02.07 // Новые бумеранг-атаки по методу связанных ключей на AES

Новая криптоаналитическая атака на AES, которая быстрее простого перебора:

Related-key Cryptanalysis of the Full AES-192 and AES-256
Alex Biryukov и Dmitry Khovratovich.

В аннотации авторы представляют две атаки на связанных ключах на полный алгоритм AES. Для AES-256 показано, что атака на восстановление ключа работает для всех ключей и имеет сложность 2¹¹⁹, что лучше недавнего предыдущего результата атаки Biryukov-Khovratovich-Nikolic, которая к тому же работает только для ограниченного класса слабых ключей.
Вторая атака – первый криптоанализ полного AES-192. Обе атаки являются бумеранг-атаками, основанными на недавней идее нахождения локальных коллизий в блочных шифрах и расширении на основе бумеранг-техники с переключением, чтобы захватить большее число раундов в середине.

В своём письме авторы уточняют, что более тщательный анализ может снизить сложность с 2¹¹⁹ до 2^110.5 по данным и времени.

Эти результаты могут пролить новый свет на разработки ключевого расписания к блочным шифрам, но не представляют никакой реальной угрозы для реально существующих приложений, использующих AES.

Комментарий Брюса Шнайера: "Несмотря на то, что атака лучше простого перебора и некоторые криптографы могут обозначить такой алгоритм как "взломанный" – результаты всё ещё за пределами наших вычислительных возможностей. Атака является и возможно навсегда останется чисто теоретической. Но стоит помнить: атаки всегда становятся только лучше, а не хуже. С другой стороны, продолжает увеличиваться их число. Хотя нет причин для паники или отказа от использования AES, или принятия нового стандарта от НИСТ, это уже представляет проблему для некоторых кандидатов на конкурс SHA-3: для хэш-функций, основанных на AES".

Авторы приводят краткие разъяснения по поводу новых атак на AES:

В.: Это первый результат в криптоанализе полного AES?

О.: Да. Ранее самые успешные атаки работали только против сокращённых версий: 10 раундов (из 12) для AES-192, 10 раундов (из 14 для AES-256).

В.: Эта атака практична?

О.: Нет. Даже после улучшений нам всё ещё нужно более 2¹⁰⁰ шифрований, что находится за пределами вычислительных мощностей человечества. Более того, эта атака работает в модели атак со связанными ключами, которые подразумевают более мощного атакующего, чем в модели с независимыми ключами.

В.: Что из себя представляет модель атаки со связанными ключами?

О.: В этой модели атакующий может наблюдать результаты процесса зашифрования/расшифрования на различных секретных ключах. Атакующий знает (или даже сам способен выбирать) соотношение между различными ключами, но не знает самих ключей. Например, соотношение может быть просто значением XOR с известной константой: K_B = K_A xor C или более сложная связь вида K_B = F( K_A ), где F – произвольная функция, выбранная атакующим. В реальной жизни такие зависимости могут возникнуть при сбоях в аппаратном обеспечении или плохо спроектированных протоколах безопасности.

В.: В вашей работе для конференции CRYPTO вы показали практичную атаку на AES в модели с открытым ключом — что это значит?

O.: Это значит, что AES-256 практически взломан как хэш-функция и поэтому не может использоваться как готовый элемент ("plug-and-play") в различных конструкциях, основанных на доказуемой безопасности.

В.: Стоит ли мне продолжать использовать AES-192 и AES-256?

О.: Да. Наши атаки не представляют никакой существенной угрозы в использовании AES, но следите внимательно за прогрессом в криптоанализе.

В.: Означает ли это, что AES-256 слабее, чем AES-128?

O.: Теоретически – да. Практически – они оба всё ещё обеспечивают комфортный уровень безопасности.

В.: Как это затрагивает AES-128?

О.: Мы не знаем как атаковать полный AES-128 на основании этой идеи. Однако, мы ожидаем прогресс в криптоанализе сокращённых версий AES-128.

В.: Можно ли исправить эту уязвимость?

