标记为“密码学”的条目

第13页共45页

NSA/GCHQ被指控窃取比利时密码学家

在那里 一直 许多关于比利时密码学家让·雅克·奎斯夸特电脑被黑客入侵的消息,以及是否应该责怪国家安全局或GCHQ。有很多假设和夸张,主要与GCHQ 攻击反对比利时电信运营商Belgacom。

我持怀疑态度。不是攻击,但关于国家安全局或GCHQ的参与。我不认为在大多数学术密码研究中有很多操作价值,奎斯夸特没有参与实际操作密码的密码分析。我不会让一个不那么聪明的国家监视学术密码学家,但这更有可能是一次更传统的犯罪袭击。但是谁知道呢?更奇怪的事情发生了。

2月10日发布,2014年上午6:57查看评论188滚球网站

强力锁使用河豚

外面有一个新的勒索软件,动力锁(也称为prisonlocker)使用河豚:

PowerLocker可能被证明是一个更为强大的威胁,因为它将作为一个DIY恶意软件包在地下论坛上出售给任何能支付100美元的许可证的人,星期五的邮报警告说。密码锁,相比之下,是为一个犯罪团伙定制的。另外,PowerLocker还可能提供一些高级功能,包括禁用任务管理器的功能,注册表编辑器,以及Windows操作系统中内置的其他管理功能。屏幕截图和在线讨论还表明,较新的恶意软件可能包含保护,防止在虚拟机上运行时对其进行反向工程。

PowerLocker使用基于Blowfish算法的密钥对文件进行加密。然后将每个密钥加密到一个文件中,该文件只能由2048位专用RSA密钥解锁。研究人员说,过去几个月来,这些恶意软件一直在监视讨论。随着开发人员继续改进旧的密码锁标题,新的基于密码的勒索软件威胁的可能性出现了。上个月底,例如,抗病毒供应商Trend Micro的研究人员说,新版本的密码锁自我复制能力,允许它通过USB U盘传播.

发表于1月17日,2014年下午2:57查看评论188滚球网站

防范密码后门

我们已经知道国家安全局想在互联网上窃听。它有秘密协议通过电信公司可以直接访问大量的互联网流量。它有着巨大的系统,如混乱,混乱,还有湍流,把一切都过滤掉。它可以识别密文——加密信息——并找出哪些程序可以创建它。

但美国国家安全局希望能够以尽可能接近实时的方式读取加密信息。它想要后门,就像网络罪犯和不那么仁慈的政府一样。

我们要想办法让他们更难相处,或者其他任何人,插入那些后门。

国家安全局的后门

20世纪90年代中期,联邦调查局试图将后门接入系统嵌入AT&T安全电话系统。这个加密芯片其中包括一个叫做leaf的东西:一个执法访问字段。这是用来加密电话对话的密钥,它用联邦调查局已知的特殊密钥加密,它是与电话交谈一起传送的。联邦调查局的窃听者可以截获树叶并解密,然后使用数据窃听电话。

但克利伯芯片面临着严重的反弹,几年后宣布解散。

在那场公开的战斗中输了,国家安全局决定得到它的后门通过诡计:由询问很好地,加压,威胁的,贿赂,或强制通过秘密 秩序.将军此程序的名称是布尔伦。

防御这些攻击是困难的。我们知道潜意识通道纤毛描记法研究表明,要保证一个复杂的软件不会泄露机密信息几乎是不可能的。我们从肯·汤普森的著名演讲中得知信任信托(首先在ACM图灵奖讲座上发表)你永远不能完全确定你的软件是否存在安全缺陷。

自从上个月Bullrun上市以来,安全部门在过去几年里一直在检查发现的安全漏洞,寻找蓄意篡改的迹象。Debian随机数缺陷可能是深思熟虑,但是2003年的Linux安全漏洞可能.双随机数发生器可能或不可能一直是后门。ssl 2.0的缺陷可能是诚实的错误.GSM A5/1加密算法几乎可以肯定故意地削弱。所有的通用RSA模块在野外:我们不知道。微软妗nsakey看起来像个冒烟枪,但老实说,我们不知道。

国家安全局如何设计后门

而将我们的数据发送到某个IP地址的独立程序无疑是任何黑客——从最低级的脚本kiddie高达国家安全局——我们电脑上的间谍,在一般情况下,劳动强度太大,不能工作。

对于像国家安全局这样的政府窃听者,微妙是至关重要的。特别地,三个特征很重要:

  • 发现率低。后门对程序正常运行的影响越小,更好。理想的,它根本不应该影响功能。后门越小,更好。理想的,它应该看起来像正常的功能代码。作为一个明目张胆的例子,将明文副本附加到加密副本的电子邮件加密后门比重用公共IV(初始化向量)中大部分密钥位的后门要差得多。

