Последние новости

Добавить новость...

14.04 // Атака рикошетом и различители на основе подпространств для анализа хэш-функции Whirlpool

Mario Lamberger, Florian Mendel, Christian Rechberger, Vincent Rijmen и Martin SchlЁffer опубликовали подробную работу по использованию ряда техник в криптоанализе хэш-функции Whirlpool. В настоящее время идёт конкурс NIST на хэш-функцию SHA-3, на который авторы Whirlpool даже не подавали заявку, так как эта функция не соответствует ряду формальных критериев конкурса. Чем же актуальна эта работа?

Во-первых, полученный результат интересен с точки зрения общих критериев проектирования хэш-функций и может дать стимул к новым работам. Во-вторых, авторы подтверждают полезность новых критериев стойкости хэш-функций, в том чиле специально рекомендованных NIST для конкурса SHA-3 (См. подробности: здесь, здесь и здесь). В третьих, Whirlpool основана на байт-ориентированном шифре W, который является почти точной копией шифра AES-Rijndael, но с изменением размера блока до 512 бит. При этом авторы утверждают, что их работа показывает уязвимость в дизайне AES, так как на него распространяются аналогичные методы криптоанализа, что должно послужить в будущем более пристальному изучению структуры AES для создания новых блочных шифров (один из авторов этой работы — Vincent Rijmen является создателем AES). Наконец, функция Whirlpool успела получить некоторое распространение, как наиболее обоснованная альтернатива взломанным MD5 и SHA-1 и была единственной хэш-функцией, стандартизированной ISO/IEC с 2000 года, не опирающейся на дизайн MD4.

Криптографическая хэш-функция H отображает сообщение m, имеющее произвольную длину, в фиксированное по длине хэш-значение h. Избегая излишней формализации можно сказать, что криптографическая хэш-функция должна удовлетворять трём классическим требованиям стойкости: нахождению прообраза, нахождению второго прообраза и нахождению коллизий. Если длина хэш-значения на выходе функции равна N, то противник всегда сможет найти первый и второй прообразы методом перебора 2^N различных сообщений, а нахождение коллизий потребует 2^N/2 попыток за счёт парадокса дней рождения. Ранее считалось, что этих свойств достаточно для достижения идеальной стойкости.

Последующие исследования показали, что это не так. В ходе конкурса NIST на SHA-3 исследователи обратили внимание на (полу-) начальные коллизии, предколлизии и др. Любое проявление "поведения, отличного от ожидаемого для случайного оракула" стало рассматриваться как подозрительное, даже если уязвимость была показана в отношении функции сжатия, а не для полной хэш-функции.

Интересным результатом данной работы явилось успешное применение рикошет-атаки — разновидности дифференциального криптоанализа, значительным образом оптимизированного для взлома хэш-функций и в тоже время ставшего высокоуровневой моделью в их проектировании. Рикошет-атака может быть использована для получения разного типа коллизий и в тоже время она особенно успешна против простых байт-ориентированных структур на основе AES.

Вторым важным результатом работы стало введение и определение проблемы подпространств, как естественного расширения и формализации требований в вопросах предколлизий. Наконец, в этой работе показан различитель для полной функции сжатия Whirlpool и таким образом продемонстрировано первое отличие этой функции от идеальной модели.

Рикошет-атака была предложена Менделем и др. ранее для анализа хэш-функций, основанных на AES. Эта атака основана на дифференциальном криптоанализе. Дифференциальный криптоанализ — это один из основных инструментов в анализе симметричных криптопримитивов. Первоначально разработанный для DES, затем он был применён к блочным, потоковым шифрам, хэш-функциям. Дифференциальная атака использует предсказуемое прохождение разности между парой на входе криптопримитива к соответствующему выходу. То, что определяет различные паттерны входа, промежуточные значения и выход криптопримитива, называется характеристикой или иначе дифференциальным путём. Пара, которая соответствует характеристике, называется правильной парой. Отношение количества всех правильных пар ко всем возможным входным парам, в некоторых случаях усреднённое по отношению ко всем ключам (если примитив управляется ключом), называется вероятностью пути.

Сокращённые дифференциалы были предложены Кнудсеном для анализа блочных шифров. Если в стандартной дифференциальной атаке необходимо знание полной разности между двумя входными/выходными значениями, то в случае сокращённых дифференциалов достаточно только частично определенной разности, например для каждого байта можно проверить только соответствует он заявленной разности или нет.

При применении дифференциального криптоанализа к хэш-функциям, коллизия для хэш-функции будет возникать тогда, когда есть правильная пара в пути через эту хэш-функцию с нулевой выходной разностью. Аналогично, предколлизия возникает тогда, когда правильная пара в пути имеет хотя и ненулевую разность, но с близким расстоянием Хэмминга. Отсюда следует, что дифференциальный криптоанализ хэш-функций интуитивно очень близок к криптоанализу блочных шифров. Однако есть важная разность в этих двух случаях, которая возникает при рассмотрении рикошет-атаки.

