Försvarsmakten godkänner världens minsta VPN-krypto

Världens minsta kanske är lite att ta i men liten är den iallafall. Det är produkten Färist Micro från företaget Tutus Data som godkänts av Försvarsmakten på nivå RESTRICTED. Färist Micro är ett personligt VPN-krypto som är tänkt att vara lätt att bära med sig för rörlig och mobil kommunikation.

Jens Bohlin, VD på Tutus Data säger:

– Att vi nu fått ett godkännande av Färist Micro ser vi som en stor framgång för oss och våra kunder. Med Micro samt övriga Färistprodukter kan vi nu erbjuda en komplett familj av godkända kryptolösningar för mycket högt ställda krav och förväntningar. Färist Micro bygger på samma plattform som övriga Färistprodukter. Detta betyder att vi kan erbjuda en ny unik produkt med mycket väl utprövad och testad teknologi.

Målgruppen för denna lilla Färist Micro är organisationer och myndigheter i Sverige samt inom EU som hanterar sekretessbelagd information.

Källa: Tutus / Exponytt

Microsoft lanserar trådlöst tangentbord med 128-bitars AES-kryptering

Microsoft meddelar att de just har släppt en ny trådlös mus och tangentbordskombo innehåller 128-bitars Advanced Encryption Standard (AES) kryptering. Enligt ett blogginlägg på Microsoft Hardware Blogg av Suneel Goud, så förhindrar detta nya tangentbord avlyssning av den trådlösa trafiken som innehåller tangentbordstryckningar och musrörelser. Dock är vi alltid skeptiska när automatiskt används i samma mening som kryptering.

Produkten går under namnet Wireless Desktop 2000. Enligt Prisjakt.nu så finns detta tangentbord i affärerna nu och kostar från 499 kr inkl. frakt.

ElcomSoft knäcker iPhone iOS kryptering

Det ryska företaget ElcomSoft har hittat en metod som gör det möjligt att läsa ut och knäcka Apple iPhones hårdvarukryptering. Detta genomförs med hjälp av en specialskriven kernel som kan startas upp i telefonen då denna är i uppgraderingsläge även benämnt DFU (Device Firmware Upgrade).

Detta är infört i en av dess produkter som enbart säljs till lagförande myndigheter som är i behov av forensiska undersökningar. Dess produkt kan även återskapa raderat innehåll från telefonen.

När sedan innehållet från telefonen är utkopierat kan andra verktyg som Guidance EnCase eller AccessData FTK användas för ytterligare undersökningar av innehållet.

Snabbare https med SSL False Start

De smarta utvecklarna i Google Chrome teamet har skickat in en draft till IETF som beskriver en metod att snabba upp surfandet på krypterade https-sidor med hjälp av modifiering i SSL/TLS-protokollet.

Denna modifiering har fått namnet False Start av Google för att reflektera ändringarna som föreslagits i handskakningen. Googles tester visar på en ökning av hastigheten på upp till 30%.

IETF Draften kan hittas här: tools.ietf.org/html/draft-bmoeller-tls-falsestart-00

Källa: Chrome Blog

Sårbarhet i OpenSSL:s ECDSA-implementation

En ny tidsattack (timing attack) har uppdagats i OpenSSL:s implementation av Elliptic Curve Digital Signature Algorithm (ECDSA). Med hjälp av denna attack så är det möjligt att läsa ut den privata nyckeln via exempelvis protokollet TLS. Sårbarheten hittades av Billy Bob Brumley och Nicola Tuveri:

”For over two decades, timing attacks have been an active area of research within applied cryptography. These attacks exploit cryptosystem or protocol implementations that do not run in constant time. When implementing an elliptic curve cryptosystem that provides side-channel resistance, the scalar multiplication routine is a critical component. In such instances, one attractive method often suggested in the literature is Montgomery’s ladder that performs a fixed sequence of curve and field operations.

This paper describes a timing attack vulnerability in OpenSSL’s ladder implementation for curves over binary fields. We use this vulnerability to steal the private key of a TLS server where the server authenticates with ECDSA signatures. Using the timing of the exchanged messages, the messages themselves, and the signatures, we mount a lattice attack that recovers the private key.”

Läs även:

Remote Timing Attacks are Still Practical:
http://eprint.iacr.org/2011/232.pdf

Sectra tar hand om nycklar i Rakel

FMV (Försvarets materielverk) beställer en ny serverlösning från kryoto och medicintekniföretaget Sectra som möjliggör trådlös distribution av krypteringsnycklar. Lösningen ska användas av blåljusmyndigheter och försvarsmakten i det nationella radiosystemet Rakel. Den trådlösa distributionen kommer att göra det enklare att använda säkerhetsfunktionerna som skyddar känslig information från avlyssning. Ordervärdet är 13 Mkr.

Källa: Newsdesk

Google glömmer att kryptera i Android

Google har tabbat sig och skickar ut såkallade authTokens okrypterat på nätverket från mobitelefoner med operativsystemet Android. Denna authToken kan sedan snappas upp och kan användas för åtkomst till tjänster hos Google. Detta förfarande är en del av Google ClientLogin.

authToken kan användas i 14 dagar och kan snappas upp med hjälp av det trådlösa nätverk som finnes i telefonen (wifi).

Källa: University of Ulm

Backtrack 5 med full hårddisk-kryptering

Linux-disten Backtrack släpptes nyligen i version 5 och vi snubblade nyligen över en guide på hur du kan skapa ett USB-minne där allt är krypterat och som innehåller Backtrack 5. Krypteringssystemet som används är LUKS som står för Linux Unified Key Setup och kan hittas här.

Lite mer om Backtrack:

BackTrack med program som Wireshark (tidigare Ethereal), Kismet och Aircrack inriktar sig främst för penetrations- och nätverkstestning. Många så kallade hackers använder denna distribution för att den innehåller otroligt många och framför allt, effektiva verktyg färdiginstallerade. BackTrack ligger 1:a på topplistan av linuxdistributioner skapade för penetrationstesting. BackTrack är från början utvecklat av Remote-exploit, men sedan gruppen av utvecklare förändrats har Remote-exploit hoppat av BackTrack, och utvecklingen har lagts på sidan backtrack-linux.org istället.

Källa: Wikipedia

Guiden kan i sin helhet läsas här:

infosecramblings.com/backtrack/backtrack-5-bootable-usb-thumb-drive-with-full-disk-encryption/

Dropbox kryptering

De senaste veckorna har det varit många diskussioner och debatter runt molnlagringstjänsten Dropbox och dess olika svagheter. En observant läsare av dess forum upptäckte att filer med samma checksumma som laddas upp till Dropbox gick på några få sekunder. Detta på grund av en teknik som gör att samma fil ej lagras två gånger, oavsett användare hos Dropbox. Detta går dock emot det som företaget hävdar på sin förstasida:

”[a]ll files stored on Dropbox servers are encrypted (AES-256) and are inaccessible without your account password.”

Detta har man nu ändrat till:

”All files stored on Dropbox are encrypted (AES-256).”

Det som många istället rekommenderar är att exempelvis använda TrueCrypt och göra en container som placeras i den mapp som ligger hos Dropbox.