MD5 collisions homepage:
English,
Czech,
DN,HDN,SNMAC homepage: English,
Czech,
PGP attack homepage: English, Czech,
SSL attack homepage: English, Czech.
Průlomové
události v kryptoanalýze postranními kanály v roce 2002:
V. Klíma: Postranní kanály, Data Security
Management, číslo 6/2002, str. 28 - 31. Postranní kanály vynáší
důležité informace z informačních systémů. Jedná se o nový
fenomén, objevený teprve před jednotkami let, který ještě není v
povědomí tvůrců informačních, komunikačních a
bezpečnostních systémů. Přesto je velmi nebezpečný. I
použití těch nejlepších norem a nejsilnějších technik ochrany dat
ještě neznamená, že v systému není postranní kanál. Příspěvek
seznamuje s průlomovými událostmi v postranních kanálech v roce 2002 a
protiopatřeními.
Kam
kráčí informační bezpečnost v dalších 10 letech - názory
specialistů:
V. Klíma: Šifrovací technologie, Vize informační bezpečnosti
2002/2003, TATE international.
s.r.o., 2002, ISBN 80-902858-6-4, str. 60 - 63. (Dvojjazyčná publikace)
Technické
aspekty informační války
V. Klíma, L. Kratochvíl, T. Rosa: Postranní kanály, sémantická bezpečnost
komunikačních protokolů a zařízení BOB, Konference Technické
aspekty informační války, Vojenská akademie v Brně, 10.12.2002.
Z útoků konstruovaných matematiky v abstraktním světě logických
vět a důkazů se v informační válce mohou stát útoky reálné
směřující k vyvolání těžkých ekonomických nebo lidských ztrát.
Je proto velmi důležité poznat, jaké možnosti má útočník v takovém
případě k dispozici. Příspěvek stručně seznamuje
s pojmem postranního kanálu a možnými protiopatřeními. Vysvětluje
pojem sémantické bezpečnosti a poté se zabývá konkrétním zařízením
BOB (bezpečnostní oddělovací blok), které umožňuje realizovat
některé principy sémantické bezpečnosti. Jeho hlavní využití je
plánováno pro řízené a auditované předávání dat mezi aplikacemi
pracujícími v sítích s různým stupněm utajení a důvěry.
Nový
operační modus blokových šifer, tvorba náhodných čísel:
V. Klíma: Jak ze čtverce udělat kruh, Chip, prosinec 2002, str. 165 -
169.
chip-2002-12-165-169.pdf
V tomto článku Vás seznámíme s novým využitím blokové šifry jak pro
generování náhodných čísel, tak pro šifrování. Ukážeme vám, jak lze
blokovou šifru výhodně přeměnit na proudovou pomocí běžného
čítače. Tento nový operační modus byl oficiálně navržen
americkým standardizačním úřadem NIST.
V.
Klíma, T. Rosa: Postranní kanály - moderní hrozby informačních a komunikačních
systémů
Konference Informačná bezpečnosť 2002, Bratislava, 6.11.2002
Eliptické
křivky a šifrování (2):
V.Klíma: Eliptické křivky a šifrování (2), Chip, říjen 2002, str. 160
- 162.
chip-2002-10-160-162.pdf
V předchozím dílu jsme se seznámili s eliptickými křivkami, nyní se
podíváme na jejich využití k elektronickému podpisu a k šifrování a
řekneme si pár poznámek k jejich bezpečnosti. Upozorníme také na
různé standardy, v nichž se do detailů dozvíte, jak tyto systémy
využít.
V.Klíma,
T.Rosa: Postranní kanály - moderní hrozby informačních a
komunikačních systémů
Konference Bezpečnost informací BIN 2002, Praha, 11.9.2002,
Tento příspěvek seznamuje s novou oblastí současné kryptologie -
tzv. postranními kanály, které nežádoucím způsobem vynáší důležité
informace z informačních systémů. Jedná se o nový fenomén, objevený
teprve před jednotkami let, proti němuž je složitá obrana. Ani použití
těch nejlepších norem totiž ještě neznamená, že v systému nebude
takový postranní kanál existovat. Ukazujeme jejich existenci na řadě
příkladů a nejnovějších výsledků. Obrana proti nim musí být
proto vzata velmi vážně v úvahu při návrzích bezpečnostních
systémů nebo při jejich revizi. Příspěvek je určen
všem, kdo se zabývají bezpečností informačních systémů z
manažerského nebo technického hlediska.
Část tohoto příspěvku bude uveřejněna v
časopise DSM č.6/2002
Eliptické
křivky a šifrování (1):
V.Klíma: Eliptické křivky a šifrování (1), Chip, září 2002, str. 134
- 136.
chip-2002-09-134-136.pdf
Kryptografie eliptických křivek (ECC) je moderní a nadějný směr,
který v řadě ukazatelů přináší lepší výsledky než současné
běžně používané kryptosystémy. Seznámíme vás s podstatou i možnostmi
v této oblasti. V tomto dílu se seznámíte s rovnicí eliptické křivky nad
konečným tělesem a s tzv. problémem diskrétního logaritmu.