В случае блочных шифров противник, пытающийся найти правильную пару, не может сделать ничего лучше, чем осуществлять перебор пар. Усилия на такой перебор обратно пропорциональны вероятности дифференциального пути. Но поскольку у хэш-функций нет никаких секретных от противника ключей, он может предпринять кое-что более эффективное. В принципе, противник может просто составить уравнения, описывающие правильную пару и решить их. Но на практике такие уравнения носят крайне нелинейный характер и труднорешаемы. Однако часто возможно определить некоторые правильные биты сообщения, увеличивая вероятность случайно угадать часть решения. Используя такого рода технику модификации сообщений можно получить значительно упрощённые уравнения, описывающие хэш-функции, независящие от всех входных частей сообщения.

Таким образом, для нахождения (пред) коллизий используется трёхшаговый алгоритм:

1. Нахождение высоковероятностного пути.
2. Использование техники модификации сообщений для определения некоторых значимых битов.
3. Нахождение оставшихся битов сообщения путём угадывания с последующей проверкой.

В атаке предколлизий используются две фазы, называемые фазой приближения и фазой отскока. В соответствии с этими фазами функция сжатия, внутренний блочный шифр или перестановка делятся на три части. Часть фазы приближения помещается в центральную часть шифра, а две части исходящий фазы — в начало шифра вслед за входящей фазой. Для исходящей фазы конструируются два высоковероятностных (сокращённых) дифференциальных пути и соединяются с входящей фазой.
Помещая наиболее ресурсоёмкую часть атаки в центр шифра и используя такого рода техники перегруппировок можно значительно сократить ресурсы на технику модификации сообщений. Эти методы уже использовались в криптоанализе MD5 и в атаках Вагнера по типу бумеранг и дифференциалов второго порядка.

Авторы улучшили эти техники для криптоанализа Whirlpool и ещё раз доказали слабость ключевой функции AES-подобных структур, которая упрощает перегруппировку.

Новые критерии NIST требуют, чтобы любые подмножества функции сохраняли свойства стойкости самой функции в пересчёте на мощность множества. Это имеет большой практический смысл, так как позволяет произвольным образом урезать выход хэш-функции до нужного минимального значения. Но на практике некоторые программисты используют например для уменьшения величины выхода хэш-функции xor двух половин выхода, что является почти таким же простым и малозатратным как и отбрасывание лишней половины битов. (Прим. перев.: этот вопрос долгое время оставался без аргументированного ответа: что лучше — простое отбрасывание или xor (в ряде случаев — не половин, а нецелого числа частей с дополнением остатка нулями)? С другой стороны в случае идеальной стойкости самой хэш-функции оба варианта сокращения размера её выхода должны быть равностойкими).

В случае xor должно быть сложно подобрать пару сообщений m, m' такую, что H (m) xor H (m' ) = z, иначе говоря для любого типа линейного преобразования L должно быть сложно найти пару входов m, m' такую, что L(H (m) xor H (m' )) = 0. С одной стороны противник не должен выбирать L поскольку для любых m, m' можно тривиально найти L, удовлетворяющее последнему условию. С другой стороны, если мы требуем, чтобы противник мог найти подходящие m, m' для произвольно выбранного L или для большого подмножества, то интутивно может казаться, что противнику будет крайне сложно подобрать соответствующие этим случаям плохо спроектированные хэш-функции.

Авторам удалось предложить вариант формализации проблемы подпространств, проанализировать сложность разных вариантов проблем подпространств, доказать их неэквивалентность для Whirlpool и использовать это в качестве предпосылки доказательства неидеальности хэш-функции. С подробными выкладками можно ознакомиться в работе.

Используя технику различителя на подпространствах, исследователи смогли построить различитель хэш-функции Whirlpool и найти различитель внутреннего шифра W в модели открытого ключа. Ранее такая работа была известна для AES, но теперь есть больше оснований говорить об особенностях криптоанализа всех AES-подобных структур. Также им удалось получить восьмираундовый различитель для W в модели известного ключа. В такой модели противнику известен ключ блочного шифра и он пытается доказать, что перестановка шифртекстов по отношению к открытым текстам не является идеально псевдослучайной (шифр не соотвествует идеальной модели PRP). Для всех 10 раундов была проведена аналогичная атака только с использованием подобранного ключа.