О.: Эта уязвимость может быть исправлена, только это потребует очень серьёзных изменений в дизайне. В частности та часть шифра, которая называется ключевым расписанием, должна быть переработана. Это также можно исправить увеличением числа раундов для всех версий, но это сделает шифр намного более медленным.

В.: Какой эффект это окажет на конкурс SHA-3 и на заявки на него, в которых содержатся хэш-функции, основанные на AES?

O.: Немного заявок содержат использование AES в явном виде, так что мы не ожидаем, что много функций пострадают от атаки. Однако, основополагающие идеи могут быть использованы в криптоанализе некоторых кандидатов, содержащих элементы похожие на AES.

В.: Как была открыта эта уязвимость? Почему она не была открыта во время конкурса AES и не была открыта в течении последующих десяти лет?

О.: Уязвимость была открыта, когда мы стали рассматривать AES как хэш-функцию и стали пытаться искать уязвимости, характерные для хэш-функций. Мы думаем, что большинство криптографов использовали только техники, ориентированные на блочные шифры, против которых AES был хорошо защищён разработчиками. Другая причина в том, что AES-256 вероятно получил меньше внимания со стороны криптоаналитиков, чем AES-128, хотя по иронии именно AES-256 предназначен для защиты более чувствительной информации, чем AES-128.

В.: Можете ли вы кратко описать какие свойства шифра привели к такой уязвимости?

O.: Ключ AES многократно используется в ходе шифрования после того как он развёрнут в ходе процесса, называемого ключевым расписанием. Мы установили, что малые изменения ключа вызывают малые изменения в процессе шифрования и могут быть нейтрализованы с высокой вероятностью, что даёт атакующему контроль над распространением дифференциальных изменений. Мы называем такую нейтрализацию локальной коллизией (понятие из криптоанализа хэш-функций). Некоторые последовательные локальные коллизии могут склеиваться друг с другом вместе в длинные 7-раундовые разности образцов прохождения (также называемые дифференциальными характеристиками или дифференциальными путями), которые имеют очень высокие вероятности — такие о которых ни один криптоаналитик не мог раньше и мечтать. Мы называем их волшебными путями AES-256.

Источник: Schneier on Security

02.07 Авторы алгоритма MD6 отзывают его с конкурса SHA-3

Рон Райвист отозвал алгоритм хэширования MD6 с конкурса SHA-3. он отправил сообщение в список рассылки НИСТ:

"По нашему мнению MD6 не готов к следующему раунду конкурса SHA-3 и мы также предлагаем некоторые пожелания для НИСТ по поводу продолжения конкурса."

Основная причина в том, что для того, чтобы конкурировать с оcтальными по параметру быстродействия, разработчикам пришлось уменьшить количество раундов до 30-40 и на таком количестве раундов алгоритм теряет свои доказательства устойчивости к дифференциальным атакам.

"Таким образом, хотя MD6 представляется стойким и безопасным алгоритмом критографического хэширования и имеет значительные преимущества для многоядерных процессоров, всвязи с нашей невозможностью обеспечить доказательства безопасности для версий MD6 с уменьшенным числом раундов (и с возможными модификациями) против дифференциальных атак, MD6 не готов для рассмотрения в следующем раунде SHA-3."

Комментарий Брюса Шнайера: "Это первоклассный случай самоотвода, который мы могли бы ожидать от Рона Райвиста, особенно учитывая тот факт, что на алгоритм не было никаких атак, в то время как другие алгоритмы подвержены серьёзным атакам, но представляющие их авторы продолжают делать вид, что никто не обращает на это внимание".

Источник: Schneier on Security

30.06 // Газета The Washington Times пишет об использовании сети Tor гражданами Ирана

Информация о существовании Tor редко публикуется за пределами специализированных новостных сайтов, а также посвящённых компьютерной тематике. Данное обстоятельство, возможно, есть ответ на вопрос "почему до сих пор не было никаких комментариев относительно использования Tor со стороны правоохранительных органов". Ниже приводится переводной вариант публикации:

Жители Ирана делятся в интернете видеокадрами и свидетельствами очевидцев демонстраций, охвативших страну за последние две недели, посредством шифрующей программы, первоначально разработанной американскими ВМС для собственных нужд, пишет The Washington Times.

