2004

Zpět na osobní stránky

MD5 collisions homepage: English, Czech,
DN, HDN, SNMAC homepage: English, Czech,
PGP attack homepage: English, Czech,
SSL attack homepage: English, Czech.

Kryptoanalýza šifry HBB

Vlastimil Klíma: Útoky na šifru HBB, Mikulášská kryptobesídka, 6. - 7. prosinec 2004, Hotel STEP, Praha.

 

Prolomení MD5 a souvislosti

Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi (17) – prolomení hašovací funkce MD5, Sdělovací technika, 12/2004, str. 14 - 15, pdf (link bude aktivní po vyjití čísla 02/2005).

 

Praktická demonstrace využití čínského útoku (6.12.):

Ondrej Mikle, student MFF UK, ukázal, že lze využít i jednu publikovanou kolizi MD5 ke konstrukci reálných útoků. Výsledek? Velmi stručně ten nejzajímavější. Zvolte si jakékoliv dva různé soubory (třeba smlouvy). Pomocí postupu z článku docílíte toho, že jeden uživatel dostane první z nich, druhý uživatel druhý z nich, a přitom si oba dva na základě vzájemné telefonické kontroly digitálních otisků (MD5) budou myslet, že mají tentýž soubor. Něco tady není v pořádku, že? Podrobnosti se dozvíte v příspěvku na domovské stránce projektu.

K demonstraci využití čínského útoku jsem vyzval na přednášce uvedené níže. V diskusi byly předloženy asi čtyři nebo pět nápadů. Ondra svůj nápad během několika následujících dní převedl do fungující praktické ukázky a (za mojí pouze metodické účasti) do příspěvku konferenčního typu. Blahopřeji!

 

Novinky, vyplývající z čínského útoku a z objevné práce Kelsey - Schneier (uveřejněné 15.11.2004)

Vlastimil Klíma: Hašovací funkce, MD5 a čínský útok, Seminář (http://bis.modry.cz) Bezpečnost Informačních Systémů v praxi, MFF UK Praha, 22. 11. 2004, prezentace v powerpointu (a v pdf), text bez Kelsey-Schneierova doplňku, viz pdf.

 

Stránka věnovaná kolizím hašovacích funkcí , průběžně aktualizovaná zde.

Protože o kolize hašovacích funkcí byl zájem, který mě překvapil (na www.root.cz asi letos vůbec nejčtenější článek, 10500 čtenářů), napsal jsem (při příležitosti přednášení tohoto tématu na konferenci DCD) text (25 stran, 480 kByte pdf), který tu kauzu trochu víc vysvětluje a obnáší trochu víc informací. Dokument přetiskuje i Crypto-world jako speciál.

 

Nové kryptologicko-bezpečnostní paradigma: prolomení některé kryptografické techniky by mělo být chápáno jako zákonitý důsledek vývoje v této oblasti

Vlastimil Klíma: Nedůvěřujte kryptologům, IT & Security Conference, DCD Publishing, Hotel Diplomat, Praha, 10. - 11. 11. 2004

 

Kompromitované podepisovací klíče ElGamal v GnuPG

Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi (16) – lidová tvořivost se nevyplácí, Sdělovací technika, 11/2004, str. 14 - 15, pdf (link bude aktivní po vyjití čísla 01/2005).

Abstrakt: Hlavní architekt projektu GnuPG (též GPG) se 27.listopadu 2003 ocitl ve zvlášť nepříjemné situaci. Musel vydat zprávu, jejíž text byl jasný, stručný a mrazivý: Byla nalezena závažná slabina v implementaci ElGamal... Toto je reálná, celosvětová slabina, která umožňuje získat během několik sekund váš privátní klíč... Všechny podepisovací klíče schématu ElGamal používané v systému GPG verze 1.0.2 (leden 2000) až 1.2.3 (srpen 2003) musí být považovány za kompromitované... Lze si domyslet, že člověku, který podstatnou část svého času věnuje právě tomuto volně dostupnému nástupci PGP, se něco takového určitě nepsalo s lehkou rukou. Článek vysvětluje proč k tomu došlo.

 

Základy autentizace, upozornění na slabinu služby SMS

Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi (15) – základy autentizace, Sdělovací technika, 9/2004, str. 14 - 15, pdf .

