标记为“密码学”的条目

第45页第9页

第八届电影情节威胁大赛冠军

4月1日,我宣布第八届电影情节威胁大赛:

我想要一个电影情节威胁这显示了加密的弊端。(对于那些不知道的人,电影情节威胁是一个可怕的威胁故事,它将成为一部伟大的电影,但对于周围的安全策略来说太具体了。比赛历史在这里我们早就听说了互联网四骑士启示录——恐怖分子,毒品贩子,绑匪,还有儿童色情作品。(或者他们可能是恐怖分子,恋童癖者,毒品贩子,和洗钱者;我永远记不起来了。)试着变得更具独创性。没有什么是科学虚构的;今天的技术或假定的技术。

5月14日,我宣布五名半决赛选手。投票结果出来了,获胜者是托尼克

2020年11月6日,总统选举的早晨。这将是第一次由智能手机和笔记本电脑投票的选举。预计将有创纪录的投票率。

现场直播的结果遍布各地,令人兴奋不已。Twitter,电视,应用程序和网站都显示投票数。这是一场领先候选人之间的激烈竞争,直到上午9点左右,第三位候选人开始迅速缩小差距。他是一个不知名的独立人士,怀疑与多个恐怖组织有联系。当他参加投票的时候,大家都很愤怒,但当他不进行任何竞选活动时,情况很快就平息了。

据预测,到上午11点,独立党将获胜,软件在下午3:22给他打电话。

4岁时,该软件制造商的首席执行官正在接受CNN的采访。有人指责从贿赂到漏洞,再到对结果负责的黑客。要求进行审计和重新清点。有些人甚至要求公开这些数据。首席执行官平静地解释说,没有审计或重新计算。系统是端到端加密的,所有投票都是匿名加密的。

面试官惊呆了,静静地坐在那里。当他最终开口时,他说:“我们刚刚选举了一名恐怖分子为美国总统。”

为了记录,尼克P是一个近距离的亚军。

祝贺你,TonyK。通过电子邮件联系我,我会给你送上你精彩的奖品。

以前的比赛。

编辑添加(6/14):斜线点线.

6月13日发布,2015年下午12:11·查看评论188滚球网站

针对diffie-hellman密钥交换的logjam(和另一个)漏洞

僵局是针对TLS中使用的Diffie-Hellman密钥交换协议的新攻击。基本上:

Logjam攻击允许中间人攻击者将易受攻击的TLS连接降级为512位导出级加密。这允许攻击者读取和修改通过连接传递的任何数据。这次袭击让人想起怪物攻击,但这是由于TLS协议中的一个缺陷而不是一个实现漏洞,攻击Diffie-Hellman密钥交换而不是RSA密钥交换。攻击会影响任何支持德希出口密码,并影响所有现代网络浏览器。前100万个域名中的8.4%最初易受攻击。

这里是学术论文.

修补漏洞的一个问题是打破事物

在有利的方面,由于与谷歌等科技公司协商,漏洞基本上得到了修补。现在或即将推出的Chrome更新,火狐和其他浏览器。坏消息是,修复使许多网站无法访问,包括密歇根大学的主要网站,许多研究人员认为建立安全漏洞。

这是版本降级攻击的常见问题;修补它们会让你和那些没有修补的人不相容。这就是媒体的弱点 聚焦 .

更有趣的是,研究人员发现的另一个弱点是:

数百万的HTTPS,SSH和VPN服务器都使用相同的素数进行diffie-hellman密钥交换。从业者认为只要为每个连接生成新的密钥交换消息,这是安全的。然而,数字字段筛选的第一步——打破diffie-hellman连接的最有效算法——只依赖于这个素数。在第一步之后,攻击者可以快速断开各个连接。

研究人员认为国家安全局一直在使用这次攻击:

