Computerbeveiliging - Hoe je bad guys buiten de deur houdt

AES onveilig?

06-05-2009, 15:25 door Anoniem, 21 reacties
Op de link http://www.turbocrypt.com/eng/content/TurboCrypt/Backup-Attack.html is te zien hoe AES in de ECB mode kraakt is.

Op de link http://ijns.femto.com.tw/contents/ijns-v4-n3/ijns-2007-v4-n3-p282-287.pdf is te zien dat als een enkele mode van AES gekraakt is, alle modes van AES gekraakt zijn.

Betekent dit dat AES defacto gekraakt is?
Reacties (21)
07-05-2009, 17:14 door Anoniem
Het is niet AES dat onveilig is, maar de toegepaste methode van encryptie, ofwel Block Cipher Mode.
Met AES worden blokken van 128 bits gecodeerd met een sleutel van 128, 192 of 256 bits. Dat wil zeggen, de 128 bits worden volgens een in de AES-standaard vastgelegde volgorde gecodeerd met de sleutel van 128, 192 of 256 bits.
Andere standaarden zoals DES, Twofish, etc. gebruiken andere blok- en sleutellengtes en andere manieren om de bits "door elkaar te husselen"

Wordt AES toegepast volgens de ECB (Electronic Code Book) methode, dan wordt voor ieder blok van 128 bits dezelfde sleutel gebruikt.
Met de CBC (Cipher Block Chaining) wordt ieder blok van 128 bits eerst ge"XOR"d met het voorgaande blok, voordat het blok met de sleutel wordt vercijferd.
CFB (Cipher FeedBack) en OFB (Output FeedBack) zijn vergelijkbaar met CBC, maar de gecodeerde output van een blok wordt gebruikt bij de codering van het volgende blok.
Op http://en.wikipedia.org/wiki/Electronic_code_book staan deze methodes uitgelegd.

Het probleem met ECB is dat wanneer je een opeenvolgende gelijke waarden codeert (zoals bijv. grote witte vlakken van een plaatje), alle gecodeerde blokken ook identiek zullen zijn, terwijl de output van CBC, CFB en OFB op "ruis" blijven lijken.
Uit opeenvolgende gelijke ciphertext-blokken kan de oorspronkelijk gebruikte sleutel worden herleid, zoals in het filmpje is te zien.

ECB is daarom een slechte methode van coderen, ongeacht hoe sterk de gebruikte encryptie ook is. In sommige toepassingen zijn CBC, CFB of OFB echter niet eenvoudig toe te passen omdat dit ten koste gaat van bijv. de snelheid. AES zelf is nog steeds als bijzonder sterk aan te merken.
07-05-2009, 17:29 door Anoniem
Nog ter aanvulling op het vorige. Op http://en.wikipedia.org/wiki/XTS#XTS staat dat de XTS-mode (waarbij de sector en index van het blok binnen de sector worden gebruikt bij de codering) een afdoende beveiliging biedt, zolang dezelfde sleutel niet wordt gebruikt op meer dan 1 Terabyte aan data. XTS wordt gebruikt bij disk-coderingsprogramma's als TrueCrypt.

Het probleem waarover in het eerste filmpje gesproken wordt is het hergebruiken van bestaande "containers" voor het aanmaken van nieuwe encrypted volumes. Als dezelfde container wordt gebruikt voor een nieuw volume, dan kan de (verschillende) inhoud van beide containers met elkaar worden vergeleken om zo het verschil te zien van dezelfde sector binnen beide containers, om zo de oorspronkelijke sleutel of zelfs direct de oorspronkelijke data te herleiden.

Dus een gouden tip: creëer ieder nieuw volume (TrueCrypt etc.) opnieuw. Kopieer geen bestaande volumes om deze als een nieuw volume te gebruiken!

Wel een hele interessante vraag waar je mee kwam!
07-05-2009, 18:36 door Anoniem
In de 1e referentie wordt bewezen dat de AES-ECB mode onveilig is.

In de 2e referentie is onder 3.1 te lezen: "Consider that the adversary has access to either an encryption or decryption oracle under ECB mode. We will show how this oracle can be exploited to obtain the unknown plaintext blocks encrypted under the CTR mode. ". Dus gegeven het feit dat de ECB mode onveilig is, is de CTR mode ook onveilig. En in de 2e referentie is onder 4 te lezen: "In this case, the adversary has access to a CTR oracle and uses this to attack other related-cipher modes.".

