2008-06-23

Kryptera din E-post (mailkryptering) med PGP

När det gäller kryptering av E-post så finns det en uppsjö med olika verktyg och hjälpmedel för att underlätta detta. Ett av de vanligaste och mest populära krypteringsmetoderna heter PGP och uppfanns av Phil Zimmermann 1991.

PGP är ett såkallad hybridkrypto och använder sig av två olika krypton samt så har PGP även två stycken nycklar varav en är privat och en är publik.

För att komma igång och använda PGP så rekommenderar vi att du använder Mozilla Thunderbird med insticksmodulen Enigmail. Samt så måste du även ladda hem och installera GnuPG: gnupg.org/download

Du behöver även skapa denna publika och privata nyckel och den publika delar du sedan med dig till andra som vill kunna skicka krypterad E-post till dig.

Webbleverantören Loopia har även skrivit om E-postkryptering på sin blogg: blogg.loopia.se/?p=46

Använder du Google GMail och vill kryptera din E-post så installerar du först GnuPG och sedan FireGPG. Se även till att surfa till https:// versionen framför den icke-krypterade versionen http://

2008-06-22

Kryptera din hårddisk gratis

TrueCrypt är en opensource-programmvara som fungerar såväl på Linux som Windows och den nya versionen 5.0 har stöd för att kryptera hela hårddisken.

Vi har testat TrueCrypt version 5.1a under några månaders tid och är mycket nöjda och inga problem har återfunnits.

Ett axplock av de funktioner som återfinns:

Skapar en virtuell krypterad disk i en fil och monterar det som en riktig disk.
Krypterar en hel partition eller lagringsenhet såsom USB-flashenhet eller hårddisk.
Krypterar en partition eller enhet där Windows är installerat (pre-boot autentisering).
Krypteringen sker automatiskt och i realtid (on-the-fly).
Ger två nivåer av trovärdigt förnekande, om en fiende tvingar dig att avslöja lösenord:
- Dolda volymer
- Ingen TrueCrypt volym kan identifieras (volymer inte kan skiljas från slumpmässiga data)
Krypteringsalgoritmer: AES-256, serpent samt twofish. Lägen: XTS.

Ladda hem TrueCrypt: truecrypt.org/downloads.php

Och glöm framförallt inte att göra backup innan du installerar TrueCrypt!

2008-06-11

Kryptobugg i SNMPv3

Amerikanska US-CERT har gått ut med en varning där de berättar att SNMPv3 ( RFC 3410) med tillhörande säkerhetsmekanism (RFC 3414) innehåller en allvarlig säkerhetsbugg. Den felaktiga koden förkortar nämligen den HMAC som används till 1 byte vilket gör det tämligen trivialt att göra en så kallad brute-force attack.

Denna säkerhetsbugg återfinns främst i Net-SNMP och UCD-SNMP vilket är mycket vanligt förekommande programvaror på Internet.

Läs det fullständiga meddelandet här.

2008-06-06

DRM vs. Reverse Engineering

Federico Biancuzzi intervjuar Nate Lawson som varit med och skrivit kopieringsskyddet till Blu-ray. Vi har även tidigare skrivit om DRM-attacker här.

Each time a new digital rights management (DRM) system is released, hackers are not far behind in cracking it. Reverse engineers have taken down the security protecting content encoded for Windows Media, iTunes, DVDs, and HD-DVDs.

Intervjun återfinns på SecurityFocus.com

Vill du vet mer om Reverse Engineering så titta in hos Triop AB.

2008-06-05

Dekapsulering (decapsulating) av kretsar

37-årige Christopher Tarnovsky som bor i San Diego/USA är en trevlig prick som blev av med sitt jobb och startade sedan ett eget företag i källaren där han bl.a gör dekapsulering av kretsar.

Företaget som han startade heter heter Flylogic Engineering och har figurerat en hel del i pressarna på senare tid då han bl.a knäckt smarta kort som används för satellit-TV.

Christopher har även utvecklat en egen teknik för att skala av och extrahera ut kod från kretsar. Vi rekommenderar även ett besök till deras blogg där en mängd trevliga bilder på diverse avskalade kretsar.

FlyLogics hemsida finner du här: flylogic.net

Och deras blogg: flylogic.net/blog

Wired skriver här och här.

2008-06-05

TomLib (LibTomCrypt)

Är du less på att använda OpenSSL när du skriver C-kod? Då tycker jag att du ska testa TomLib vilket är ett antal C-bibliotek som hjälper dig med dina kryptografiskt relaterade beräkningar:

LibTom Projects are public domain open source libraries written in portable C. The libraries supports a variety of cryptographic and algebraic primitives designed to enable developers and students to pursue the field of cryptography much more efficiently. Currently the projects consist of three prominent libraries (LibTomCrypt, LibTomMath and TomsFastMath) which form the bulk of the source contributions.

Along with the source contributions, the LibTom projects also aim to serve an educational capacity. The libraries are very well commented, with clear and concise source. The code itself tells quite a story for those interested in learning how modern cryptography ticks. However, they would not be complete without the massive amount of documentation that accompanies the projects. Currently there are over 600 pages of LibTom Project documentation spread throughout the five projects.