我们针对最常见的用于TLS的512位prime进行了此计算,并证明logjam攻击可用于将连接降级到支持80%的TLS服务器。德希出口.我们进一步估计,一个学术团队可以打破768位素数,一个民族国家可以打破1024位素数。打破单身,Web服务器使用的最常见的1024位prime允许被动窃听前100万个HTTPS域中18%的连接。第二个prime允许对66%的VPN服务器和26%的SSH服务器的连接进行被动解密。仔细阅读已发表的《国家安全局泄密》显示,该机构对虚拟专用网络的攻击与实现这一突破是一致的。

记住詹姆斯·班福德的2012评188滚球网站论关于国家安全局的密码分析能力:

据另一位参与该项目的高级官员说,几年前,国家安全局在密码分析能力方面取得了巨大突破,或断裂,世界各国政府以及美国许多普通计算机用户使用的复杂的加密系统令人费解。结果,这位官员说:“每个人都是目标;每个有沟通能力的人都是目标。”

[…]

突破是巨大的,这位前官员说,不久之后,该机构对该项目采取了强硬措施,甚至在情报界和国会。他说:“只有主席和副主席以及每个情报委员会的两名参谋长被告知此事。”原因何在?“他们认为这一计算突破将使他们有能力破解当前的公共加密。”

还记得国家情报局局长詹姆斯·克拉珀对2013年的介绍。”黑预算“:

也,我们正在投资突破性的密码分析功能,以击败对手的密码术并利用互联网流量。

这是一个合理的猜测,这是巴姆福德的消息来源和克拉珀都在谈论的。这是一次需要大量预先计算的攻击——这正是国家情报局所希望的。

但这一要求也说明了它的局限性。国家安全局不会把这种能力放在像61A室在AT&T的旧金山办公室:预计算表太大,能力的敏感性太高。更有可能,分析师通过其他方法识别目标,然后在Xkeyscore等数据库中按目标查找数据。然后,他将找到的任何密文发送到密码分析和利用服务(CES)组,如果它能使用这个和其他技术,它就会解密。

罗斯安德森写过这个本月早些时候,几乎可以肯定地引用斯诺登的话:

至于加密能力,很多东西在摄入后会自动解密(例如使用“被盗证书”,大概是通过黑客手段获得的一个私钥)。否则,分析师将密文发送给CES,他们要么解密,要么说不能。

要求分析师不要思考这一切是如何运作的。这个引用也适用于NSA员工:

切尔滕纳姆的GCHQ综合设施制定了严格的指导方针,格洛斯特郡,关于如何讨论与解密相关的项目。分析师们接到指示:“不要询问或猜测牛头运行的来源或方法。”

我记得我在国家安全局的CES文件中看到的同样的指示。

再一次,国家安全局已经提出安全前的监视.它从不费心告诉我们,我们使用的许多“安全”加密系统是不安全的。我们不知道其他国家情报机构独立发现和使用了什么袭击。

好消息是现在我们知道重用素数是个坏主意,我们可以停止这样做。

编辑添加:DH预计算很容易适合定制ASIC设计,而且是很容易输送的。使用比特币采矿硬件粗略比较一下,这意味着几个数量级的加速。

编辑添加(5/23):好分析密码学。

编辑添加(5/24):好解释马修·格林。

发表于5月21日,2015年上午6:30·查看评论188滚球网站

第八届电影情节威胁大赛半决赛选手

4月1日,我宣布了第八场电影情节威胁竞赛:演示加密的邪恶。

今年提交的好文章不多。可能这场比赛已经开始了,也没有多少兴趣了。另一方面,令人欣慰的是,没有太多的加密电影情节威胁。

不管怎样,这是半决赛选手。

  1. 儿童色情制品.

  2. 轰炸美国国家安全局.

  3. 酷刑.

  4. 恐怖分子和疫苗.

  5. 选举制度.

