamira a Adlemana o nové
asymetrické metodě vhodné pro šifrování a podepisování zpráv, patrně
nikoho z autorů nenapadlo, že jejich systém bude o nějakých 26
let později nejrozšířenějším standardem asymetrické
kryptografie. Autoři RSA měli štěstí a použili pro jištění
bezpečnosti RSA solidní matematický problém, který dodnes nebyl prakticky
přemožen a navíc vhodně použili parametr (délku modulu), jehož
zvyšováním lze snadno a efektivně zvyšovat bezpečnost RSA. To vše
ovšem neznamená, že RSA jako kryptografická metoda by byla bez jakýchkoliv vad
na kráse. Naopak, prakticky každý rok se na RSA něco většího či
menšího „záplatuje“. Základní definice RSA se totiž zabývá pouze zavedením
šifrovacích/odšifrovacích, respektive ověřovacích/podepisovacích
transformací, zatímco nejvíce problémů vznikalo ve formátování
(kódování) zpráv pro RSA. Další „záplatování“ konkrétních aplikací RSA
přinesl objev postranních kanálů, které ukázaly, že RSA je
extrémně bezpečnostně citlivá na každý detail konkrétní
implementace. RSA se však zatím dokázala ze všech problémů vždy nějak
„oklepat“ a žije dál.
Hašovací kód HMAC
Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi
(8) – funkce HMAC, Sdělovací technika, 2/2004, str. 17, pdf.
Abstrakt: Hašovací funkce se používají velmi
hojně v celé symetrické i asymetrické kryptografii. V moderních
standardech a protokolech (například SSL/TLS) se to jimi a
klíčovanými hašovými kódy (Keyed-Hash Message Authentication Code, HMAC)
jen hemží. Klíčované hašové autentizační kódy zpráv (HMAC) se
vytváří malou modifikací hašovacích funkcí - společně se zprávou
M se hašuje i nějaký tajný klíč K. Výsledkem je zabezpečovací
kód HMAC(M, K), který případnému útočníkovi znemožňuje
pozměnit zprávu a současně i její HMAC, neboť nezná tajný
klíč.