Abstrakt: Tématem tohoto dílu je využití kryptografických metod k bezpečnému prokazování identity subjektů v informačních systémech. Zabýváme se pojmy identifikace, autentizace, autorizace, Kryptologie striktně rozlišuje dva základní druhy autentizace, a to autentizaci subjektu a autentizaci původu zprávy. Dále se zabýváme základními schémata autentizace, schématem výzva-odpověď a využitím asymetrických a symetrických šifer a hašovacích funkcí k autentizaci. Nakonec se ukazuje díra v zabezpečnení autentizace odesílaných SMS zpráv, která může mít někdy vážné důsledky.

 

Jak používat WinZip, abychom dostali kvalitní šifru

Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi (14) – lze WinZipem kvalitně šifrovat?, Sdělovací technika, 8/2004, str. 10 - 11, pdf.

Abstrakt: WinZip kromě komprimace umožňuje doplňkově i šifrovat soubory a archivy. I když používá kvalitní šifru, haš a HMAC, přesto z bezpečnostně-systémového hlediska nejsou poskládány zcela bezpečně. Poukazujeme na chyby a uvádíme postup, jak používat stávající WinZip tak jak je, bez zásahu do programu, ale s několika tipy, které umí překonat jeho nedostatky. Pokud se uživatel našich několika jednoduchých rad bude držet, získává kvalitní šifrovací nástroj. V opačném případě se může naopak dost divit, jak je to možné, že mu unikají informace, když "je to zašifrováno pomocí AES".

Délka klíče symetrických a asymetrických šifer

Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi (13) – Volba klíče, Sdělovací technika, 7/2004, str. 14 - 15, pdf.

Abstrakt: Jaký algoritmus máme použít v aplikaci, kterou navrhujeme? Postačí AES se 128 bitovým klíčem nebo o čtvrtinu pomalejší AES s 256 bitovým klíčem? Jakou hašovací funkci použít k derivaci klíčů? SHA-256 nebo SHA-384 a zkrátit její výstup? O bezpečnosti a vhodných délkách klíčů různých algoritmů se často vedou, tu více tu méně, zasvěcené debaty nejen mezi programátory, bezpečnostními architekty, ale i teoretickými kryptology. Často je také problém shodnout se na tom, jak vlastně chceme bezpečnost měřit. Ukážeme si zde praktický pohled na to, jaké algoritmy nabízí jakou bezpečnost a jaké kombinace algoritmů má a nemá smysl používat.

Ochrana dat a šifrování v kapesních počítačích

Vlastimil Klíma, Milan Zámostný: Šifrování dat v kapesních počítačích, Chip Speciál "Počítač v kapse", květen 2004, str. 50 - 53, pdf (5 MByte).

 

ElGamal

Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi (12) – Schémata ElGamal, Sdělovací technika, 6/2004, str. 12, pdf.

Abstrakt: ElGamal představuje rodinu schémat, jejíž základní větve tvoří asymetrické šifry a podpisová schémata. Předesíláme, že narozdíl od podobně univerzálního systému RSA, kde jak šifrovací, tak i podpisové schéma vycházejí ze stejných základních transformací, v případě ElGamal tak dokonalou provázanost nenajdeme. V podstatě můžeme říci, že šifrovací a podpisové větve zde spojuje toliko společný problém pro jištění bezpečnosti (diskrétní logaritmus) a jméno autora.

 

Diffieho-Hellmanův protokol dohody na klíči

Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi (11) – Protokol D-H, Sdělovací technika, 5/2004, str. 16, pdf.

Abstrakt: Asymetrické šifry se v současné době používají prakticky výhradně v rámci takzvaných hybridních šifrovacích schémat. Zde je otevřený text nejprve zašifrován některou ze symetrických metod, kde je ochráněn takzvaným dočasným symetrickým klíčem, který je generován náhodně pro každou novou zprávu. Tento dočasný symetrický klíč je poté sám zašifrován pomocí zvolené asymetrické šifry a v tomto tvaru je přiložen k šifrovému textu zprávy. Důvodem pro takové uspořádání je mimo jiné podstatně vyšší rychlost symetrických metod v porovnání s asymetrickými. Připomeňme také, že asymetrická kryptografie tento trend reflektuje tím, že vytváří speciální druhy schémat právě pro účely bezpečného ustavení dočasného sdíleného symetrického klíče mezi komunikujícími stranami. K nejpoužívanějším schématům takového typu patří i Diffieho-Hellmanův protokol dohody na klíči (zkráceně D-H), kterému se článek věnuje.