在这里按数字投票;投票在月底结束。

比赛。

以前的比赛。

发表于5月14日,2015年11:26 PM·查看评论188滚球网站

业余爱好者制作业余密码术

任何人都可以设计一个他自己不能破解的密码。这就是为什么你应该一致地不信任业余密码术,为什么你只应该使用已经发布的算法来进行广泛的密码分析。所有的密码学家都知道这一点,但非密码学家却没有。这就是为什么我们在实战系统中反复看到糟糕的业余密码术。

最新的是开放式智能电网协议中的密码技术,真是太糟糕了,好笑。从

智能电网中的哑密码:开放式智能电网协议的实用密码分析

Philipp Jovanovic和Samuel Neves

摘要:本文分析了开放式智能电网协议(OSGP)中使用的密码技术。OSGP部署的认证加密(ae)方案是RC4和家庭自制MAC的非标准组合,“OMA文摘”。

我们提出了几种针对OMA摘要的实用密钥恢复攻击。第一个也是基本的变体只需向OMA摘要式Oracle查询13次,时间复杂度可以忽略不计。一个更复杂的版本打破了OMA摘要,只有4个查询,时间复杂度约为2^25个简单操作。不同的方法只需要一个任意有效的纯文本标记对,平均恢复密钥144消息验证查询,或一个密文标记对和168密文验证查询。

由于加密密钥是从OMA摘要使用的密钥派生的,我们的攻击破坏了OSGP的机密性和真实性。

我仍然相关的1998年文章:“给业余密码设计师的备忘录以及我1999年的论文加密蛇油.

威胁报文章.博宁波音邮递.

注:第一句话被称为“施耐尔定律”,尽管感情是188滚球网站老很多.

5月12日发布,2015年上午5:41·查看评论188滚球网站

关于国家安全局能力的更多信息

罗斯安德森总结在普林斯顿的一次会议上,爱德华·斯诺登出席了会议。

第三,这些泄露让我们对情报分析员的工作流程有了一个清晰的了解。她将主要关注xkeyscore,这是5eyes comint的谷歌;这是一个联邦系统,它不仅从5眼的自有资产中收集大量信息,而且从国家安全局合作或为获取信息付费的其他国家收集大量信息。数据被“吸收”到一个巨大的滚动缓冲区中;分析师可以运行联合搜索,使用选择器(如IP地址)或指纹(可以与流量匹配的东西)。还有其他这样的系统:“跳舞绿洲”是中东版。一些xkeyscore资产实际上是受到损害的第三方系统;存在多个根SMS服务器的情况,这些服务器在适当的位置被查询,结果被排除在外。其他方面涉及大量的基础设施,像Tempora一样。如果Xkeyscore中的数据标记为感兴趣,他们被移到了平瓦勒,准备纪念5年以上。这是MDR(海量数据存储库,现在更巧妙地重新命名了任务数据存储库),比如犹他州。目前储存落后于摄入。xkeyscore缓冲时间仅取决于卷及其管理安装的存储,加上他们过滤掉的东西。

至于加密能力,很多东西在摄入后会自动解密(例如使用“被盗证书”,大概是通过黑客获取的私钥)。否则,分析师将密文发送给CES,他们要么解密,要么说不能。没有“哇”密码分析的证据;是偷钥匙,或植入物,或预测的RNG或供应链干扰。对RC4进行了密码分析,但不是椭圆曲线加密,而且对于其他常用的算法没有任何漏洞。当然,一些产品的供应商已经被联合起来,值得注意的是Skype。本土加密通常会有问题,但适当实施的加密使该机构无法进入;带有rsa 1024的gpg密文作为失败返回。

[…]

在设计和实现加密时,我们还可以从这些披露中学到什么?好,阅读披露内容并用你的大脑。为什么GCHQ费心从Gemalto偷冰岛的所有SIM卡钥匙?除非他们能接入本地的GSM无线链路?看看美国或英国大使馆的屋面板,这看起来像混凝土,但实际上对射频是透明的。因此,在设计一个协议时,问问自己,本地侦听器是否是一个严肃的考虑因素。

[…]

