Ny attack mot AES

Två forskare (Alex Biryukov och Dmitry Khovratovich) på universitet i Luxemburg har hittat ett sätt att forcera AES-256 med hjälp av en komplexitet på 2^119.

Abstract. In this paper we present two related-key attacks on the full AES. For AES-256 we show the rst key recovery attack that works for all the keys and has complexity 2119, while the recent attack by Biryukov-Khovratovich-Nikolic works for a weak key class and has higher

complexity. The second attack is the rst cryptanalysis of the full AES-192. Both our attacks are boomerang attacks, which are based on the recent idea of nding local collisions in block ciphers and enhanced with the boomerang switching techniques to gain free rounds in the middle.

Hela uppsatsen hittas här: https://cryptolux.uni.lu/mediawiki/uploads/1/1a/Aes-192-256.pdf

Google krypterar snett i Keyczar

En sårbarhet har identifierats i Google Keyczar av kryptogurun Nate Lawson. Nate skriver på sin blogg:

”I recently found a security flaw in the Google Keyczar crypto library. The impact was that an attacker could forge signatures for data that was “signed” with the SHA-1 HMAC algorithm (the default algorithm).”

För mer info se: rdist.root.org/2009/05/28/timing-attack-in-google-keyczar-library

Surfa anonymt med Anonine

Hos den nya svenska tjänsten Anonine kan du surfa anonymt (anonymiseringstjänst). Tjänsten är den billigaste av sitt slag och kostar 40 kr per månad. Anonine ägs av den 20-årige Boney Walia som även står bakom ett antal andra bolag: Wobnet Services AB (556748-3689), Portlane AB (556769-8252), Portlane Services (880816-XXXX-00

001), Gulshan Taxi Kommanditbolag (969733-2584), Café Aven Handelsbolag (969742-4936).

Vill du bli anonym för 40 kr per månad, testa då tjänsten här:

https://www.anonine.com/

Du kan även läsa en intervju hos Webmastern.se

Ny version av TrueCrypt

Den populära mjukvaran TrueCrypt som används för att kryptera hårddiskar finns nu ute i en ny version 6.2. Bland nyheterna så finns det nu implementerat en I/O pipeline som läser data i förväg för att förbättra prestandan på framförallt solid state drives.

Övriga förbättringar:

  • The boot loader now supports motherboards with BIOSes that reserve large amounts of base memory (typically for onboard RAID controllers). Note: In order to be able to take advantage of this improvement under Windows Vista, you will have to install Service Pack 1 or higher first. Service Pack 1 for Windows Vista resolved an issue causing a shortage of free base memory during system boot.  (Windows Vista/XP/2008/2003)
  • Mounting using the ’Auto-Mount Devices’ feature may take significantly less time as partitions containing unencrypted filesystems are now skipped.  (Windows)
  • When volumes that are mounted as read-only or removable are saved as favorite volumes, they are mounted as read-only and/or removable when ’Mount Favorite Volumes’ is used.
  • When a multiple-pass wipe algorithm is selected when performing in-place encryption of a non-system volume, the header areas will be wiped before the encrypted headers are written to the disk. Note: On an existing volume, you can perform such an operation by changing its password and/or keyfiles.  (Windows Vista/2008)
  • Many other minor improvements, bug fixes and security enhancements.  (Windows, Mac OS X, and Linux)

Du kan ladda hem TrueCrypt 6.2 här: TrueCrypt_Setup_6.2.exe

Obs, glöm inte att verifiera binären genom dess PGP-signatur som kan hittas här: truecrypt.org/downloads2

Dekryptera lösenord

Att dekryptera eller forcera Windows-lösenord när lösenord tappas bort är en av de vanligaste kryptoproblemen för vanliga Windows-användare. Att forcera dessa lösenord är relativt lätt med hjälp av såkallade Rainbow Tables

En av de vanligaste metoderna för att använda sig av Rainbow Tables för att hitta lösenordet på sin Windows-installation är att använda sig av den bootbara cd-skivan Ophcrack.

Rainbow Tables eller Regnbågstabeller som det blir direktöversatt till Svenska innebär att alla möjliga lösenordskombinationer skapas i en stor tabell och sedan görs slagningar mot denna tabell.

Observera att denna typ av attack enbart är möjlig på den äldre NTHASH/NTLM algoritmen som Microsoft valt att implementera en gång i tiden. Dock så använder många Windows-installationer denna algoritm i dagsläget för att kunna vara bakåtkompatibla.

Så här stora blir tabellfilerna för tabellerna, storleken varierar beroende på vad lösenordet kan innehålla:

rainbow

Här kan du ladda hem dessa ISO-filer som du sedan bränner ut till en cd-skiva:

Här kan Ophcrack samt regnbågstabeller laddas hem:

http://ophcrack.sourceforge.net

Iomega Ego Encrypt

iomega ego encrypt

Iomega Ego Encrypt är en ny extern USB-disk som krypterar din information snabbt lätt och enkelt. Enligt Iomega så används AES 128-bitars kryptering som görs i hårdvara samt även så innehåller chassit tekniken Drop Guard som skall skydda hårddisken för fall.

Priset ligger runt 1900kr för 320 GB.

Sectra AB i samarbete med Holland

Sectra AB är ett svenskt företag som bygger kryptosystem samt mammografiutrustning. De har nu fått en beställning på 15 miljoner från den holländska säkerhetsmyndigheten.

Beställningen gäller deras talkrypto som går under namnet Tiger XS och är certifierat av EU och NATO.

Sectras beskrivning av produkten:

I mer än hälften av EU:s medlemsländer används Tigerprodukter av beslutsfattare, tjänstemän och militärer för att skydda telefonsamtal mot avlyssning. Tiger XS är certifierad av EU, NATO och flera nationella ackrediteringsinstanser, vilket gör den till den säkraste produkten på marknaden för krypterad telefoni. Användarna kan välja att skydda telefonsamtal över tele-, GSM-, ISDN- och IP-nät samt via satellitsystem. Tiger XS används även för att kryptera SMS, fax och dataöverföringa

 

Läs Sectras pressrelease på Newsdesk.

Taher Elgamal om SSL

Skaparen av protokollet SSL  som heter Taher Elgamal berättar i en intervju om de problem som SSL slagits med genom åren.

Taher har jobbat med säkerhet i över 25 år och är född i Egypten. Han fick även tilldelat ”Lifetime Achievement Award” under RSA konferensen i San Francisco förra veckan.

Läs mer hos CNet News.