Karty FUN
Masz problem? Zapytaj na forum elektroda.pl
From: "Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl>
Subject: Karty FUN
Date: Fri, 24 Jun 2005 01:11:01 +0200
Witam,
czym wĹaĹciwie sÄ
karty FUN? Czy to jest zwykĹa
mikroprocesorowa karta SmartCard, czy teĹź coĹ
innego? Czy da siÄ takÄ
kartÄ nieinwazyjnie
sklonowaÄ (wystarczy wyjÄcie zawartoĹci pamiÄci)?
Dlaczego na Allegro jest to taki popularny towar? :-)
Pozdrawiam
Piotr Wyderski
From: "Greg" <gkasprow_at_nospam_gmail.com>
Subject: Re: Karty FUN
Date: Fri, 24 Jun 2005 02:14:24 +0200
Dlaczego na Allegro jest to taki popularny towar? :-)
no bo sluza do wielu "przekretow"
From: "Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl>
Subject: Re: Karty FUN
Date: Fri, 24 Jun 2005 14:45:57 +0200
Greg wrote:
no bo sluza do wielu "przekretow"
A czy da sie taką kartę łatwo sklonować? Zastanawiam
się nad bliższym zapoznaniem się z kartami FUN, bo mogą
pełnić rolę kluczy sprzętowych do różnych systemów, ale
jeśli da się jej zawartość nieinwazyjnie sklonować, to z
miejsca przestają mnie one interesować.
Pozdrawiam
Piotr Wyderski
From: "PAndy" <pandrw_at_nospam_poczta.onet.pl>
Subject: Re: Karty FUN
Date: Fri, 24 Jun 2005 15:06:15 +0200
"Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl> wrote in message
news:d9ffie$48n$1_at_nospam_news.dialog.net.pl...
Witam,
czym właściwie są karty FUN? Czy to jest zwykła
mikroprocesorowa karta SmartCard, czy też coś
innego? Czy da się taką kartę nieinwazyjnie
sklonować (wystarczy wyjęcie zawartości pamięci)?
Dlaczego na Allegro jest to taki popularny towar? :-)
Zobacz tu, ogolnie funka to atmelek i pamiatka na i2c - jak da sie zerwac
kod z atmelka to sie da i z funki...
http://www.ksw-funcard.civ.pl/
From: "Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl>
Subject: Re: Karty FUN
Date: Fri, 24 Jun 2005 15:48:42 +0200
PAndy wrote:
Zobacz tu, ogolnie funka to atmelek i pamiatka na i2c - jak da sie zerwac
kod z atmelka to sie da i z funki...
Ten atmelek jest chyba zalany w plastyku? W metodach
inwazyjnych to jest proste do zrobienia, ale zakladam, ze
lamiacy ma dostep tylko do tych metalowych pol. Mimo
tego da sie wyjac?
http://www.ksw-funcard.civ.pl/
Dzieki, dodalem do bookmarkow. :-)
Pozdrawiam
Piotr Wyderski
From: "PAndy" <pandrw_at_nospam_poczta.onet.pl>
Subject: Re: Karty FUN
Date: Fri, 24 Jun 2005 15:58:41 +0200
"Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl> wrote in message
news:d9h305$71q$1_at_nospam_news.dialog.net.pl...
PAndy wrote:
Zobacz tu, ogolnie funka to atmelek i pamiatka na i2c - jak da sie
zerwac
kod z atmelka to sie da i z funki...
Ten atmelek jest chyba zalany w plastyku? W metodach
inwazyjnych to jest proste do zrobienia, ale zakladam, ze
lamiacy ma dostep tylko do tych metalowych pol. Mimo
tego da sie wyjac?
Ogolnie tam sa chyba dwie strukturki, wlasnie atmelek i obok 24c....cos tam
od 24c64 do 1024.
Sprobuj przyjrzec sie schematowi takiej dyskretnej funki, to zalane jest
dokladnie tak samo polaczone tylko sama kabelkologia jest zamknieta.
Mozna tez kupic takie karty z pickami i chyba powoli pojawiaja sie tez karty
z atmelkami avr ktore maja na poakldzie koprocesor krypto.