  • 可否认性高。如果被发现,后门看起来应该是个错误。这可能是一个单一的操作码变化。或者可能是“输入错误”常量。或多次“意外”重复使用一次性密钥。这就是我怀疑的主要原因,作为一个蓄意的后门,为什么这么多人不相信Duall EcE-DRBG后门是真的:它们都太明显了。

  • 最小的阴谋。知道后门的人越多,秘密越有可能泄露出去。所以,很少有人知道任何好的后门。这就是为什么最近描述的英特尔随机数生成器的潜在漏洞让我非常担心;一个人可以在面具生成过程中做出这种改变,没有人知道。

这些特征意味着以下几点:

  • 封闭源码系统更容易被破坏,因为一个开源系统会有更大的风险被发现。另一方面,一个拥有大量开发人员和草率版本控制的大型开源系统更容易被颠覆。

  • 如果一个软件系统只需要与自身进行互操作,这样就更容易被颠覆。例如,一个封闭的VPN加密系统只需要与同一个专有系统的其他实例进行互操作。这比必须与其他供应商的设备进行互操作的行业范围的VPN标准更容易被颠覆。

  • 商业软件系统更容易被颠覆,因为利润动机为公司按照国家安全局的要求行事提供了强有力的激励。

  • 大型开放标准机构制定的协议更难受到影响,因为很多人都在关注。由封闭标准机构设计的系统更容易受到影响,尤其是如果参与标准的人并不真正了解安全性。

  • 发送看似随机信息的系统更容易被破坏。破坏一个系统最有效的方法之一是泄漏关键信息——召回叶子——并随机修改未知数或者标题信息是最简单的方法。

后门防护设计策略

考虑到这些原则,我们可以列出设计策略。它们都不是万无一失的,但它们都是有用的。我相信还有更多的;这份清单并不意味着详尽,也不是这个话题的最后一句话。这只是一个开始讨论的地方。但是,除非客户开始要求具有这种透明性的软件,否则它不会起作用。

  • 供应商应公开其加密代码。,包括协议规范。这将允许其他人检查代码是否存在漏洞。的确,我们不确定我们看到的代码是否是应用程序中实际使用的代码,但秘密替代很难做到,迫使公司彻底撒谎,增加了共谋工作所需的人数。

  • 社区应该创建独立的兼容版本加密系统,以验证它们是否正常工作。我设想公司为这些独立版本付费,接受这类工作的大学是他们学生的良好实践。是的,我知道这在实践中很难做到。

  • 不应该有大师级的秘密。它们太脆弱了。

  • 所有随机数生成器应符合已发布和接受的标准。.破坏随机数生成器是破坏加密系统最容易检测到的方法。推论:我们需要更好的发布和接受RNG标准。

  • 加密协议应设计成不会泄露任何随机信息。如果可能,nonce应被视为键或公共可预测计数器的一部分。再一次,我们的目标是使在这个信息中巧妙地泄露关键信息变得更加困难。

这是个难题。我们没有任何技术控制来保护用户不受软件作者的伤害。

而软件的现状使得这个问题更难解决:现代应用程序在互联网上无休止地聊天,为秘密通信提供噪音和掩护。功能膨胀为任何想要安装后门的人提供了更大的“攻击面”。

一般来说,我们需要的是保证:确保一个软件完成它应该做的事情的方法。不幸的是,我们在这方面很糟糕。更糟的是,在这个领域没有太多的实际研究,而且它正在严重伤害我们。

对,我们需要法律禁止国家安全局试图颠覆作者和故意削弱密码术。但这不仅仅是关于国家安全局,法律控制不能保护那些不遵守法律和无视国际协议的人。我们需要通过增加他们被发现的风险来使他们的工作更加困难。对抗一个规避风险的对手,这也许足够好了。

本文以前出现过在WiReff.com上。

编辑后补充:我正在为我写的一篇关于这个主题的论文寻找已知或可能的故意漏洞实例的其他例子。如果你能想到一个例子,请在下面的评论中发表描述和参考。188滚球网站请解释为什么您认为该漏洞可能是故意的。谢谢您。

10月22日发布,2013年上午6:15查看评论188滚球网站

大规模MIMO密码系统

新的:“通过大规模MIMO进行物理层加密。”

