iPhone 3GS kryptering

En hacker vid namn Jonathan Zdziarski som utbildar och utvecklar till iPhone 3GS berättar att den kryptering som följer med i iPhone är mycket svag. Inom två minuter så är det möjligt att komma åt krypterad information och det tar 45 minuter att dekryptera hela hårddisken.

Det är dock värt att notera att det är ett stort steg att släppa en mobiltelefon med inbyggd kryptering, men det kan göras bättre. Förhoppningsvis så kommer Apple att lösa dessa problem med nästa uppdatering av operativsystemet i telefonen.

Här kommer videobevis:

Självförstörande information

En grupp med amerikanska studenter har tagit fram ett nytt sätt att automatiskt radera information baserat exempelvis på ett bäst före datum.

Systemet går under namnet Vanish och använder sig av ett peer-to-peer nätverk för att lagra krypteringsnycklarna som används i systemet.

Vanish: Increasing Data Privacy with Self-Destructing Data” är skrivet av Roxana Geambasu, Amit A. Levy and Henry M. Levy.

New York times har även skrivit om detta:

http://www.nytimes.com/2009/07/21/science/21crypto.html?_r=1

NSA bygger ny anläggning

Den amerikanska myndigheten NSA (National Security Agency) bygger en ny anläggning i Utah rapporterar flertalet amerikanska tidningar. Tydligen så har NSA redan 2006 använt den maximala elkraft som kan levereras till Fort Meade från Baltimores kraftanläggningar.

Den nya anläggningen kommer att ge ungefär 1200 nya jobb till Salt Lake City och Utah. Anläggningen kommer att dra 65 megawatt.

Vidare läsning:

NaCl: Networking and Cryptography library

NaCl är ett nytt krypteringsbibliotek som Tanja Lange (Technische Universiteit Eindhoven) och Daniel J. Bernstein (University of Illinois, Chicago) står bakom. Utvecklingen är sponsrad av EU:s program FP7

Biblioteket är mycket lätt och använda, vanligtvis så genomförs nedan steg vid kryptering med hjälp av RSA + AES:

  • Generate a random AES key.
  • Use the AES key to encrypt the message.
  • Hash the encrypted message using SHA-256.
  • Read the sender’s RSA secret key from ”wire format.”
  • Use the sender’s RSA secret key to sign the hash.
  • Read the recipient’s RSA public key from wire format.
  • Use the recipient’s public key to encrypt the AES key, hash, and signature.
  • Convert the encrypted key, hash, and signature to wire format.
  • Concatenate with the encrypted message.

Men med NaCl så anropas enbart funktionen crypto_box som gör allt i ett steg.

Ny attack mot AES

Två forskare (Alex Biryukov och Dmitry Khovratovich) på universitet i Luxemburg har hittat ett sätt att forcera AES-256 med hjälp av en komplexitet på 2^119.

Abstract. In this paper we present two related-key attacks on the full AES. For AES-256 we show the rst key recovery attack that works for all the keys and has complexity 2119, while the recent attack by Biryukov-Khovratovich-Nikolic works for a weak key class and has higher

complexity. The second attack is the rst cryptanalysis of the full AES-192. Both our attacks are boomerang attacks, which are based on the recent idea of nding local collisions in block ciphers and enhanced with the boomerang switching techniques to gain free rounds in the middle.

Hela uppsatsen hittas här: https://cryptolux.uni.lu/mediawiki/uploads/1/1a/Aes-192-256.pdf

Google krypterar snett i Keyczar

En sårbarhet har identifierats i Google Keyczar av kryptogurun Nate Lawson. Nate skriver på sin blogg:

”I recently found a security flaw in the Google Keyczar crypto library. The impact was that an attacker could forge signatures for data that was “signed” with the SHA-1 HMAC algorithm (the default algorithm).”

För mer info se: rdist.root.org/2009/05/28/timing-attack-in-google-keyczar-library

Surfa anonymt med Anonine

Hos den nya svenska tjänsten Anonine kan du surfa anonymt (anonymiseringstjänst). Tjänsten är den billigaste av sitt slag och kostar 40 kr per månad. Anonine ägs av den 20-årige Boney Walia som även står bakom ett antal andra bolag: Wobnet Services AB (556748-3689), Portlane AB (556769-8252), Portlane Services (880816-XXXX-00

001), Gulshan Taxi Kommanditbolag (969733-2584), Café Aven Handelsbolag (969742-4936).

Vill du bli anonym för 40 kr per månad, testa då tjänsten här:

https://www.anonine.com/

Du kan även läsa en intervju hos Webmastern.se

Ny version av TrueCrypt

Den populära mjukvaran TrueCrypt som används för att kryptera hårddiskar finns nu ute i en ny version 6.2. Bland nyheterna så finns det nu implementerat en I/O pipeline som läser data i förväg för att förbättra prestandan på framförallt solid state drives.

Övriga förbättringar:

  • The boot loader now supports motherboards with BIOSes that reserve large amounts of base memory (typically for onboard RAID controllers). Note: In order to be able to take advantage of this improvement under Windows Vista, you will have to install Service Pack 1 or higher first. Service Pack 1 for Windows Vista resolved an issue causing a shortage of free base memory during system boot.  (Windows Vista/XP/2008/2003)
  • Mounting using the ’Auto-Mount Devices’ feature may take significantly less time as partitions containing unencrypted filesystems are now skipped.  (Windows)
  • When volumes that are mounted as read-only or removable are saved as favorite volumes, they are mounted as read-only and/or removable when ’Mount Favorite Volumes’ is used.
  • When a multiple-pass wipe algorithm is selected when performing in-place encryption of a non-system volume, the header areas will be wiped before the encrypted headers are written to the disk. Note: On an existing volume, you can perform such an operation by changing its password and/or keyfiles.  (Windows Vista/2008)
  • Many other minor improvements, bug fixes and security enhancements.  (Windows, Mac OS X, and Linux)

Du kan ladda hem TrueCrypt 6.2 här: TrueCrypt_Setup_6.2.exe

Obs, glöm inte att verifiera binären genom dess PGP-signatur som kan hittas här: truecrypt.org/downloads2