03.02 // Известие о взломе VeriSign спустя полгода после происшествия

После серии компрометаций удостоверяющих центров X.509 стало известно, что подобная участь не миновала и гигант VeriSign.

Представители VeriSign (которая — ну так, чтоб просто представлять размеры возможного бедствия — до сих пор держит два из 13 корневых DNS-серверов и является основным регистратором для доменов com, net, name, cc, tv) поспешили заявить, что считают, что атакующие не добрались до систем, поддерживающих DNS. Представитель же Symantec, владельца УЦ VeriSign, поспешил заявить, что нет оснований считать, что эта атака как-то затронула системы, занимающиеся сертификатами. Хочется в это верить — иначе история будет значительно веселее, чем в случае c голландским CA.

Любопытно, что администраторы не информировали руковоство компании аж до сентября 2011 года, а сама информация о взломе всплыла после публикации ежеквартального отчета федеральной комиссии по ценным бумагам и биржевым операциям (U.S. Securities and Exchange Commission), которая ужесточила требования по информированию инвесторов о подобных взломах.

Источник: http://bugtraq.ru/rsn/archive/2012/02/04.html

30.01 // АНБ опубликовало шифр Джона Нэша

Агентство Национальной Безопасности США рассекретило переписку с математиком Джоном Нэшем (который стал широко известен за пределами своей области деятельности после выхода фильма "Игры разума").

Письма размещены на стенде криптологического музея АНБ. В этих письмах от 1955 года Нэш предложил вариант шифра, который считал "невзламываемым" без знания противником ключа, а сам шифр предлагал засекретить только для предотвращения распространения стойкой криптографии среди противников США.

Нэш сделал утверждение о возможности создания шифров, единственным способом взлома которых будет перебор ключа, что дало бы возможность использовать короткий ключ, выбранный в соответствии с критериями вычислительной стойкости. В соответствии с этим, он предполагал, что игровой баланс между создателями всё более хитроумных шифров и взломщиками в будущем придёт в стадию полного завершения в пользу создателей стойких шифров.

Однако, АНБ отвергло дизайн шифра, указав, что он не соответствует критериям безопасности, принятым в каналах правительственной связи. По сообщениям из ответных писем, шифр достаточно остроумный и вызвал оживлённое обсуждение среди специалистов агентства, но его идея оказалась бесперспективной — любые попытки улучшения были бы заведомо хуже уже имеющихся решений по крайней мере в плане производительности.

Конкретные причины отказа его рассмотрения являлись секретными (возможно предположить, что АНБ не хотело разглашать ни своих методов криптоанализа, ни способствовать правильным догадкам о методах создании стойких шифров). Интерес ведомства вызвала и теория игр Джона Нэша, которая впоследствии и принесла ему известность и Нобелевскую премию по экономическим наукам.

Сам алгоритм конечно неактуален, но, вероятно, ему суждено стать известным в плане исторического интереса.

file:01.png

Идеи Нэша сводятся примерно к таким пунктам:

1. Шифр работает с двоичным представлением информации (в современной терминологии в виде битов).
2. Шифртекст зависит не только от ключа, но и от внутреннего состояния, зависящего от всех предыдущих открытых текстов: Y_i = F (α₁, α₂, … α_r; X_i, X_i-1, X_i-2, … X_i-n). Для этого копии битов шифртекста подаются обратно на циклическую обработку алгоритмом.
3. Ввод открытого текста и вывод шифртекста (шифрование/расшифрование) осуществляются побитово (один бит за один цикл).
4. Ввод открытого текста осуществляется сложением по модулю два в устройстве A (в современной терминологии XOR).
5. В зависимости от того, какой бит находится в текущем потоке, устройство D выбирает путь перестановки в устройстве P.
6. Основу алгоритма составлет перестановщик P. Устройство P меняет текущий бит в зависимости от состояния битов по пути перестановки. При этом пути могут быть, как неизменяющие бит, так и инвертирующие его. Количество ключей зависит от количества точек в устройсте (не считая первой, которая не даёт выбора) и составляет [ n! 2ⁿ⁺¹ ]².
7. Расшифрование происходит аналогично, только добавляется устройство R для задержки одного цикла.

file:02.png
file:03.png

Некоторые моменты могут вызвать не вполне однозначное толкование.