Nie jestem pewien ale chyba tez poajiwly sie army z dolaczonym
koprocesorkiem krypto...
From: "Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl>
Subject: Re: Karty FUN
Date: Fri, 24 Jun 2005 16:13:20 +0200
PAndy wrote:
Sprobuj przyjrzec sie schematowi takiej dyskretnej funki, to zalane jest
dokladnie tak samo polaczone tylko sama kabelkologia jest zamknieta.
Jasne, tylko nigdy sie nie zajmowałem wyciąganiem zawartości z
zabezpieczonego Atmela, więc nie wiem, czy to jest trudne. :-)
Mozna tez kupic takie karty z pickami i chyba powoli pojawiaja sie tez
karty
z atmelkami avr ktore maja na poakldzie koprocesor krypto.
Mnie jest wszystko jedno jaka tam dokładnie siedzi rodzina CPU,
każdej się mogę nauczyć. Ważne, by się w prosty sposób nie
dało wyjąć z karty klucza symetrycznego (mniejsza o program
tego Atmelka, security by obscurity to żadne security). I się
zastanawiam, czy FUN to dobry pomysł, czy też sobie odpuścić.
Pozdrawiam
Piotr Wyderski
From: Adam Dybkowski <adybkows123_at_nospam_amwaw.edu.pl>
Subject: Re: Karty FUN
Date: Sat, 25 Jun 2005 01:39:36 +0200
Piotr Wyderski wrote:
Mnie jest wszystko jedno jaka tam dokładnie siedzi rodzina CPU,
każdej się mogę nauczyć. Ważne, by się w prosty sposób nie
dało wyjąć z karty klucza symetrycznego (mniejsza o program
tego Atmelka, security by obscurity to żadne security). I się
zastanawiam, czy FUN to dobry pomysł, czy też sobie odpuścić.
Poczytaj może raczej o secure AVRach, np. AT90SC3232CS:
http://www.atmel.com/dyn/products/devices.asp?family_id=662
Sa dobrze zabezpieczone przed odczytem i chyba tez moga wystepowac w
formie karty z interfejsem ISO7816.
--
Adam Dybkowski
http://www.amwaw.edu.pl/~adybkows/
Uwaga: przed wysłaniem do mnie maila usuń "123" z adresu.
From: "Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl>
Subject: Re: Karty FUN
Date: Sat, 25 Jun 2005 02:17:23 +0200
Adam Dybkowski wrote:
Poczytaj może raczej o secure AVRach, np. AT90SC3232CS:
http://www.atmel.com/dyn/products/devices.asp?family_id=662
Olbrzymy (co najmniej kilkadziesiąt KiB flashu i EEPROMu) i przez to
pewnie drogie. Do tego mają całą masę zupełnie zbędnych peryferiów,
jak np. szyfrator DES (i tak nikt rozgarniety nie będzie go używał ze
względu na możliwe błędy i backdoory -- nie zapominajmy, że
urządzenia stosujące algorytmy o kluczu dłuższym niż 40 bitów
podlegają ograniczeniom eksportowym) albo generator liczb
losowych (o którym niczego nie napisano -- ani nie podano
zasady działania, ani wyników testów statystycznych i dokładnego
opisu metodologii pomiarów). I ostatnia, ale najmniej ważna rzecz:
spora część dokumentacji jest pod NDA. :-)
Mnie całkowicie wystarczy 256 bajtów EEPROMu, ale za to musi
byc on nie do ruszenia przy budżecie rzędu 30--50 tys zł.
Losy programu są mi obojetne, w nim nie będzie niczego do ukrycia.
