Wie kan er Frans?

bablefish ? :P

Het komt er op neer dat de hedendaagse computers op geen
enkele wijze geengineerd zijn voor het secure verwerken van
data. Dat is iets dat iedereen in de security gemeenschap
eigenlijk wel weet, en dat is iets dat discussies als
Windows vs. Linux eigenlijk overbodig maakt. Dit soort
onderzoek toont aan dat we gewoon geen idee hebben hoe we
secure data kunnen processen.

Het stukje van de redactie van Security.nl is een goede
samenvatting van het stuk. Intel was onbereikbaar voor
commentaar, en een Leuvense deskundige, Quisquater, zegt dat
de enige oplossing is om speciale crypto-hardware te
gebruiken ipv de gewone processor.
Ik denk dus dat gebruik van tokens en smartcards die zelf
keys genereren een oplossing is, althans als die niet de
beveiliging hebben opgeofferd aan de performance.

Voor de duidelijkheid, het is niet zo dat het nu mogelijk is
om RSA keys sneller te kraken als je geen toegang hebt tot
de processor waar op dat moment iets wordt onsleuteld met de
prive sleutel. De attack is een zgn “side-channel attack”
en je moet dus wel toegang hebben tot de processor die met
de private key iets aan het ontsleutelen is.



http://eprint.iacr.org/2006/351

Bedankt! Scheelt mij weer zoekwerk.

Bouwer? Lange?
:-)

Betekend dit nu ook dat dingen zoals Bitlocker in een paar
seconden/uren/weken kunnen worden gekraakt? Of
DriveEncryption in z'n geheel, staat dat nu op losse
schroeven. Ik was van plan om hier op het werk onze
fileserver met dm-crypt te gaan encrypten, vooral omdat wij
met informatie werken waarin de overheid wel eens
geinteresseerd zou kunnen zijn. Maar als blijkt dat
encryptie ervan toch zo omzeild kan worden dan ga ik er niet
aan beginnen!

Rens

Overigens, als de hacker toegang heeft tot je processor, dan
hebben ze in de meeste gevallen toch ook al toegang tot de
opslag van je private key's. Die zijn weliswaar versleuteld
en omslachtig en beveiligd opgeslagen, maar als je weet hoe
dat werkt dan is de key te achterhalen.

De vertaling:

Het vertrouwen dat Internet gebruikers in hun systemen
hebben gehad om gegevens te beveiligen is altijd relatief
geweest. Het vertrouwen zou nu wel eens volledig kunnen
verdwijnen als de microprocessor industrie en de
leveranciers van encryptie software geen antwoord vindt op
een nieuwe soort aanval, die ontzettend efficient is. Deze
aanval werd ontdenkt door de Duitse cryptoloog Jean-Pierre
Seifert (van de universiteit van Haïfa en Innsbruck).
E-commerce is door deze ontdekking bedreigt maar in het het
algemeen is elke uitwisseling van gegevens die gebruik maakt
van asymetrische codes voor het versleutelen, handtekenen of
garanderen van de numerieke integriteit bedreigt.

In het nog confidentiële artikel, bespreekt de onderzoeker
en zijn collega's de wijze waarop ze met één poging, in
enkele milliseconden bijna de volledige encryptiesleutel van
512 bits hebben kunnen achterhalen. Ter vergelijking, de
grootste sleutel die tot nu toe gekraakt is was 640 bits en
heeft gedurende 3 maanden 80 microprocessoren van 2,2 GHz
beziggehouden. (Bekend gemaakt in november 2005)

Sinds de bekendmaking deze zomer op de server van het IACR
(International Association for Cryptology Research) over de
theoretische haalbaarheid van zo een aanval lopen de
microprocessor producenten op hun tandvlees. Bijna alle
chips in de quasi-totaliteit van het IT park zijn kwetsbaar.
Het gaat zelfs zover dat het hoofd veiligheid van van Intel,
wereldwijde nummer 1 in microprocessoren, laten medelen
heeft dat hij onbereikbaar is gedurenden meerdere weken. Het
is zo dat eventuele aanvallen niet kunnen afgeweerd worden
op klassieke systemen met het verlengen van de publieke
sleutels.

Jean-Pierre Seifert heeft de zaak anders aangepakt. De
robuustheid van de sleutels was te groot om het probleem
wiskundig aan te pakken en zo de geheime private sleutel te
achterhalen vertrekkende van de publieke sleutel.
Hij is gaan onderzoeken hoe de microprossesor de intern de
geheime data leest. Hij vond dat de modus operandi de zelfde
was als die van de chips maar geoptimaliseerd was voor
snelle berekeningen. Dit is wat de zaak kwetsbaar maakt, de
veiligheid is opgeofferd voor de performantie.