Программа The Onion Router, или TOR, разработанная десять лет назад для защиты сообщений между американскими военными кораблями в море, стала одним из самых важных в Иране средств доступа к таким веб-сайтам, как Twitter, YouTube и Facebook.

Системой прокси-серверов, скрывающих трафик пользователя интернета, в настоящее время управляет некоммерческая организация Tor Project, независимая от американского правительства и военных и работающая по всему миру.

"За последние две недели число подключений новых клиентов увеличилось в два или три раза, – заявил в прошлый четверг The Washington Times исполнительный директор Tor Project Эндрю Льюман. – У нас до тысячи новых клиентов в день".

TOR позволяет иранским пользователям интернета посещать запрещенные правительством веб-сайты, уходя из-под наблюдения властей. Tor Project направляет веб-запросы через несколько различных серверов по всему миру. Хотя есть и другие прокси-серверы, которые делают посещения веб-сайтов анонимными, TOR считается лучшим продуктом, доступным в интернете, утверждает автор статьи Эли Лейк.

В написании этой статьи принял участие Сауд Джафарзаде

В свою очередь, публикация показывает, что Tor может использоваться, в том числе, и как средство свержения неугодных политических режимов.

Источник: inopressa.ru

22.06 // В Германии тихо и незаметно принят закон «о барьерах в Интернете»

Несмотря на самую большую в истории ФРГ гражданскую петицию (более 130.000 подписавшихся), обзорах в СМИ (в основном онлайн) и интенсивную критику экспертов парламент Германии (Бундестаг) принял закон «О барьерах в Интернете». 389 парламентариев проголосовали «за», 128 «против», 18 воздержались, 77 «не принимали участие». О том, кто и как голосовал можно посмотреть тут.

Суть закона

Под предлогом борьбы с детской порнографией Интернет-провайдеры Германии должны показывать пользователю «Стоп-знак», если пользователь пытается открыть страницу, попавшую в блэклист криминального бюро (Бундескриминаламт). Блэклист должен обновляться ежедневно и тем самым «изолировать» криминал.

Критика

1. Закон открывает дверь в сторону цензуры в Интернете, гарантий, что блэклист не будет распространятся и на другие сферы нет. К примеру всерьез рассматривается барьер на так называемые «Killerspiele» (эго-шутеры). Тем самым Германия потенциально становится в один ряд с такими странами как Китай, Иран, Ливия, Куба и Северная Корея. Закон конституции о информационной свободе может быть в некоторых случаях аннулирован.
2. Барьер элементарно обходится альтернативными DNS-серверами, и не является способом борьбы с детской порнографией. Сайты не закрываются, владельцы в тюрьму не садятся, пользователи законом и медициной не преследуются.

Дальнейшие действия активных противников

Остается шанс оспорить закон в Верховном Суде, что и будут пытаться сделать его противники.

Ну и напоследок коллаж, показывающий всю красоту этого абсурда:
file:zensursula1.jpg
Интересно, что по телевизору и в серьезных газетах эту тему удачно замяли.

Источник: http://habrahabr.ru/blogs/lenta/62504/

19.06 // Американское государство перехватывает миллионы эмейл-сообщений

Американские разведслужбы подверглись обвинениям в том, что занимались шпионажем в отношении электронных посланий миллионов американцев, включая бывшего президента США Билла Клинтона.

Ранее серия скандалов, связанных с разведкой, уже потрясла Вашингтон, детали засекреченных схем слежения стали выходить на свет по новым репортажам Нью-Йорк Таймс.

Таймс цитирует анонимного аналитика из АНБ, утверждающего, что под прицел попадают электронные сообщения, посылаемые американским гражданам и отправляемые ими, а также бывшего американского президента, чья жена сейчас является госсекретарём.

Система баз данных, называемая Pinwale, используется американским агентством национальной безопасности для перехвата и изучения гигантских объёмов электронной почты, проходящих через американские телекоммуникационные сети.

АНБ подтвердило, что Pinwale существует, хотя и не собирается комментировать последние заявления или раскрывать дополнительные детали о том как работает система.