V.Klíma,
T.Rosa: Další výsledky a úvahy o útocích postranními kanály na RSA (v
angličtině)
Klíma, V., Rosa, T.: Further
Results and Considerations on Side Channel Attacks on RSA, Workshop on
Cryptographic Hardware and Embedded Systems 2002, Hotel Sofitel, San Francisco
Bay (Redwood City), USA, August 13 - 15, 2002, CHES
2002, pp.
245-260 , Springer-Verlag, 2002, 2002/071. Abstract: This paper contains three parts.
In the first part we present a new side channel attack on plaintext encrypted
by EME-OAEP PKCS#1 v.2.1. In contrast with Manger´s attack, we attack that part
of the plaintext, which is shielded by the OAEP method. In the second part we
show that Bleichenbacher's and Manger's attack on the RSA encryption scheme
PKCS#1 v.1.5 and EME-OAEP PKCS#1 v.2.1 can be converted to an attack on the RSA
signature scheme with any message encoding (not only PKCS). This is a new
threat for those implementations of PKI, in which the roles of signature and
encryption keys are not strictly separated. This situation is often encountered
in the SSL protocol used to secure access to web servers. In the third part we
deploy a general idea of fault-based attacks on the RSA-KEM scheme and present
two particular attacks as the examples. The result is the private key instead
of the plaintext as with attacks on PKCS#1 v.1.5 and v.2.1. These attacks
should highlight the fact that the RSA-KEM scheme is not an entirely universal
solution to problems of RSAES-OAEP implementation and that even here the manner
of implementation is significant.
Codecard
pro šifrování PINů lze jednoduše vylepšit:
V. Klíma: Zapomeňte PIN? (2), Chip, srpen 2002, str. 142 - 144.
chip-2002-08-126-128.pdf
V minulém díle jsme si povšimli šifrovací pomůcky nazvané codecard a
ukázali jsme, že se dá luštit. V tomto článku ukážeme, jak tomu lze
jednoduše zabránit, a podíváme se také na některé její další zajímavé
vlastnosti.
Jak
jsme se vyrovnali se šifrovací pomůckou codecard pro šifrování PINů:
V. Klíma: Zapomeňte PIN? (1), Chip, červenec 2002, str. 120 - 122.
chip-2002-07-120-122.pdf
Také máte několik platebních karet a k tomu ještě zaheslovaný mobilní
telefon? A také se bojíte, že některý PIN jednoho dne zapomenete?
Seznámíme vás s pomůckou pro šifrování PINů, codecard. Je to výborný
nápad, který to umožňuje. V tomto dílu ukážeme slabiny codecard, v
příštím pokračování možnou nápravu. Zbývá zde místo i na vaše prázdninové
nápady!
V.Klíma,
T.Rosa: Zesílené šifrování v modu CBC (v angličtině)
Klíma, V., Rosa, T.: Strengthened
Encryption in the CBC Mode,
IACR ePrint archive 2002/061, May 2002. Abstract: Vaudenay
[1] has presented an attack on the CBC mode of block ciphers, which uses
padding according to the PKCS#5 standard. One of the countermeasures, which he
has assumed, consisted of the encryption of the message M´= M || padding ||
hash(M || padding) instead of the original M. This can increase the length of
the message by several blocks compared with the present padding. Moreover,
Wagner [1] showed a security weakness in this proposal. The next correction, which
Vaudenay proposed ("A Fix Which May Work") has a general character
and doesn't solve practical problems with the real cryptographic interfaces
used in contemporary applications. In this article we propose three variants of
the CBC mode. From the external point of view they behave the same as the
present CBC mode with the PKCS#5 padding, but they prevent Vaudenay's attack.
Bernsteinův
příspěvek k faktorizaci neohrozil současné moduly RSA:
V. Klíma: Bouře ve sklenici vody, Chip, červen 2002, str. 162 - 163.
chip-2002-06-162-163.pdf
Je známo, že pokud by se podařilo najít efektivní algoritmus na
faktorizaci velkých čísel, byl by prolomen algoritmus RSA. Články o
problému faktorizace a o současné nejlepší metodě NFS (GNFS)
naleznete na této straně (viz Dvě čísla za 200 000 dolarů,
Chip 9/01, 10/01). Bernstein v práci Circuits for integer factorization: a
proposal, viz http://cr.yp.to/papers/nfscircuit.ps přinesl náměty na
některá její zlepšení. Někteří "takéodborníci" pak z
toho nesprávně vyvozovali dopad "na obrovskou řadu praktických
aplikací". Článek přináší jiný názory na tuto věc.