Источник: Cryptology ePrint Archive

09.04 // Деанонимизация BitTorrent пользователей, совместно использующих сеть Tor

Состояние холодной войны между P2P пользователями и "антипиратскими" организациями приводит к попыткам использовать для файлообмена анонимные сети, позволяющие скрыть личность пользователей. Однако, если протокол P2P сам по себе неспособен обеспечить анонимность, то он создаёт опасность утечки данных, раскрывающих пользователей, даже если он запущен под прикрытием анонимной сети.

Исследователи Stevens Le Blond, Pere Manils, Abdelberi Chaabane, Mohamed Ali Kaafar, Arnaud Legout, Claude Castellucia, Walid Dabbous из французского национального иснтитута исследований в области компьютерных наук и управления I. N. R. I. A опубликовали анонс исследования "De-anonymizing BitTorrent Users on Tor", в котором они предолжили три атаки по деанонимизации пользователей BitTorrent внутри сети Tor.

Совместное использование BitTorrent и Tor не приветствуется разработчиками сети Tor, так как нагружает сеть Tor избыточным трафиком, тем не менее многие пользователи прибегают к трём различным сценариям совместного использования: (1) использовать Tor для соединения с сервером (трэкером) для получения списка файлообменных узлов, у которых есть искомый файл, (2) для соединения с другими узлами для распространения файла, (3) для того и другого одновременно.

Исследователи запустили 6 исходящих узлов сети Tor и в течении 23 дней убедились, что атакуюший может деанонимизировать пользователя в любом из трёх вариантов использования. В дополнение к этому, если цепочки пользователя разделяются с другой сетевой активностью (например, посещение вэб страниц), то возможна также и деанонимизация сопутствующего пользовательского трафика. Исследователи предложили три различные атаки.

В первой атаке на исходящем узле просто прослушиваются контрольные сообщения BitTorrent для поиска IP-адреса пользователя. В частности сообщение, анонсирующее, что клиент посылает трэкеру запрос на список файлообменных узлов, распространяющих контент и расширенные сообщения подтверждения установления соединения, иногда содержат IP адрес пользователя в открытом виде.

Во второй атаке список файлообменных узлов, запрашиваемых пользователем подменяется на такой, в котором часть IP-адресов этих узлов контролируется атакующим. Если пользователь будет соединяться с этими узлами напрямую (не через Tor, используя Tor только для соединения с трекером), то выдаст свой IP-адрес.

В третьей атаке используется свойство DHT (хэш-таблиц распределённого контента) для поиска IP-адреса пользователя. Поскольку Tor не осуществляет транспорт UDP, то IP адрес пользователя попадает в DHT, минуя Tor. При этом атакующий, зная какой порт использует пользователь (так как они распределяются равномерно) и зная идентификатор контента, может вычислить IP-адрес пользователя. DHT-атака достаточно точна и работает, даже если пользователь соединяется с другими пользователями файлообменной сети также только через Tor.

Используя DHT-атаки и атаки перехвата, исследователи деанонимизировали 9000 IP-адресов, с которых использовался BitTorent через Tor, а для отдельных пользователей, используя распознавание смешивания трафика от разных сетевых приложений, одновременно работающих на пользовательской машине через одну Tor-цепочку, были составлены профили анонимного вэб-браузинга таких пользователей.

Подробнее работа будет представлена на конференции 7th USENIX Symposium on Network Design and Implementation (NSDI '10), San Jose, CA: United States (2010)

Источник: ArXiv.org: Cryptography and Security

05.04 // Вышел релиз DiskCryptor 0.9

Список изменений:

• Добавлено предотвращение перехода в Sleep/Hibernate во время шифрования дисков.
• Добавлена поодержка аппаратного ускорения (AES-NI инструкций) AES для новых процессоров Intel (Core i5 Arrandale/Clarkdale).
• Добавлена уменьшенная версия PXE загрузчика поддерживающего только AES в целях улучшения совместимости с занимающими много памяти BIOS.
• Добавлен Vista-PE плугин.
• Улучшена скорость форматирования раздела.
• Улучшена совместимость PXE загрузчика с аппаратными конфигурациями.
• Улучшена оптимизация AES для x86, новая реализация XTS, что дает повышение производительности.
• В несколько раз улучшена производительность AES на процессорах VIA.
• Исправлена несовместимость с Parallels Workstation BIOS.
• Исправлено много мелких багов.

Этот релиз отличается большим количеством архитектурных изменений, направленных в основном на улучшение производительности и упрощение кода. Производительность базовой реализации AES для x86 увеличена на 10-15%, улучшена оптимизация параллельного шифрования для систем с большим количеством (более 8ми) процессоров, переписана поддержка VIA-PadLock, что позволило в разы ускорить AES на этой платформе. Добавлена поддержка инструкций AES-NI, что позволило повысить производительность AES в 10-15 раз на соответствующих процессорах.
Сделанные архитектурные изменения дают простор для дальнейших улучшений, и к версии 1.0 планируется более чем в 2 раза ускорить Serpent и сделать оптимизацию под SSD.