Samengevat komt het hierop neer: Om sneller te gaan
functioneert de processor in parralel en beschikt hij over
een voorspellend systeem voor de operatie die behandeld
wordt. Als de voorspelling correct is wordt het proces
gevoelig verhoogd, als ze fout is wordt de elementaire
operatie opnieuw uitgevoerd. Het "volstaat" te meten hoeveel
tijd er verstrijkt tussen de verwerking van de serie nullen
en eenen waaruit de versleuteling bestaat en de voorspelling.

Deze bedreiging die de naam van "Branch Prediction Analysis"
(BPA) draagt was reeds gekend maar vroeg tot nu toe
meerdere pogingen om statistich de sleutel te achterhalen.
Hier door was deze techniek in praktijk niet bruikbaar. De
doorbraak van Jean-Pierre Seifert bestaat er in dat er maar
eenmaal een analyse nodig is. De kracht van de techniek
bestaat uit het feit dat het voorspellende proces,
oorspronkelijk om de zaak te versnellen, niet beschermd is.

Een klein "mol-programma" zou dus eventueel in alle
discretie kunnen luisteren naar de chips, en de sleutel
terugzenden naar de hackers, de inlichtingen diensten of
spionnen in dienst van de concurrentie.

We zijn nog niet helemaal aan dat scenario toe. "We hebben
nog geen ontcijferingsprogramme ontwikkeld dat online
beschikbaar is) verdedigd Jean-Pierre Seifert zich.

Maar hij schat wel dat wanneer hij begin 2007 op de volgende
RSA conferentie zijn methode bekend maakt zulke programma's
in de daaropvolgende weken zullen opduiken.

De cryptologie specialisten zijn het er over eens dat dit
een serieuze bedreiging is. Anoniem heeft een van de
wereldwijde specialisten op het vlak van publieke encryptie
toegegeven dat de enige oplossing is de conceptie van onze
microprocessoren opnieuw moet bekeken worden. Een tijdelijke
oplossing is dat men er voor zorgt dat gevoelige
toepassingen niet in parallel draaien met standaard
operaties op een zelfde systeem. Dit is eenvoudiger gezegd
dan gedaan in een standaard werkomgeving. Het blijven
trouwens maar halve oplossingen die daarbij nog is de
systemen vertragen.

Jean-Jacques Quisquater (Katholieke Universiteit Leuven,
België) herinnert er aan dat de Amerikaanse militaire normen
al enige tijd het probleem met de analyse op
berekeningstijd onderkennen. Volgens hem is men de toekomst
uitgerust met speciale processoren die gespecialiseerd zijn
in security functies. "Maar dat zal nog enkele jaren
duren", merkt hij op.

"We weten goed dat de undefinedundefined niet erg
betrouwbaar zijn, dat de cryptologische operaties uitgevoerd
met een specifieke module in een beschermde ruimte langs de
serverzijde", beaamt Jacques Stern, directeur van het
informatica labo van de hoge school van Parijs. Een
preventie die voor de doorsnee internaut onhaalbaar is.

David Naccache (van de université Paris-II) erkent '"er is
geen openhartoperatie mogelijk" : Aan de module van het
voorspellend systeem komen zal ander essentiële functies
beïnvloeden.

Op de eerste plaats wenst Intel kort en bondig te reageren
met het feit dat de volgende versie van OpenSSL, een open
source pakket voor de beveiliging van gegevens de bedreiging
zal beantwoorden door de voorspellende module
uitteschakelen. Dit zou de processor 4 maal vertragen zegt
Jean-Pierre Seifert, en bewijst hoe hopeloos Intel is.

Jean-Pierre Seifert is zelf een oud-medewerker van Intel en
diens concurrent Infineon, en werkt als academicus. Hij
zoekt momenteel naar een oplossing voor het probleem dat hij
ontdekt heeft en hij zegt dat het wel enige tijd zalduren
alvorens die gevonden is.

Zeker is dat het aantal hacking scenario's enorm is en dat
een eenvoudige patch hier geen soelaas kan bieden.
-----------------
Ik heb het zo goed vertaald als ik kon, meer kan ik niet doen.

hoe zit het met het updaten van de microcode van de cpu
tijdens booten ? Intel kan zo een patch (workaround) uitbrengen.

Wel jammer dat ze niet meer geavanceerde info kunnen geven.Maar wel
intresant om meer over te lezen over het kraken van crypto.

http://cryptome.org/sbpa/sbpa.htm

Ben je bang dat ze je fileserver stelen?

Ja, ik ben bang dat ze m'n fileserver stelen, en daar hebben
we hier goede reden toe. Laten we zeggen dat er wel meer
rare dingen gebeuren die het grote publiek niet te weten
komt. Wij slaan hier o.a. biometrische gegevens op. Nu zijn
er wel strange beveiligings procedures maar encryptie is
daar (nog) niet een van. Dus wellicht dat iemand serieus op
mijn vraag kan reageren,, breekt deze methode ook sleutels
van b.v Twofish om data on disk te beveiligen?