Gegeven deze causale keten lijkt me dat alle modes van AES onveilig zijn geworden.
07-05-2009, 20:43 door Anoniem
het is ook wel algemeen bekend dat je nooit backups moet maken met dezelfde key, zeker niet als je daarna één van de twee gaat aanpassen (wat gebruikelijk is).
07-05-2009, 21:30 door [Account Verwijderd]
[Verwijderd]
08-05-2009, 07:17 door Anoniem
Doorgaans heb je geen toegang tot zo'n oracle, dus nee.

Doordat de AES-ECB mode onveilig is, is dit de Oracle.

Scneier heeft trouwens een tijdje geleden iets over dat artikel geroepen: http://www.schneier.com/blog/archives/2008/10/new_attack_agai.html

Deze link werkt niet.
08-05-2009, 09:42 door [Account Verwijderd]
[Verwijderd]
08-05-2009, 09:55 door Anoniem
Bij mij wel: http://www.schneier.com/blog/archives/2008/10/new_attack_agai.html

Nu werkt ie bij mij ook.

Doorgaans heb je geen toegang tot zo'n oracle, dus nee.

Gegeven referentie [1] weet je hoe je ECB met alleen encrypted tekst moet kraken. Gegeven referentie [2] weet je gegeven referentie [1] hoe je elke AES mode kunt kraken. Je hebt toegang tot encrypted text en je weet in welke AES mode deze tekst gecrypt is, dus je kunt de plaintekst van elke AES-mode herleiden.
08-05-2009, 10:49 door [Account Verwijderd]
[Verwijderd]
08-05-2009, 11:29 door Anoniem
Nee, een plaatje vaag terugzien is nog niet hetzelfde als kraken en bovendien is dat geen orakel. En vergeet niet dat de aanval in het paper vereist dat dezelfde key wordt gebruikt bij beide modes.

Gegeven de "related mode attack" METHODE (ref [2]) wijzig je de "AES-ECB attack" METHODE (ref [1]).
Hierbij heb je geen source content, encrypted content, key of orakel nodig.
08-05-2009, 12:03 door Anoniem
Is dit nieuws? Hierover heb ik al gelezen de eerste keer dat ik kennis maakte met Bruce Schneiers Blowfish cipher. Wanneer zal dat geweest zijn? 1998 of daaromtrent.
08-05-2009, 12:47 door Anoniem
Door Anoniem: Op de link http://www.turbocrypt.com/eng/content/TurboCrypt/Backup-Attack.html is te zien hoe AES in de ECB mode kraakt is.

Op de link http://ijns.femto.com.tw/contents/ijns-v4-n3/ijns-2007-v4-n3-p282-287.pdf is te zien dat als een enkele mode van AES gekraakt is, alle modes van AES gekraakt zijn.

Betekent dit dat AES defacto gekraakt is?
Oh, die turbocrypt jongens weer.

Nog afgezien van wat Bruce er van vindt:
http://www.schneier.com/blog/archives/2008/10/new_attack_agai.html kan ik je vertellen dat turbocrypt bij ons (militair/government crypto) niet meer serieus genomen wordt, na een werkelijk dramatische presentatie van ze.
08-05-2009, 13:58 door Anoniem
Door Anoniem: In de 1e referentie wordt bewezen dat de AES-ECB mode onveilig is.
Gegeven deze causale keten lijkt me dat alle modes van AES onveilig zijn geworden.

Nog even voor de duidelijkheid: het verhaal gaat niet specifiek over AES, maar over alle ciphers die in ECB, CBC, OFB, CFB of CTR toegepast worden.

In het PDF-artikel wordt ervan uitgegaan dat er beschikt kan worden over de coderende/decoderende software die reeds met de juiste key geladen is, dus bijv. een mounted encrypted disk. Dit wordt in het artikel het "oracle" genoemd.

Bij goed gebruik is echter het oracle niet zomaar beschikbaar om willekeurige blokken te coderen of decoderen.
Mijn conclusies zijn dan ook:

- AES is nog steeds een veilige cipher
- ECB is een slechte mode om data de versleutelen
- Laat nooit een mounted encrypted disk onbeheerd openstaan en laat niemand toegang hebben tot de data op een encrypted disk.
- Probeer te voorkomen dat derden de hele "container" (het databestand waarin een encrypted volume in opgeslagen wordt) kunnen kopieren

D.B.
08-05-2009, 14:21 door Anoniem
Oh, die turbocrypt jongens weer.