P. S. Скриншот на закуску

Источник: http://diskcryptor.net/

Текущие опросы

Добавить опрос...

Активная разработка

1. 2. Удостоверяющие центры и поставщики браузеров (Библиотека)
   редакций: 5, 19% от всех правок
2. 5. Свидетельства (Библиотека)
   редакций: 5, 19% от всех правок
3. 6. Некоторые УЦ уже участвовали в слежке (Библиотека)
   редакций: 5, 19% от всех правок
4. 7. Защита пользователей (Библиотека)
   редакций: 3, 12% от всех правок
5. 3. Большой брат в браузере (Библиотека)
   редакций: 2, 8% от всех правок
6. черноВики (Черновики)
   редакций: 2, 8% от всех правок
7. 1. Введение (Библиотека)
   редакций: 1, 4% от всех правок
8. Инструкции и руководства (Черновики)
   редакций: 1, 4% от всех правок
9. "Мне нечего скрывать" и другие ошибочные толкования приватности (Библиотека)
   редакций: 1, 4% от всех правок
10. Криптография: общие вопросы (FAQ)
    редакций: 1, 4% от всех правок

Новые документы и обсуждения

1. Криптография в системах удаленного доступа RDP, Radmin, OpenSSH (Форум)
   создана: 16/04/2010 20:00
2. А почему на токенах код из цифр? (Форум)
   создана: 16/04/2010 18:46
3. Что не так? (по поводу удаленной правки в разделе Стеганография) (Форум)
   создана: 16/04/2010 17:38
4. Снова на связи (Форум)
   создана: 16/04/2010 17:10
5. Периодически стал "виснуть" роутер (Форум)
   создана: 16/04/2010 15:16
6. Общество синих ведерок (Форум)
   создана: 16/04/2010 14:50
7. Игры коммерсов с установкой видео-(веб-) камер в офисах до добра не доводят!!! (Форум)
   создана: 16/04/2010 09:30
8. Провайдеров могут обязать передавать силовикам IP-адреса абонентов (Форум)
   создана: 15/04/2010 21:36
9. Доступ к зашифрованному диску из сети (Форум)
   создана: 15/04/2010 14:58
10. не могу открыть PGP диск (PGPdisk is already opened ...) (Форум)
    создана: 13/04/2010 21:24
11. Как одеть цепочку Socks5 на TOR? (Форум)
    создана: 13/04/2010 17:25
12. Стеганография в видео (Форум)
    создана: 12/04/2010 17:34
13. Средства виртуализации и безопасность/анонимность (Форум)
    создана: 12/04/2010 04:36
14. TB 1.2.5 (Форум)
    создана: 12/04/2010 03:51
15. SELinux, AppArmor и др. системы безопасности (Форум)
    создана: 11/04/2010 21:58
16. Конфиденциально связаться с ЦРУ (Форум)
    создана: 11/04/2010 15:41
17. Thuderbird+Enigmail+GnuPG - строка с кракозяблами (Форум)
    создана: 11/04/2010 12:46
18. OpenVPN vs IPsec (Форум)
    создана: 10/04/2010 00:50
19. Thunderbird+Enigmail(Windows) не видит подпись письма (Форум)
    создана: 08/04/2010 23:54
20. Авторизация E-NUM (Форум)
    создана: 08/04/2010 20:15
21. Проблемка в GnuPG (Форум)
    создана: 06/04/2010 22:53
22. Уведомлени{е,я} о смене ключа (Форум)
    создана: 04/04/2010 15:35

Самые обсуждаемые

1. Конфиденциально связаться с ЦРУ (Форум)
   комментариев: 42, 20% от всех обсуждений
2. Деанонимизация BitTorrent пользователей, совместно использующих сеть Tor (Новости)
   комментариев: 37, 18% от всех обсуждений
3. Linux vs Windows (Форум)
   комментариев: 24, 12% от всех обсуждений
4. Как одеть цепочку Socks5 на TOR? (Форум)
   комментариев: 22, 11% от всех обсуждений
5. Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями, и защита от них (Библиотека)
   комментариев: 19, 9% от всех обсуждений
6. Вышел релиз DiskCryptor 0.9 (Новости)
   комментариев: 16, 8% от всех обсуждений
7. SELinux, AppArmor и др. системы безопасности (Форум)
   комментариев: 15, 7% от всех обсуждений
8. Юмор (Форум)
   комментариев: 12, 6% от всех обсуждений
9. 5. Свидетельства (Библиотека)
   комментариев: 11, 5% от всех обсуждений
10. 1. Введение (Библиотека)
    комментариев: 10, 5% от всех обсуждений