Pozdrawiam
Piotr Wyderski
From: "William" <nie_at_nospam_ma.mnie.pl>
Subject: Re: Karty FUN
Date: Sat, 25 Jun 2005 08:11:59 +0200
1) Z tego co wiem karty FUN są tak bezpieczne jak sam Atmelek. Jeśli klucz
będziesz trzymał w EEPROMie procesora a nie tym zewnętrznym i zaprogramujesz
bity blokad, to metodą nieinwazyjną się go nie odczyta.
jak np. szyfrator DES (i tak nikt rozgarniety nie będzie go używał ze
względu na możliwe błędy i backdoory -- nie zapominajmy, że
urządzenia stosujące algorytmy o kluczu dłuższym niż 40 bitów
podlegają ograniczeniom eksportowym) albo generator liczb
2) DES jest sprawdzonym i przemysłowo uzywanym algorytmem. Ma klucz 48
bitowy, a ponieważ tworzy nie tworzy grupy abelowej, to możliwe jest
zwiększenie długości klucza n razy przez 2*n+1 iteracji algorytmu. Stąd
popularność 3DES o kluczu 96 bitów, czy 5DES o 144 bitowym kluczu. Przy
założeniu, że klucz jest okresowo zmieniany (bo uzyskiwany w procesie
autentykacji algorytmem niesymetrycznym), nie istnieją realne szanse na
złamanie DES-a. Jeśli twierdzisz, że nie mam racji, bo czytałeś w xxx, ze
DES został złamany, to przeczytaj dobrze w jakich warunkach uzyskano
odzyskanie klucza.
From: "Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl>
Subject: Re: Karty FUN
Date: Sat, 25 Jun 2005 12:35:36 +0200
William wrote:
1) Z tego co wiem karty FUN są tak bezpieczne jak sam Atmelek. Jeśli klucz
będziesz trzymał w EEPROMie procesora a nie tym zewnętrznym i
zaprogramujesz
bity blokad, to metodą nieinwazyjną się go nie odczyta.
Metoda inwazyjna nie wchodzi w grę ze względu na specyfikę
problemu, więc są szanse, że to wystarczy.
2) DES jest sprawdzonym i przemysłowo uzywanym algorytmem.
Nie jest już używany w zastosowaniach wymagających większego
niż niski poziomu bezpieczeństwa. Da się go złamać w ~2^47 prób,
co dla dzisiejszych maszyn jest dość proste. Nawet pełny przegląd
przestrzeni kluczy, czyli 2^56 prób, dla pojedynczej maszyny
zdolnej przeanalizować 300 mln kluczy na sekundę to ~7,5 roku.
Weź takich maszyn 100 i otrzymasz bardzo sensowny czas łamania
metodą brute force przy niewielkiej cenie. A są znacznie bardziej
wyrafinowane rodzaje kryptoanalizy.
Ma klucz 48 bitowy
56-bitowy (tj. klucz ma 64 bity, ale 8 to bity parzystości
i nic nie wnoszą do bezpieczeństwa).
Przy założeniu, że klucz jest okresowo zmieniany
Nie jest okresowo zmieniany, bo właściwości urządzenia
współpracującego z kartą SmartCard na to niestety nie
pozwalają. Dlatego klucz musi być badzo bezpieczny, nie
można sobie pozwolić na jego odtworzenie w sensownym
czasie metodą analizy kryptogramów.
nie istnieją realne szanse na złamanie DES-a.
Wet dreams, Williamie. :-)
Jeśli twierdzisz, że nie mam racji, bo czytałeś w xxx, ze DES został
złamany,
Twierdzę, że bardzo głęboko wierzysz w bezpieczeństwo oferowane przez
DES i inne algorytmy z krótkim kluczem. A moje źródło to nasi kryptologowie
z drugiego końca korytarza oraz choćby tak podstawowa książka, jak
"Applied Cryptography". Sądzę, że to nieco lepiej, niż xxx...
Pozdrawiam
Piotr Wyderski
From: Adam Dybkowski <adybkows123_at_nospam_amwaw.edu.pl>
Subject: Re: Karty FUN
Date: Sun, 26 Jun 2005 01:10:36 +0200
Piotr Wyderski wrote:
2) DES jest sprawdzonym i przemysłowo uzywanym algorytmem.
Nie jest już używany w zastosowaniach wymagających większego
niż niski poziomu bezpieczeństwa. Da się go złamać w ~2^47 prób
Była tu też mowa o zwielokratnianiu klucza. O ile wiem, 3DES'a nikt
jeszcze nie pokonał, a 5DES (czyli tak jakby 5 DESów z różnymi kluczami)
to już w ogóle byłby fajny pomysł. Tylko w praktyce rzeczywiście nie
jest, bo DES'a wymyślali matematycy. Kto inny by wpadł na klucz o
długości 56 bitów? :-[=] Znacznie lepszym - i szybszym - obecnie
stosowanym algorytmem kryptografii symetrycznej jest AES (Rijndael).