Вопросы по п. 6: Судя по письму, начальное заполнение битами устройства P — это и есть ключ. Или этим можно считать характер связей-переходов между точками хранения битов в P? Можно однако считать, что имеют право на одновременое сосуществование оба варианта (хотя правила перестановок должны представлять собой сбалансированную функцию — это скорее вариант долговременной секретной таблицы). Не очень понятно, как при прохождении бита меняются эти биты в перестановщике P. В соответствии с правилом прохождения, взаимно? Т.е. и проходящий бит и те, через которые он проходит. Инвертируются (или в зависимости от сочетания не изменяются) и всегда замещаются? Или замещаются только когда инвертируются? Одна из красных стрелок не помечена знаком "+" или "-" — означает ли это что-нибудь?

Вопросы по п. 7: почему задерживающее устройство R помещено в расшифровывающую часть схемы, а не наоборот — в зашифровывающую? Можно было бы пропустить один бит открытого текста через D-P, а затем его уже поксорить снова с открытым текстом в A и только после этого выпустить. Иначе непонятно XOR чего с чем производится в начальном цикле, в то время как для дешифрования эта задержка вроде как не нужна?

Как вариант, можно было бы прогнать через шифрующее устройство некоторое количество случайных битов (вектор инициализации) — для придания уникальности шифртексту и изменения начального заполнения битов, задающих перестановку в P. При расшифровании эти биты можно было бы использовать и отбросить (как обычный IV). Возможно, что о векторе инициализации Джон Нэш не знал.

Сама по себе схема предельно простая и вместо внесения дополнительных усложнений Нэш предлагал увеличивать размер P. Интересно, какой самый простой вид криптоанализа для неё возможен?

АНБ утверждает, что никогда не использовало идей из этой схемы. А если в этой схеме заменить битовые операции на байтовые? Возможно ли было бы получить что-то близкое к современным шифрам?

Источник: Агентство Национальной Безопасности США — Центр по связям с прессой / Национальный музей криптологии

02.01 // Первая оценка возможности практического взлома AES: 1.5 триллиона US$ и менее года вычислений

Исследования в области специальных аппаратных средств для взлома шифров насчитывают почти столетнюю историю. В 1938 году польские математики, возглавляемые Марианом Режевски, создали электромеханическое устройство под названием "Бомба" (Bomba Kryptologiczna), позволившее им взломать немецкий шифр Enigma за счёт полного перебора положений 17576 роторов. Этот успех был развит английскими криптографами (с ведущей ролью Алана Тюринга и Гордона Велчмана), которые создали удачные машины для взлома шифров, позволившие силам союзников читать сообщения, зашифрованные Энигмой в ходе Второй Мировой войны. Параллельные усилия в криптоанализе другого немецкого шифра, Lorenz SZ40/42, привели к созданию первого в мире программируемого компьютера Colossus. Он содержал 1500 вакуумных ламп и был способен обрабатывать 5000 знаков в секунду.

В 1980 году Померанц и др. создали аппаратную архитектуру, названную Quasimodo для факторизации больших чисел с помощью алгоритма квадратичного решета. Quasimodo был построен, но не функционировал должным образом. Проект DES Cracker (также известный как Deep Crack) — это машина параллельного поиска ключа, разработанная организацией EFF в конце 1990-х с суммарным бюджетом всего 210000 US$. Deep Crack содержал около 1500 специальных микросхем и требовал по крайней мере 9 дней для нахождения 56-битного ключа DES за счёт атаки "грубой силой". Также в конце 1990-х Шамир предложил TWINKLE — электрооптическое устройство для выполнения шага просеивания в алгоритме NFS (решета числового поля). По его оценкам одного такого чипа было бы достаточно, чтобы за приемлемое время факторизовать 512-битные числа и, соответственно, взламывать 512-битные RSA-ключи. TWIRL, улучшенная модификация TWINKLE предполагала уменьшение полного времени просеивания до 10 минут. Оба эти устройства остались чисто гипотетическими, но привлекли значительное внимание криптосообщества и вызвали рост последующих исследований. Типичным примером стало появление устройства COPACOBANA на основе паралльной архитектуры FPGA (ПЛИС) для успешного криптоанализа шифров с 64-битным ключом (KeeLoq, DES и A5/1).

Дальнейший интерес связан с изучением возможностей графических процессоров (GPU) и специализированных микросхем ASIC.