Vaudenayův
útok na modus CBC a navrhovaná protiopatření:
V. Klíma: Překvapivý útok a česká obrana, Chip, červen 2002,
str. 156 - 157.
chip-2002-06-156-157.pdf
V Chipu 5/02 jsme vás informovali o novém standardu AES i o tzv. modech, tj.
způsobech jeho použití. Ukázali jsme, že není vhodné šifrovat soubory dat
v modu elektronické kódové knihy, a doporučili jsme zejména modus CBC
(Cipher Block Chaining, tj. řetězení šifrového textu). Zároveň
jsme upozornili na existenci čerstvých útoků na CBC. V tomto
článku nový útok na CBC popisujeme a navrhujeme tři varianty
protiopatření. Všechny varianty respektují doplňování podle PKCS#5 a
jsou kompatibilní se současně používanými kryptografickými
rozhraními.
Advanced
Encryption Standard (AES):
V. Klíma: AES - Nová šifra nastupuje,Chip, květen 2002, str. 142 - 144.
chip-2002-05-142-144.pdf
Po čtyřech a půl letech od vyhlášení soutěže na výběr
nové šifry vstupuje v platnost AES - od 26. května 2002 může být
tento standard používán k ochraně neutajovaných senzitivních dat ve státní
správě USA a očekává se, že se stane nejrozšířenější
komerční šifrou na světě. Přinášíme několik
užitečných informací jak pro manažery, tak pro ty, kdo budou AES
implementovat.
Al-Kajda
špatně šifrovala své operativní informace:
V. Klíma: Tajné zápisy al-Kajdy dešifrovány, Právo, 14.2.2002, str.12
Když se protitalibánská aliance blížila ke Kábulu, špičky al-Kajdy
nestačily vše zlikvidovat. Kořistí následného drancování se tak staly
i jeden jejich stolní počítač a jeden notebook. Od
"obchodníka" je pak koupili novináři z Wall Street Journal za
1100 dolarů. Bylo pro ně milým překvapením, když tam nalezli
přes 1750 souborů s texty a videozáznamy, týkající se činnosti
organizace al-Kajda. Nejdůležitější z nich však byly zašifrovány...
Proč
šifrovat?
V. Klíma: Chraňte si své soukromí, Právo, 31.1.2002, str.9
O ochraně dat šifrováním. PGP. Linky na šifrovací software a na portál o
šifrování.
Útok na privátní klíče PGP
- Czech attack
Klíma, V., Rosa, T.: Attack on Private
Signature Keys of the OpenPGP format, PGP (TM) Programs and Other Applications
Compatible with OpenPGP, IACR ePrint
archive 2002/076, March 2001.
Abstract: The article describes an
attack on OpenPGP format, which leads to disclosure of the private signature
keys of the DSA and RSA algorithms. The OpenPGP format is used in a number of
applications including PGP, GNU Privacy Guard and other programs specified on
the list of products compatible with OpenPGP, which is available at
http://www.pgpi.org/products. Therefore all these applications must undergo the
same revision as the actual program PGPTM. The success of the attack was practically
verified and demonstrated on the PGPTM(*) program, version 7.0.3 with a
combination of AES and DH/DSS algorithms. As the private signature key is the
basic information of the whole system which is kept secret, it is encrypted
using the strong cipher. However, it shows that this protection is illusory, as
the attacker has neither to attack this cipher nor user´s secret passphrase. A
modification of the private key file in a certain manner and subsequent
capturing of one signed message is sufficient for successful attack.
Insufficient protection of the integrity of the public as well as private parts
of signature keys in the OpenPGP format is analyzed in DSA and RSA algorithms
and on the basis of this, a procedure of attacks is shown on both private signature
keys. The attacks apply to all lengths of parameters (modules, keys) of RSA and
DSA. In the end the cryptographic measures for correction of the OpenPGP format
as well as PGPTM format are proposed.
praxe:
kryptografie, bezpečnost RSA:
V. Klíma, T. Rosa: RSA v novém světle (4), Chip, únor 2002, str. 134 -
137.
chip-2002-02-134-137.pdf
Reálná hrozba Mangerova útoku na některé implementace algoritmu RSA volá
po jejich revizi. Minule jsme naznačili teoretické východisko možné
obrany, nyní si ji ukážeme prakticky přímo na napadeném standardu PKCS#1.V
tomto dílu dáváme jednak zcela praktické minimální zásady, jak revidouvat
implementace RSA podle PKCS#1 a jednak využíváme techniku maskování operací
proti parazitnímu vyzařování informací postranními kanály, zavedenou v
minulém díle.
praxe: kryptografie, RSA:
V. Klíma, T. Rosa: RSA v novém světle (3), Chip, leden 2002, str. 126 -
129.
chip-2002-01-126-129.pdf
V tomto dílu jsme si zavedli techniku maskování operací proti parazitnímu
vyzařování informací postranními kanály. Na základě
informačně teoretického modelu jsme prokázali její kladný
přínos. Užití této techniky jsme ukázali na příkladu maskování
operace sčítání. Tím je připravena půda pro konkrétní využití
této metody v návrhu procedury pro odšifrování zpráv pomocí RSA podle standardu
PKCS#1.