Można go skalować do różnej długości klucza (standard to 128 lub 256
bitów), operuje się efektywnie na liczbach 32-bitowych używając tylko
przesunięć, XOR'ów i dodawań, a przez to sam algorytm fajnie się poddaje
upakowaniu w różnej maści układach FPGA czy ASIC'ach. Istnieją też
implementacje 8-bitowe.
--
Adam Dybkowski
http://www.amwaw.edu.pl/~adybkows/
Uwaga: przed wysłaniem do mnie maila usuń "123" z adresu.
From: "Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl>
Subject: Re: Karty FUN
Date: Sun, 26 Jun 2005 03:16:09 +0200
Adam Dybkowski wrote:
Była tu też mowa o zwielokratnianiu klucza. O ile wiem,
3DES'a nikt jeszcze nie pokonał
Jeszcze.
Tylko w praktyce rzeczywiście nie jest, bo DES'a wymyślali matematycy.
Każdy skuteczny algorytm kryptograficzny wymyślili matematycy. :-)
Kto inny by wpadł na klucz o długości 56 bitów? :-[=]
Pierwotnie miał 112 bitów, ale się to NSA nie spodobało i kazali skrócić.
Znacznie lepszym - i szybszym - obecnie stosowanym algorytmem
kryptografii symetrycznej jest AES (Rijndael). Można go skalować
do różnej długości klucza (standard to 128 lub 256 bitów),
Wiem, właśnie go implementuję w FPGA. :->
operuje się efektywnie na liczbach 32-bitowych używając tylko przesunięć,
XOR'ów i dodawań
Nie ma dodawań, tj. są, ale w GF(2^8), czyli xor.
a przez to sam algorytm fajnie się poddaje upakowaniu
w różnej maści układach FPGA czy ASIC'ach.
Nie na każdej FPGA da się zrobić szyfrator -- najsłabszym
ogniwem całego systemu będzie właśnie macierz FPGA. Co
z tego, że zaimplementuje się dobry algorytm kryptograficzny,
skoro z kości da się wyjąć klucz? Stąd z miejsca odpadają
wszystkie kostki SRAMowe, a więc Altera i Xilinx nie ma tu
czego szukać. Anifuse'owe też lepiej sobie odpuścić, więc
zostają tylko flashowe: ProASiC Plus Actela i Lattice XP.
Tylko nie postawie duzych pieniędzy na to, że i one są
bezpieczne: analiza statystyczna mocy pobieranej, rejestracja
emisji elektromagnetycznej chipu, czy w koncu wpuszczanie
układowi glitchy w zasilanie albo naświetlanie go mikrofalami,
by zaczął popełniać błędy naprawdę bardzo ułatwia odtworzenie
klucza. O takich ciekawostkach jak "wypalanie się" informacji
w komórkach pamięci SRAM (!!!) i istnienie związanej z tym
silnej statystycznej tendencji do przyjmowania określonych
stanów w kontrolowanych warunkach zasilania nie wspomnę.
Parę lat temu pewni ludzie tak wyjęli klucz prywatny
z szyfratora bankowego i się nawet dziwili, że im tak szybko
poszło. Mam parę prac na ten temat z ACM digital library
-- to jest płatne, więc mogę Ci udostępnić kopię pod warunkiem
zobowiązania się do nierozpowszechniania.
W implementacjach programowych z kolei bardzo dużo daje
pośredni (za pomocą mocy pobieranej) pomiar czasu wykonania
poszczególnych gałęzi programu kryptograficznego, dlatego też
szyfratory należy pisać tak, by każda możliwa ścieżka wykonania
programu zajmowała tyle samo.
Adamie, zapewniam, że nie wystarczy sciągnąć z sieci dokumentacji
algorytmu krytptograficznego, przeczytać jej ze zrozumieniem i
następnie napisać jego poprawną implementację. W ten sposób
otrzyma się tylko _działający_ szyfrator. Do bezpiecznego
szyfratora jest jednak jeszcze niezwykle daleko.