在政策方面,其中一个让人大开眼界的是智能分享的规模——不仅仅是5只眼睛,但是,一旦你计算出所有与国家安全局分享东西的国家,15个、35个甚至65个。那么治理是如何工作的呢?很简单,国家安全局不关心政策。他们的OGC有100名律师,他们的工作是“实现使命”;找出法律的漏洞或新的解释,让事情得以完成。你如何抑制这种情况?你能用其他国家的法庭吗?有更强有力的人权法吗?先例并不鼓舞人心。新西兰GCSB与孟加拉国机构分享情报,而新西兰政府正在调查他们侵犯人权的行为。德国的拉姆斯坦参与了所有的无人机杀戮,因为光纤需要保持足够低的延迟,以供远程车辆飞行员使用。问题是情报机构想办法保护当局不受指控,这不应该发生。

[…]

幽灵的律师们玩游戏,比如说他们丢弃了内容,但是,如果你知道IP地址和文件大小,你经常会得到它;IP地址对于大多数Intel/LE的使用来说是一个足够好的笔名。他们否认他们外包进行合法套利(例如NSA监视英国人,GCHQ通过监视美国人来报答他们。他们说的是真的吗?理论上,国家安全局和合作机构之间会有一份谅解备忘录,规定尊重彼此的法律,但也有一些警告,例如一个机密版本,上面写着“这不是一个有约束力的法律文件”,可悲的事实是,法律和立法者失去了让情报界的人负责的能力,也失去了对它的兴趣。

值得一读。

5月11日发布,2015年上午6:26·查看评论188滚球网站

第八届电影情节威胁大赛

今天是4月1日,是时候参加另一场电影情节威胁大赛了。今年,主题是密码战争II。强大的加密是邪恶的,因为它阻止了警察破案。(不,真的——这就是论点。)联邦调查局局长詹姆斯·科米将很难用他的衷心的连祷电影情节威胁:

科米说:“我们正朝着一个地方漂去,那里有很多人都会含泪看着我们。”然后说“你不能做什么?”我女儿失踪了。你有她的电话。你什么意思?你不能告诉我她失踪前在和谁发短信?”

[…]

科米说:“我听说科技主管们说隐私应该是最重要的美德。”“当我听到这个消息时,我闭上眼睛说,“试着想象那个世界是什么样的,看不到恋童癖者,看不到绑匪,看不到毒贩。”

更多 科米 在这里

来吧,科米。你也许可以吓唬像代表。异星战场说完这些话,但如果你想赢得这场比赛,你必须做得更好。我们听到这个同样的东西联邦调查局局长路易斯·弗里一千九百九十六一千九百九十七.

这是比赛:我想要一个电影情节威胁这显示了加密的弊端。(对于那些不知道的人,电影情节威胁是一个可怕的威胁故事,它将成为一部伟大的电影,但对于周围的安全策略来说太具体了。比赛历史在这里我们早就听说了互联网四骑士启示录——恐怖分子,毒品贩子,绑匪,还有儿童色情作品。(或者他们可能是恐怖分子,恋童癖者,毒品贩子,和洗钱者;我永远记不起来了。)试着变得更具独创性。没有什么是科学虚构的;今天的技术或假定的技术。

条目被限制在500个字以内——我检查过——并且应该在评论中发布。188滚球网站月底,我会选五个左右的半决赛选手,我们都可以投票选出获胜者。

奖品将是第二版20周年纪念版的签名副本。应用密码学,以及15周年纪念版秘密和谎言,这两本书都是今年由威利出版的,目的是要在数据与歌利亚潮流。

祝你好运。

4月1日发布,2015年上午6:33·查看评论188滚球网站

对信息完整性的威胁

每年,国家情报局局长发表了一份非保密的“全球威胁评估”。报告两周前出版的。“网络”是列出的第一个威胁,包括你对这样一份报告的期望。

更有趣的是,这个关于信息完整性的评论:188滚球网站

关于网络威胁的大多数公众讨论都集中在信息的保密性和可用性上;网络间谍活动破坏了机密性,而拒绝服务操作和数据删除攻击会破坏可用性。未来,然而,我们还可能看到更多的网络操作将改变或操纵电子信息,以损害其完整性(即准确性和可靠性)而不是删除它或中断对它的访问。高级政府官员(文职和军事)的决策,公司高管,投资者,否则,如果其他人不能信任他们正在接收的信息,他们将受到损害。