Глава сенатского комитета по делам разведки, который расследовал заявления о неуполномоченном прослушивании в течении нескольких лет, отреагировал на новости о системе Pinwal таким образом, как если бы не имело место ничего нелегального.

Новость лишь в том, что в ходе последних многочисленных серий открывающихся сведений по поводу того, что американские службы безопасности стали выслеживать обычных граждан, включает дискуссию по поводу прослушиваний без ордера.

Однако сенатор Калифорнии Дайен Фейнштейн, из партии демократов, заявила, что она ранее расследовала вопрос Pinwale и верит в то, что это не связано с нарушением закона.

"Мы задавали вопросы. Мы гарантируем, что это неправда," заявила Фейнштейн на слушаниях в судебном комитете. "Я изучила всё что мне дозволено знать по этому вопросу и даже больше. Я не верю что какое-либо содержимое писем было предметом рассмотрения в ходе этой программы".

Такая позиция резко контрастирует с тем, что было четыре года назад, когда Фернстейн сказала Сенату, что она "чувствует тяжесть на сердце" после изучения деятельности разведслужб, которые действуют в нарушение закона, который она помогала принять.

Выясняется, что в 2005 году президент Буш обошёл принятый процесс судебного допуска на прослушивание, давая поощрения официальным лицам АНБ на проведение прослушивания по его комманде.

Обвинённый в злоупотреблении властью Буш позднее утверждал, что он имел "конституционные обязательства", однако пока Конгресс усиленно возражал, дебаты закончились в прошлом году соглашением, которое дало эффективное разрешение его акциям и иммунитет американским телекоммуникационным компаниям в их роли по помощи АНБ.

"Самые личные электронные письма обычных американцев были и всё ещё продолжают оставаться предметом массового перехвата и хранения в секретных базах данных американских спецслужб без обоснованной причины", сказал Кевин Бэнкстоун, адвокат группы активистов EFF (Фонда защиты электронных границ).

Организация, которая судится с властями против нелегального перехвата коммуникаций, утверждает, что системы, аналогичные Pinwale являются именно тем, что нужно остановить.

"Одним из средств, которые мы требовали по этому делу, является уничтожение специальных средств внутренних коммуникаций и записей, которые АНБ нелегально накапливает в базах данных, таких как Pinwale".

Пока некоторые из самых привлекающих внимание эпизодов тайной слежки властей имеет место в Америке, они далеко не одни в делах мониторинга активности своих граждан.

На самом деле, распространение интернет-коммуникаций стимулировало власти и разведслужбы по всему миру сфокусироваться вокруг этого. В последние дни Китай был вынужден оставить планы по обязательной установке следящих программ на каждый персональный компьютер в стране, в то время как иранские власти усилили контроль над интернет коммуникациями после спорных выборов.

В Великобритании тем временем, власти намереваются создать серию баз даных, хранящих каждый телефонный звонок, эмейл или текстовое сообщение в пределах страны.

Ранее в этом году штаб-квартира правительственных коммуникаций (GCHQ – ведомство занимающееся прослушиванием и разведкой), отрицало, что оно создало свой эквивалент Pinwale, после отчётов о том, что агентство уже истратило миллиард фунтов на построение системы мониторинга интернета в британском королевстве.

Новости из Америки же, пришли спустя лишь через несколько недель после того, как президент Обама создал новый офис кибербезопасности, тесно связанный с АНБ, и при этом он клялся, что не поставит под угрозу приватность людей.

"Наше стремление в кибербезопасности не будет, я повторяю, не будет включать мониторинг приватного сектора сетей или интернет-траффика" – сказал он – "Мы будем сохранять и защищать нашу персональную приватность и гражданские свободы, которые нам так дороги, ведь мы же американцы".

Источник: Guardian.co.uk

18.06 // Самозащита от прослушивания. Глава 2

Продолжается публикация перевода Surveillance Self-Defense (SSD) — просветительского проекта Electronic Frontier Foundation по информированию общества о средствах правительственной электронной слежки и о методах гражданской самозащиты от неё.

Представляем вашему вниманию вторую главу работы, посвящённую прослушиванию коммуникаций.