Pozdrawiam
Piotr Wyderski
From: Adam Dybkowski <adybkows123_at_nospam_amwaw.edu.pl>
Subject: Re: Karty FUN
Date: Mon, 27 Jun 2005 01:09:27 +0200
Piotr Wyderski wrote:
Nie na każdej FPGA da się zrobić szyfrator -- najsłabszym
ogniwem całego systemu będzie właśnie macierz FPGA. Co
z tego, że zaimplementuje się dobry algorytm kryptograficzny,
skoro z kości da się wyjąć klucz?
To może spójrz na problem z innej strony: weź pasujący Ci FPGA (choćby i
z pamięcią SRAM) i bootuj go z bezpiecznej kostki (np. AVR). Jeszcze
tylko pozostaje zapewnić bezpieczne środowisko aby nikt nie mógł
podejrzeć tego bootowania i po problemie.
Adamie, zapewniam, że nie wystarczy sciągnąć z sieci dokumentacji
algorytmu krytptograficznego, przeczytać jej ze zrozumieniem i
następnie napisać jego poprawną implementację. W ten sposób
otrzyma się tylko _działający_ szyfrator. Do bezpiecznego
szyfratora jest jednak jeszcze niezwykle daleko.
Jasne. Mimo wszystko wiele problemów zniknie gdy zapewnisz bezpieczne
środowisko pracy i nie będziesz bootował FPGA gdy np. ktoś się do niego
podczepi / otworzy obudowę itp.
Więcej szczegółów nie piszę, bo muszę z czegoś żyć. :) To m.in. robimy w
firmie:
http://www.tl2000.com.pl/produkty_bezpieczenstwo.html
--
Adam Dybkowski
http://www.amwaw.edu.pl/~adybkows/
Uwaga: przed wysłaniem do mnie maila usuń "123" z adresu.
From: "Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl>
Subject: Re: Karty FUN
Date: Mon, 27 Jun 2005 02:26:08 +0200
Adam Dybkowski wrote:
To może spójrz na problem z innej strony: weź pasujący Ci FPGA (choćby i z
pamięcią SRAM) i bootuj go z bezpiecznej kostki (np. AVR). Jeszcze tylko
pozostaje zapewnić bezpieczne środowisko aby nikt nie mógł podejrzeć tego
bootowania i po problemie.
Właśnie o to chodzi, że nie istnieje coś takiego, jak bezpieczne środowisko.
Pomysł z bootowaniem z klucza przyszedł mi do głowy jako jeden z pierwszych,
ale szybko wymyśliłem kilka sposobów na złamanie takiego systemu.
Podstawowym problemem w przypadku SRAMowych kostek jest to, że tak
naprawdę nie wiadomo, co jest konfigurowane i co odsyła potwierdzenia
-- klasyczny man in the middle attack. Dlatego idealnie nadający się do
szyfrowania Cyclone 1C3-8 szybko odpadł jako potencjalny kandydat
-- po pierwsze konfiguracja nie jest bezpieczna (przy czym nie chodzi
o jej jawność, lecz podatność na zmiany), a po drugie nie da się na
nim zrobić bezpiecznej dystrybucji kluczy. O takich detalach jak
nieblokowalny
JTAG i readback litościwie nie wspomnę. Dlatego teraz "na warsztacie"
jest ProASIC+.
Mimo wszystko wiele problemów zniknie gdy zapewnisz bezpieczne środowisko
pracy
Wsadzenie głowy w piasek nie powoduje zniknięcia problemu;
jedynym efektem takiego działania może być poprawa samopoczucia.
i nie będziesz bootował FPGA gdy np. ktoś się do niego podczepi
To jest nie do wykrycia i sam dobrze o tym wiesz. :-)
To m.in. robimy w firmie:
http://www.tl2000.com.pl/produkty_bezpieczenstwo.html
To chyba konkurencja wam rośnie. :-)
Pozdrawiam
Piotr Wyderski
From: Adam Dybkowski <adybkows123_at_nospam_amwaw.edu.pl>
Subject: Re: Karty FUN
Date: Mon, 27 Jun 2005 21:54:26 +0200
Piotr Wyderski wrote:
To m.in. robimy w firmie:
http://www.tl2000.com.pl/produkty_bezpieczenstwo.html
To chyba konkurencja wam rośnie. :-)
Dobrze wiedzieć, gdzie się udać jak mi się znudzi obecna firma. :)
--
Adam Dybkowski
http://www.amwaw.edu.pl/~adybkows/
Uwaga: przed wysłaniem do mnie maila usuń "123" z adresu.