这直接说明需要强大的密码技术来保护信息的完整性。

发表于3月13日,2015年上午6:05·查看评论188滚球网站

异常:针对SSL的安全回滚攻击

本周,我们 有学问的 关于 一种称为“怪胎”的攻击——对RSA-export密钥的分解攻击——可以破坏许多网站的加密。基本上,一些站点的安全套接字层技术实现,或SSL,包含强加密算法和弱加密算法。连接应该使用强算法,但在许多情况下,攻击者可以强制网站使用较弱的加密算法,然后解密交通。从技术:

最近几天,对1400多万支持安全套接字层或传输层安全协议的网站进行扫描后发现,其中36%以上的网站容易受到解密攻击。开发过程大约需要7个小时,每个站点的成本仅为100美元。

这是一类我称之为“安全回滚”攻击的一般攻击。基本上,攻击者强制系统用户恢复到其协议的不安全版本。想想你上次用信用卡的时候。验证程序涉及零售商的计算机与信用卡公司的连接。如果你偷偷溜到大楼的后面切断了零售商的电话线怎么办?最有可能的是零售商还是会接受你的信用卡,但默认的做法是用手印出来,或者看看你的签名。结果是:使用被盗的卡会更容易。

在这种情况下,安全漏洞是故意设计的。马修·格林

早在20世纪90年代初,当SSL在Netscape公司首次发明时,美国保持着严格的制度出口管制对于加密系统.为了在美国境外分发加密,公司被要求故意“削弱”加密密钥的强度。对于RSA加密,这意味着允许的最大密钥长度为512位。

512位的导出级加密是dumb和dumber之间的折衷方案。理论上,它的目的是确保国家安全局有能力“访问”通信,尽管据称提供的密码仍然“足够好”用于商业用途。或者如果你更喜欢现代术语,把它当作原版金万能钥匙."

支持出口级密码的需求导致了一些技术挑战。美国以来需要同时支持两种功能的服务器弱密码,SSL设计者使用“密码套件”协商机制来确定双方都能支持的最佳密码。理论上,这将允许“强”客户机与支持它们的服务器协商“强”密码套件,同时仍然为中断的外部客户机提供兼容性。

这就是问题所在。弱算法仍然存在,可被攻击者利用。

修复即将到来。像苹果这样的公司快速推出补丁。但这种脆弱性已经存在了十多年,几乎可以肯定的是,国家情报机构和罪犯都在使用它。

这是政府授权的一般问题。后门密钥托管,“金钥匙或者你想怎么称呼他们。我们不知道如何设计第三方访问系统来检查道德;一旦我们建立了这样的通道,然后我们必须确保只有好人才能做到。我们不能。或者,引用这个经济学家“……数学同样适用于正义和不正义;西方政府可以利用的一个缺陷对任何发现它的人都是脆弱的。”

本文以前出现过在Lawfare博客上。

编辑以添加:Microsoft Windows是脆弱的.

发表于3月6日,2015年上午10:46·查看评论188滚球网站

“秘密削弱密码系统”

新报纸:“秘密削弱密码系统“布鲁斯·施耐尔,188滚球网站马修·弗雷德里克森,小野忠雄,还有托马斯·里斯坦。

摘要:过去几年的披露凸显了理解加密系统恶意和秘密弱化的重要性。我们提供了这个领域的概述,使用一些历史示例来驱动弱点分类法的开发。这允许比较不同的破坏方法。我们使用这一分类法对削弱系统的一系列潜在途径进行了分类,并讨论未来需要什么研究来提供破坏弹性密码术。

编辑添加(3/3):新闻文章.

2月25日发布,2015年上午6:09·查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.