 

Přednášky na MFF UK (pdf, 2003 - 2007)

Vlastimil Klíma: Základy moderní kryptologie - Symetrická kryptografie III. (operační mody blokových šifer a hašovací funkce), MFF UK, prosloveno v rámci přednášek oboru "Matematické metody informační bezpečnosti",

 

Vlastimil Klíma: Základy moderní kryptologie - Symetrická kryptografie II. (symetrická kryptografie, proudové a blokové šifry, DES, EAS), MFF UK, prosloveno v rámci přednášek oboru "Matematické metody informační bezpečnosti",

 

Vlastimil Klíma: Základy moderní kryptologie - Symetrická kryptografie I. (nové myšlenky kryptografie, bezpečnostní cíle, kryptoanalýza, typy kryptografických systémů, kryptologie), MFF UK, prosloveno v rámci přednášek oboru "Matematické metody informační bezpečnosti".

 

Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi (10) – DSA, ECDSA, Sdělovací technika, 4/2004, str. 21, pdf.

Abstrakt: Nejznámějšími schématy pro digitální podpisy jsou v současné době RSA, DSA a ECDSA. Podpisové schéma DSA (Digital Signature Algorithm) definované standardem FIPS PUB 186-2 a  jeho varianta Elliptic Curve DSA (ECDSA), vzniklá přenesením DSA nad algebru bodů rovinné eliptické křivky, hrají právem důležitou úlohu v současné asymetrické kryptografii. Na území USA jsou totiž DSA a ECDSA  schváleny standardem FIPS PUB 186-2 pro použití ve vládních institucích, což je určitá výsada, kterou donedávna nemělo ani RSA. Teprve novelizace zmíněného standardu v roce 2000 v tomto smyslu RSA a DSA zrovnoprávnila.

 

Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi (9) – metoda RSA, Sdělovací technika, 3/2004, str. 17, pdf.

Abstrakt: Když roku 1978 vyšel článek pánů Rivesta, Shamira a Adlemana o nové asymetrické metodě vhodné pro šifrování a podepisování zpráv, patrně nikoho z autorů nenapadlo, že jejich systém bude o nějakých 26 let později nejrozšířenějším standardem asymetrické kryptografie. Autoři RSA měli štěstí a použili pro jištění bezpečnosti RSA solidní matematický problém, který dodnes nebyl prakticky přemožen a navíc vhodně použili parametr (délku modulu), jehož zvyšováním lze snadno a efektivně zvyšovat bezpečnost RSA. To vše ovšem neznamená, že RSA jako kryptografická metoda by byla bez jakýchkoliv vad na kráse. Naopak, prakticky každý rok se na RSA něco většího či menšího „záplatuje“. Základní definice RSA se totiž zabývá pouze zavedením šifrovacích/odšifrovacích, respektive ověřovacích/podepisovacích transformací, zatímco nejvíce problémů vznikalo ve formátování (kódování) zpráv pro RSA. Další „záplatování“ konkrétních aplikací RSA přinesl objev postranních kanálů, které ukázaly, že RSA je extrémně bezpečnostně citlivá na každý detail konkrétní implementace. RSA se však zatím dokázala ze všech problémů vždy nějak „oklepat“ a žije dál.

 

Vlastimil Klíma, Tomáš Rosa: Kryptologie pro praxi (8) – funkce HMAC, Sdělovací technika, 2/2004, str. 17, pdf.

Abstrakt: Hašovací funkce se používají velmi hojně v celé symetrické i asymetrické kryptografii. V moderních standardech a protokolech (například SSL/TLS) se to jimi a klíčovanými hašovými kódy (Keyed-Hash Message Authentication Code, HMAC) jen hemží. Klíčované hašové autentizační kódy zpráv (HMAC) se vytváří malou modifikací hašovacích funkcí - společně se zprávou M se hašuje i nějaký tajný klíč K. Výsledkem je zabezpečovací kód HMAC(M, K), který případnému útočníkovi znemožňuje pozměnit zprávu a současně i její HMAC, neboť nezná tajný klíč.