LibTomCrypt är skrivet av Tom St Denis och första versionen sågs December 2001 och kallades då för MyCrypt.

Ladda hem LibTomCrypt: http://libtom.org/?page=download&newsitems=5&whatfile=crypt

Det finns även en portering till Python här: http://libtom.org/files/pyTomCrypt-v0.16.zip

2008-05-31

Kryptering med PHP

PHP är ett mycket väl använt programmeringsspråk som används i samband med webb-programmering. Krypteringsfunktionerna i PHP kan delas upp i följande kategorier:

mcrypt
openssl
inbyggda

Här följer en mycket liten sammanställning av dessa tre kategorier:

mcrypt

Mcrypt som är ett tredjepartsbibliotek innefattar en mängd kryptering/dekrypterings-funktioner såsom:

mcrypt_cbc — Encrypt/decrypt data in CBC mode
mcrypt_cfb — Encrypt/decrypt data in CFB mode
mcrypt_create_iv — Create an initialization vector (IV) from a random source
mcrypt_decrypt — Decrypts crypttext with given parameters

Vill du exempelvis skapa en SHA256 hexsträng på godtycklig sträng kan du göra enligt följande:

$sha256b= base64_encode(bin2hex(mhash(MHASH_SHA256,$phrase)));

openssl

OpenSSL är också ett tredjepartsbibliotek och innefattar bl.a dessa funktioner:

openssl_seal — Seal (encrypt) data
openssl_sign — Generate signature
openssl_verify — Verify signature

De funktioner OpenSSL tillhandahåller i PHP är mer inriktade på assymetrisk kryptering.

inbyggda funktioner

Den mest använda krypteringsfunktionen i PHP är crypt() som stödjer följande krypteringsalgoritmer:

CRYPT_STD_DES – Standard DES-based encryption with a two character salt
CRYPT_EXT_DES – Extended DES-based encryption with a nine character salt
CRYPT_MD5 – MD5 encryption with a twelve character salt starting with $1$
CRYPT_BLOWFISH – Blowfish encryption with a sixteen character salt starting with $2$ or $2a$

Övriga kryptorelaterade funktioner som återfinns som standard i PHP är exempelvis sha1 och md5.

2008-05-24

Säkerhetsevaluering av YubiKey

Simon Josefsson har genomfört en säkerhetsevaluering av den hårdvarubaserade single sign-on (SSO) produkten YubiKey från företaget Yubico. Grundare och VD på företaget är Stina Ehrensvärd som nyligen blev utsedd till en av sveriges hetaste entreprenörer för tredje året i rad av tidningen InternetWorld.

Så här skriver Simon i rapporten:

Vi beskriver Yubico YubiKey användarverifiering samt enheten och det protokoll som den använder. Vi diskuterar allmänna attackvektorer samt mer specifika angrepp på systemet. Säkerheten i systemet bygger till viss del på utformningen av servern, och vi diskuterar dessa krav.

Systemet använder stark kryptering med AES. Replay-attacker hanteras. Trojan och phishing problem mildras. Tillsammans med en PIN-kod eller lösenord blir det en två-faktor autentisering. Vi anser att systemet balanserar bra säkerhet med användarvänlighet, och hoten mot systemet är få och dokumenterade.

Läs rapporten i sin helhet: http://www.yubico.com/files/YubiKey_Security_Review.pdf

Update: Filen verkar vara borttagen men Google har en kopia. Se kommentar

Update2: Filen är tillbaka.

2008-05-23

Kryptovirus, Cryptovirology eller Kryptomalware

Kryptovirus/kryptomalware eller på engelska cryptovirology är ett uttryck som Adam L. Young, PhD samt Moti M. Yung, PhD skapat för att beskriva skadlig kod (malware) som använder sig av krypto.

”Cryptovirology är ett område som studerar hur man använder kryptering för att utforma kraftfull skadlig kod”

Några exempel på skadlig kod som använder sig av kryptovirus är: Gpcode, Cryzip, samt Krotten. Dessa tre olika trojaner håller dina filer på datorn som gissla (krypterar) och begär sedan en summa pengar för att du ska få en nyckel för att dekryptera filerna.

Ett annat populärt namn för denna typ av skadlig kod är även ransomware.

Området Cryptovirology omfattar även kryptoattacker där angriparen i hemlighet stjäl privat information såsom privata nycklar. Ett exempel på den senare typen av attack är en asymmetrisk bakdörr. En asymmetrisk bakdörr är en bakdörr (t.ex. i en kryptosystem) som kan användas endast av angriparen även efter det att den eventuellt upptäckts.

2008-05-22

Allt du behöver veta om säkra hashar

Det har åtskilliga gånger på sistone kommit på tapeten hur webbutvecklare bygger dåliga lösenordsfunktioner utan salt, eller lagrade direkt i klartext exempelvis.

Det amerikanska IT-säkerhetsföretaget Matasano försöker reda ut vad som är bra och vad som är dåligt gällande säkra lösenordshashar:

Varför är just OpenBSD:s lösenordsfunkion så bra
Varför går vissa lösenord att knäcka med regnbågstabeller (rainbow tables)
Vad är Stanford Secure Remote Password (SRP)

Deras intressant blogginlägg kan du läsa här.