Исследователи Алекс Бирюков и Йохан Гроссшадль из лаборатории алгоритмики, криптологии и безопасности Университета Люксембурга (LACS) впервые предоставили оценки возможности построения суперкомпьютера для практического взлома AES на основе передовых технологий GPU/ASIC/VLSI, использованных в NVIDIA GT200b. По их расчётам на сегодняшний момент возможности существующего "железа" позволяют осуществлять атаки, на проведение которых требуется 2¹⁰⁰ вычислений. Следует понимать, что эти атаки можно считать практически осуществимыми только гипотетически (например, если вся энергетика, финансы и инфраструктура США будут направлены только на взлом AES в течении года, то это можно считать практически осуществимым взломом, по крайней мере в оценочном плане).

"Практическому взлому" можно считать подверженным не только AES-128, но и AES-256. Следует опять же различать, что даже если гипотетический противник, обладающий доступными в масштабе крупной страны сверхресурсами, потратит их на осуществление взлома, его практичность всё равно остаётся под сомнением: противнику нужно получить доступ к слишком большой утечке данных в рамках исполнения протокола, что может встречаться скорее в лабораторных условиях и ограничивает оценочный характер этого результата ещё в большей степени.

Исследователи рассмотрели две ранее известные атаки на полнораундовый AES, требующие исполнения 2¹⁰⁰ операций. Первая атака — на связанных ключах против AES-256 (Related Key Cryptoanalysis — RKC) — 2^99.5 шагов исполнения и 2⁷⁸ памяти. Такая атака непрактична из-за малой вероятности появления связанных ключей в каком-либо практически используемом криптопротоколе. В простейшем случае используется простое соотношение K' = K ⊕ C, улучшенная версия этой же атаки (бумеранг-атака со связанными ключами) использует соотношение K' = F⁻¹ (F(K) ⊕ C) = R_C (K), где K, K' — неизвестные связанные ключи, F — раундовая функция ключевого расписания AES-шифрования, C — навязываемая атакующим константа. Несмотря на слишком сильную модель атакующего и невероятное количество предоставляемых ему данных, такая атака преодолевает психологический барьер сложности 2¹⁰⁰.

Вторая атака основана на размене ключей-времени-памяти (Time-Memory-Key — TMK) против AES-128, также известна как атака с множественными целями. В этой атаке фиксированный открытый текст шифруется множеством различных секретных ключей, а целью атакующего является нахождение по крайней мере одного из этих ключей. Используя 2³² целей, TMK-атака имеет сложность предвычислений 2⁹⁶, после чего каждый новый секретный ключ может быть найден с затратами времени 2⁸⁰ и памяти 2⁵⁶. Впервые атака такого рода предложена Хеллманом для инвертирования хэш-функций и использована для создания радужных таблиц. Идея состояла в просчёте хэш-цепочек и отбрасывании всех промежуточных значений кроме стартового и конечного. Пары конечных и стартовых цепочек сохранялись в памяти, сортировались в памяти по конечным значениям. В ходе атаки противник берёт шифртекст (хэш-значение) и повторяет функцию до нахождения конечного значения цепочки. Сравнивая конечное значение со списком уже просчитанных, он может найти нужную цепочку и требуемый прообраз.

Применительно к шифрам TMK-атака позволяет перебирать только часть пространства поиска за счёт оптимизации по требуемому параметру. В случае если сообщения (файлы) с одним и тем же заголовком шифруются множественными ключами, такую ситуацию можно признать практичной. Если пространство поиска N = 2ⁿ (n = 128 для AES-128), то располагая шифрованием фиксированного открытого текста D_k различными ключами, необходимо перебрать только N / D_k точек в пространстве. Для этого нужно использовать t / D_k шифротаблиц вместо t, что означает уменьшение памяти до M = mt / D_k (где m — количество начальных-конечных точек в таблице Хеллмана). Затраты времени T = t / D_k · t · D_k = t² на основе исходной оптимизации Хеллмана (меньше проверок таблиц — больше точек с данными). Наконец, правило останова для матрицы N = mt² — состояние минимизации расходов покрытия матрицы в результате проявления эффекта парадокса дней рождения. Используя правило останова для матрицы и сокращая параметры m и t, получаем формулу оптимизации: N² = T(MD_k)².