Het maakt voor dit voorbeeld niet uit of Turbocrypt een dramatische prestatie heeft geleverd. Het voorbeeld dat ze geven is correct. Op de slides van een presentatie van Prof.Dr.Bart Preneel (wetenschappelijk, betrouwbaar) welke te vinden zijn op de link http://secappdev.org/handouts/2007/19.%20New%20developments%20in%20cryptology.pdf is dezelfde attack te zien op AES-ECB.

Beide voorgaande voorbeelden (op http://learn.ironkey.com/docs/whitepapers/ironkey-data-encryption-wp.pdf valt een derde voorbeeld te zien) zijn een visuele prsentatie van het feit dat redundantie in de source tekst terugkomt in de cipher tekst. Dit is bij elke computational cipher het geval. Alleen bij AES-ECB is dit heel simpel te laten zien op deze visuele wijze, omdat elk gelijk source tekst blok op dezelfde manier encrypt wordt. Voor de andere AES-modes moet je even de wijziging aanbrengen zoals aangegeven in het related-mode attack paper.
08-05-2009, 20:59 door [Account Verwijderd]
[Verwijderd]
08-05-2009, 22:12 door Anoniem
Wat heb je volgens jou dan wel nodig?

De kern van de ECB mode attack welke gegeven wordt in ref [1] is dat gelijke plain tekst encrypt wordt naar een gelijke cipher tekst. Daarom kan de ECB attack uitgevoerd worden.

Volgens ref[2] kan de bovenstaande conditie bijvoorbeeld simpel te bereikt worden in de CBC, CFB en de OFB mode door elk Cipher Block te XORén met het voorgaande Cipher Block. Daarmee wordt weer bereikt dat gelijke plain tekst encrypt wordt naar gelijke Cipher Text. Daarna kan weer dezefde attack uitgevoerd worden zoals op de ECB cipher mode.
09-05-2009, 07:01 door Anoniem
Betekent dit dat AES defacto gekraakt is?

Als de attack methode van AES-ECB mode bestudeerd wordt dan moet je concluderen dat AES-ECB gekraakt is. Dit is overigens ook in vele onderzoeken reeds gebleken.

Wanneer de related-mode attack methode bestudeerd wordt, dan blijkt hieruit dat met deze werkwijze alle AES-modes in elkaar omgezet kunnen worden. Hieruit moet dus de conclusie getrokken worden dat AES defacto onveilig is.

De vraag "AES onveilig?" kan dus bevestigend beantwoord te worden.
09-05-2009, 08:46 door Anoniem
Nog even voor de duidelijkheid: het verhaal gaat niet specifiek over AES, maar over alle ciphers die in ECB, CBC, OFB, CFB of CTR toegepast worden.

Als het artikel "related mode atacks" uit de 1e post in deze thread bestudeerd wordt, dan kun je voor de CBC, OFB, CFB ciphers hetvolgende afleiden:

Encryptie: C = E(P ^ C[i-1])...(1), waarbij ^ de XOR functie is.

Als het artikel over de AES-ECB attack uit de 1e post in deze thread bestudeerd wordt, dan is de essentie van de attack dat dezelfde P encrypt wordt in eenzelfde C. Dit kan bij de CBC, OFB en CFB alsvolgt gereikt worden:

Zelfde C voor dezelfde P = D(C)) ^ C[i-1]...(2), waarbij D de AES decryptie functie is met een willekeurige Key K welke constant blijft voor alle blokken.

Met (2) is dus bereikt dat dezelfde P herleid kan worden tot dezelfde C. Daarmee is dus voor de CBC, OFB en CFB modes dezelfde attack als op de ECB mode mogelijk geworden en zijn deze modes dus evenals de ECB mode gekraakt en dus onveilig.

Dus de stelling "AES onveilig" is dus just.
09-05-2009, 17:50 door [Account Verwijderd]
[Verwijderd]
09-05-2009, 19:00 door Anoniem
Zolang je er zelf maar in gelooft ;-

Geloven doe je in de kerk. Hier wordt iets bewezen wat verifieerbaar is. Dat is wetenschap, wat ook uit de gegeven referenties blijkt.
10-05-2009, 17:00 door Anoniem
btw: er staan een zeer mooie vrouw op de homepage van turbocrypt.com :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.