摘要:我们提出了一种新的物理层加密技术,该技术是以大规模MIMO信道作为发送方和所需接收方之间的密钥。这不一定是秘密。目标是通过所需的发送器-接收器对实现低复杂度编码和解码,而窃听者的译码在复杂程度上是难以抑制的。通过将大规模多输入多输出系统映射到一个点阵,分析了译码的复杂度。我们证明了M-PAM调制的MIMO系统的窃听译码器等价于解决经典计算机和量子计算机都被认为具有指数复杂性的标准格点问题。因此,在普遍认为最坏情况下很难解决标准晶格问题的猜想下,与目前最常用的加密方法(如RSA和Diffie-Hellman)相比,所提出的加密方案具有更为强大的安全概念。此外,我们证明了该方案可以安全地进行通信,而无需预先共享秘密和很少的计算开销。因此,大规模MIMO系统通过利用无线信道的物理层特性,提供与最复杂的应用层加密形式相称的低复杂度加密。

mimo代表“多输入多输出”,我得查一下。

一般来说,我对这些系统的安全性并不乐观。每当非密码学家提出基于他们研究领域中困难的新问题的密码算法时,总是有相当容易的密码攻击。

所以,把这当作一个好的研究练习,为所有正在萌芽的密码分析员。

10月15日发布,2013年上午6:27查看评论188滚球网站

Linux/dev/random中的不安全性

新的:“带输入的伪随机数生成器的安全分析:/dev/random不可靠,是的,多迪斯,大卫·波切瓦尔,西尔文·鲁赫特,达米安·维格纳德,还有丹尼尔·威奇。

摘要:伪随机数生成器(prng)是一种确定的算法,它生成分布与均匀分布不可区分的数字。Barak和Halevi(BH)于2005年提出了一个正式的有投入的PRNG安全模型。此模型涉及一个内部状态,该状态使用(可能有偏差的)外部随机源刷新,以及从连续的内部状态输出随机数的加密函数。在这项工作中,我们扩展了BH模型,以包括一个新的安全属性,它捕获了在状态妥协后如何将输入数据的熵累积到内部状态。这一性质表明,即使熵以非常慢的速度注入系统,一个好的prng也应该能够最终从妥协中恢复。并表达了现有PRNG设计的真实预期行为。不幸的是,我们发现,巴拉克和哈雷维提出的模型和具体的PRNG建设都不符合这一新的财产,尽管遇到了由BH引入的较弱的鲁棒性概念。从实用的角度来看,我们还对两个Linux prng的安全性进行了精确评估,/dev/random和/dev/urandom。特别地,我们展示了几次攻击,证明根据我们的定义,这些prng并不健壮,不能正确地积累熵。这些攻击是由于熵估计和linux prng的内部混合函数的漏洞造成的。这些针对Linux prng的攻击表明它不满足安全性的“健壮性”概念,但目前尚不清楚这些攻击是否会在实践中导致实际可利用的漏洞。最后,我们提出了一个简单和非常有效的PRNG结构,在我们新的和更强的对抗性模型中证明是强大的。我们在这个构造和Linux prng之间提供了基准测试,这些基准测试表明,在从受损的内部状态恢复和生成加密密钥时,这个构造平均效率更高。因此,我们建议在使用带输入的prng进行加密时使用此结构。

10月14日发布,2013年下午1:06查看评论188滚球网站

keccak=sha-3吗?

去年,国家标准与技术研究所挑选出来的凯卡克作为沙河-3散列函数比赛的获胜者。对,我宁愿自己的绞纱已经赢了,但这是个不错的选择。

但是去年八月,约翰·凯尔西在谈话(幻灯片44-48相关)。基本上,降低了安全级别,对算法进行了一些内部更改,都是以软件性能的名义。

通常情况下,这没什么大不了的。但是根据斯诺登的文件显示国家安全局试图故意削弱密码标准,这是一笔巨大的交易。有太多的不信任在空中。NIST冒着发布一个无人信任的算法的风险,任何人(除了那些被强迫的)都不会使用该算法。

在这一点上,他们只需在提交和选择时对keccak进行标准化。

CDT有伟大的职位关于这个。

阿尔索斜线圆点线。

编辑添加(10/5):值得一读Keccak团队的回应在这个问题上。

当我写这篇文章时,我口误了NIST对算法做了“内部修改”。我太马虎了。凯卡克排列不变。NIST建议以性能的名义减少哈希函数的容量。Keccak的一个好特性是它的可调性很高。

我不认为国家安全局建议对国家标准与技术研究所进行修改。我也不相信这些变化会让国家安全局更容易破坏算法。我相信NIST在诚信方面做出了改变,其结果是更好的安全性/性能权衡。我对更改的问题不是加密,它是感性的。现在对国家安全局的信任太少了,这种不信任反映在NIST身上。我担心改变后的算法不会被一个可以理解的持怀疑态度的安全社区接受,因此没有人会使用SHA-3。

这是一个糟糕的结果。NIST在密码竞争方面做得很好:十年前与AES合作,现在与SHA-3合作。这只是国家安全局行动的另一个影响耗尽信任离开互联网。

10月1日发布,2013年上午10:50查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.