Используя в качестве образца AES-128, атакующий за счёт 2³² доступных шифрований фиксированного текста на различных неизвестных ключах восстанавливает один из этих ключей предвычислением 2⁹⁶ шагов и 2⁵⁶ обращений к памяти для табличного хранилища размером 2⁶¹ байт и затрачивает в целом 2⁸⁰ шагов по времени для поиска ключа. Важным свойством является также то, что атака не является обязательно атакой с подобранным открытым текстом, так как конкретное значение открытого текста не важно. Для осуществления атаки быстрее, чем полным перебором, противник может найти, какое значение открытого текста наиболее часто используется в целевом приложении, собрать данные для различных ключей и провести атаку. Таким образом TMD-атака является более практичной, чем атака на связанных ключах (RKC).

Обе атаки требуют примерно одинаковых затрат и оборудования. Исследователи считают, что организация, способная потратить триллион долларов (что сопоставимо с размером годового оборонного бюджета США), может взломать AES-256 в сценарии RKC и подобных атак в течении года вычислений. Использование десятой части такого бюджета (100 миллиардов US$) достаточно для проведения TMK-атаки на AES-128 с 2³² целями. Такая атака потребует год предвычислений, после чего каждый новый ключ может быть вычисляем за 2⁸⁰ AES-операций, т.е. каждые 8 минут на таком "менее масштабном" суперкомпьютере. Исследователи рассматривают гипотетический проект такого компьютера, названный ими CAESAR (“Cryptanalytic AES ARchitecture”). Эта гипотетическая машина (как TWINKLE или TWIRL), хотя и находится за границей реально доступных ресурсов, но в отличие от "кофейников Шамира", опирается на существующую технологию. Некоторые предположения и близкие прогнозы авторов касаются памяти. Так, реалистично ожидать появления жёстких дисков размером 10-100 терабайт, которых в таком случае потребуется всего 3 · 10¹⁰ — 3 · 10⁹. Столько же потребуется и процессоров. Расходы энергии составят 4 тераватта, что превосходит годовое потребление энергии в США (3.34 тераватта), но развитие энергосберегающих вычислительных технологий позволяют несколько приблизить и эти границы.

В качестве перспективных факторов авторы рассматривают также:

• Продолжение действия закона Мура для ближайших десятилетий, хотя и с некоторым замедлением.
• Успехи в криптоанализе AES, снижающие сложность атак. Такие успехи являются спорадическими и непредсказуемыми, поэтому оценить влияние этого фактора сложно.
• Появление магнито-электронных (спинтронных) компьютеров со значительно сниженным энергопотреблением.
• Появление оптоэлектронных компьютеров, значительно снижающих энергопотребление для массированных вычислений.
• Появление 3D-оптических накопителей. Уже сейчас достижим размер в 1 терабайт для дисков, аналогичных DVD. Возможно появление 100-терабайтных носителей.
• Распространение квантовой голографии. В 2009 году уже был продемонстрирован результат возможности записи 3 эксабайт (2^61.5 байт) на квадратный дюйм.

По мнению исследователей, проект гипотетического суперкомпьютера CAESAR демонстрирует узкие места в затратах энергии и количестве памяти, но свидетельствует о снижении оценок практической стойкости AES в долговременной перспективе.

Источник: Cryptology Eprint Archive

30.12 // EFF добилось частичного возобновления процесса против АНБ в деле о массовом прослушивании в США

29 декабря, девятый окружной апелляционный суд Сан-Франциско заблокировал попытки правительства закрыть дело о массовом прослушивании граждан США, которое было инициировано Фондом Защиты Электронных Рубежей (EFF) в процессе Джюэла против АНБ (Агентства Национальной Безопасности США). Слушания по этому вопросу будут возобновлены.

Суд постановил, что Джюэл привёл достаточно свидетельств о программе массового прослушивания без ордеров для того, чтобы продолжить процесс. Судьи отвергли аргументы властей, которые пытались представить заявления о широкоизвестной программе шпионажа и доказательства, найденные в здании на Фолсом-стрит в Сан-Франциско, слишком спекулятивными.

"С момента первого появления на свет программы массового прослушивания, мы боролись за то, чтобы суд вынес решение о том, является ли она легальной" — сказала директор EFF по правовым воросам Синди Кон. "Сегодня девятый округ дал нам этот шанс и мы ожидаем доказательства неконституционности данной программы и нелегальности нарушения прав миллионов рядовых американцев".