Как всегда, не забывайте, что рассматриваемые юридические аспекты в первую очередь имеют отношение к правовой системе Соединённых Штатов (что, тем не менее, полезно и нам, учитывая, что значительная часть наших сетевых коммуникаций так или иначе затрагивает юрисдикцию этого государства).

17.06 // Тривиальный обход настроек прокси в Opera

Не много времени прошло с предыдущей новости о деанонимизации Opera при определённых настройках сети, как стало известно о куда более плачевном положении дел: возможности деанонимизации при заходе на ссылку вида nntp://. Вставка блока наподобие

<meta http-equiv="REFRESH" content="0;url=nntp://dns-имя_сайта">

в код отображаемой страницы позволяет узнать реальный IP-адрес пользователя. Таким образом, деанонимизация происходит при использовании абсолютно штатных средств, что стало возможным лишь вследствие отсутствия должного понимания функционала, имеющегося в браузере. Стоит отметить, что на уязвимость стиля "браузер поддерживает больше протоколов, чем позволяет проксифицировать" уже указывалось ранее, только вместо Opera фигурировал links, а вместо nntp – https (возможно, сейчас ту брешь уже закрыли). Остаётся только догадываться сколько ещё тайных подводных камней касаемо браузеров могут быть известны узкому кругу людей, эксплуатирующих их для деанонимизации. Кроме того, Opera поддерживает и другие протоколы, типа torrent, которые также не проксифицируются посредством стандартных меню, что, возможно, также позволяет деанонимизировать пользователя, заставив его щёлкнуть по подставлной ссылке (в данном случае, по умолчанию, опера выводит окно настроек для torrent по клику на такую ссылку).

Firefox предварительно считается не подверженным указанной уязвимости, так как в умолчальной поставке не поддерживает протокол nntp. Впрочем, в firefox могут быть и другие уязвимости подобного рода.

Это ещё одно подтверждение тому, что не следует полагаться на надёжность настроек на стороне браузера, а следует настраивать "прозрачную проксификацию" средствами firewall'а.

Спасибо Гостю за обращение внимания общественности на данную уязвимость. Исчерпывающие подробности относительно опубликованной новости не до конца ясны (почему об этом не предупреждали разработчики OperaTor – неужели они не знали функционал Opera? Какие версии подвержены уязвимости? Почему так получилось, что об ошибках такого рода, лежащих на поверхности, ничего не сказано на официальном сайте Tor? И т.д.), потому имеется просьба исправлять неточности в тексте новости по мере их обнаружения.

PS: я не стал писать никаких слов про следующую из представленной информации деанонимизацию при использовании Tor, так как это лишь частный случай прокси.

Источник: /comment31168 с отсылкой на демонстрационный сайт на скрытом ресурсе Tor

16.06 // Перехват данных с беспроводных клавиатур теперь доступен всем

Исследователи из группы Remote-Exploit.org опубликовали открытый исходный код своей утилиты Keykeriki для перехвата и расшифровки сигналов беспроводных клавиатур Microsoft, использующих радиоканал частотой 27 МГц и шифрование на базе алгоритма XOR (исключающее ИЛИ). Этот инструмент позволяет не только перехватывать нажатия клавиш, но и использовать стороннюю клавиатуру для управления чужим компьютером.

Согласно приведенным результатам, утилите Keykeriki достаточно 20-50 нажатий по клавишам, чтобы получить секретный ключ шифрования – далее расшифровка нажатий будет выполняться «на лету». Интересно, что внедрение таких технологий, как «Secure Connect» компании Logitech, не делает беспроводную клавиатуру намного более защищенной. Дополнительный уровень шифрования, реализованный в «Secure Connect», усложняет задачу взломщика, но не делает ее невыполнимой.

Кроме того разработчики планируют внедрить возможность расширения комплекса, в том числе установку аппаратных расширений и перехват неизвестных видов трафика беспроводных клавиатур. Также планируется реализовать перехват и расшифровку данных для более современных клавиатур, работающих в диапазоне 2,4 ГГц.

Подробнее о комплексе Keykeriki можно узнать на сайте разработчиков.

Источник: http://www.securitylab.ru/news/381480.php