В этот же день суд поддержал отказ в другом процессе EFF, направленном против массового прослушивания — деле Хэптинга против AT&T, которое было первым иском против телекоммуникационной компании на предмет её вовлечённости в массовое прослушивание внутри страны. Суд постановил, что так называемый "иммунитет с обратной силой", одобренный Конгрессом для того, чтобы остановить пользователей, подающих иски против компаний, является конституционным, в частности, поскольку требования в процессе Джюэла против АНБ остаются неразрешёнными.

"Предоставляя иммунитет, имеющий обратную силу, для телекоммуникационных компаний, соучаствующих в программе прослушивания без ордеров, Конгресс отказывается от своих обязательств перед американскими гражданами", заявил главный представитель EFF Курт Опсал. "Сегодняшнее решение, подтверждающее, что права телекоммуникационных компаний выше прав их пользователей, является разочаровывающим".

Это постановление появилось спустя почти шесть лет после первого раскрытия программы прослушивания без ордеров, опубликованного в Нью-Йорк Таймс 16 декабря 2006 года. EFF продвинулось в деле Джюэла в северном федеральном судебном округе Калифорнии. Ожидается, что следующей линией защиты со стороны властей будет давление на тему привилегий государственной секретности, но этот аргумент уже отвергался в схожих судебных случаях.

Источник: Центр по связям со СМИ организации EFF

29.12 // Необходимость использования длинных отпечатков ключей в GnuPG

Asheesh Laroia опубликовал сообщение о быстром способе нахождения коллизий к коротким отпечаткам ключей в GnuPG. Он сообщает о том, что может в течении нескольких часов сгенерировать отпечатки для любого ключа на рядовом компьютере и отказывается от публикации программы якобы из-за возможного ущерба из-за спуфинга серверов ключей. Поиск вторых прообразов для коротких отпечатков позволяет создать ключ с коротким отпечатком, таким же как у заданного ключа.

Однако, ничего нового в этой особенности нет и уязвимостью в GnuPG это не является. Пример более ранней реализации в рассылке Fulldisclosure. Использование легкозапоминаемых коротких 32-битных идентификаторов — коротких отпечатков исторически сохранилось с 1992 года (программа PGP), когда подбор прообразов был возможным, но вычислительно трудным на общедоступных компьютерах. В соответствии со стандартом OpenPGP при проверке ключей коллизии в коротких отпечатках не должны приводить ни к каким нежелательным результатам, однако в некоторых оболочках и серверах обработка таких событий может быть реализована неправильно.

Патч, который даёт предпочтение длинным отпечаткам, откладывался разработчиками как несущественный, но он внесён во все ветки последних версий GnuPG. Пользователям рекомендуется доверять только полным отпечаткам ключей и быть осторожными при выводе результатов поиска с серверов, которые осуществляют поиск только по коротким отпечаткам.

Источник: AshesshWorld

22.12 // Внеплановый даунтайм

Многие могли обнаружить, что в течение почти целых суток сайт был недоступен. Я сам это заметил только сегодня днём (перестав получать письма) и тут же связался с хостинг-провайдером. Выяснилось, что ночью нашу хостинг-площадку переносили на новый сервер, однако что-то пошло не так, и её активация на новом месте очень сильно затянулась...

В общем, всё в порядке, сайт не закрыли, администрация пока по-прежнему на свободе. Приношу извинения за провайдера за доставленные неудобства.

17.12 // Исправление уязвимостей в Tor 0.2.3.10-alpha и 0.2.2.35

Всем пользователям Tor необходимо обновиться из-за нахождения переполнения кучи в работе с памятью. Конкретного эксплойта неизвестно, но авторы считают, что любая уязвимость такого рода может потенциально приводить к исполнению произвольного кода.

В действительности, теоретический эксплойт возможен лишь при определённых настройках Tor. Злоумышленник должен обратиться к SOCKS-порту Tor, который у большинства пользователей ограничен локальным хостом, если только они не предоставляют доступ к своему Tor-процессу по сети. При такой настройке подразумевается работа tor-процесса не в качестве сервера (tor-узла), а лишь в качестве клиента совместного доступа (варианта SOCKS-прокси).

Другой вектор атаки может быть реализован если Tor-клиент настроен на выход в сеть через сторонний SOCKS-прокси. Злоумышленник должен иметь контроль над данным прокси-сервером, организовать атаку "человека-посредине" или как-то иначе осуществить соединение с SOCKS-Tor-портом.

В настройках по умолчанию для большинства пользователей данная уязвимость не представляет угрозы.

Источник: The Tor Blog