From: "William" <nie_at_nospam_ma.mnie.pl>
Subject: Re: Karty FUN
Date: Mon, 27 Jun 2005 10:33:34 +0200
2) DES jest sprawdzonym i przemysłowo uzywanym algorytmem.
Nie jest już używany w zastosowaniach wymagających większego
niż niski poziomu bezpieczeństwa. Da się go złamać w ~2^47 prób,
co dla dzisiejszych maszyn jest dość proste. Nawet pełny przegląd
przestrzeni kluczy, czyli 2^56 prób, dla pojedynczej maszyny
zdolnej przeanalizować 300 mln kluczy na sekundę to ~7,5 roku.
Weź takich maszyn 100 i otrzymasz bardzo sensowny czas łamania
metodą brute force przy niewielkiej cenie. A są znacznie bardziej
wyrafinowane rodzaje kryptoanalizy.
Dobrze mi się wydawało, że ulegasz "paranoi złamanego DES". Warunkiem
powyższego jest znanie zarówno wiadomosci tajnej jak i jawnej. Ewentulanie
umiejętnosć oceny, czy wynikowa wartość stanowi właściy wynik deszyfracji Na
ile jest to twoim zdaniem realny przykład ? Wyobraź sobie że szyfrujesz
DES-em kanał rozmówny. Zakładasz, że wystarczą 3 sekundy by ocenić, czy dana
próbka to ludzkie słowa. Do analizy potrzebujesz 2^47 * 3 = 13 milionów
osobolat.
Przy założeniu, że klucz jest okresowo zmieniany
Nie jest okresowo zmieniany, bo właściwości urządzenia
współpracującego z kartą SmartCard na to niestety nie
pozwalają. Dlatego klucz musi być badzo bezpieczny, nie
można sobie pozwolić na jego odtworzenie w sensownym
czasie metodą analizy kryptogramów.
Nie zrozumielismy się. W karcie przechowujesz certyfikat dla algorytmu
niesymetrycznego (wolnego). Nim generujesz okresowo klucze dla algorytmu
symetrycznego (szybkiego) - bez przechowywania ich w karcie. Częstotliwość
zmiany klucza jest kompromisem odporności na złamanie i złozonosci
obliczeniowej. Pomyśl sam. Co warte jest łamanie przez potężny klaster za
milion USD DES-a w np. 24h, jeśli ty zmieniasz mu klucz co kilobajt danych ?
nie istnieją realne szanse na złamanie DES-a.
Wet dreams, Williamie. :-)
Miewam słodkie sny, ale tylko o kobietach :) Ale żeby było już zupełnie
jasno napiszę to zdanie tak:
Możliwe jest w pełni bezpieczne używanie DES jako bardzo szybkiego algorytmu
szyfrowania kanałowego, przy założeniu, że używamy go świadomi możliwych
prób ataku i im zapobiegamy.
From: "PAndy" <pandrw_at_nospam_poczta.onet.pl>
Subject: Re: Karty FUN
Date: Mon, 27 Jun 2005 10:59:26 +0200
"William" <nie_at_nospam_ma.mnie.pl> wrote in message
news:d9odfr$mh6$1_at_nospam_inews.gazeta.pl...
ciach
nie istnieją realne szanse na złamanie DES-a.
Wet dreams, Williamie. :-)
Miewam słodkie sny, ale tylko o kobietach :) Ale żeby było już zupełnie
jasno napiszę to zdanie tak:
ze sie wtrace... Wet to mokry ;)
From: "William" <nie_at_nospam_ma.mnie.pl>
Subject: Re: Karty FUN
Date: Mon, 27 Jun 2005 11:14:38 +0200
ze sie wtrace... Wet to mokry ;)
No tak, to kolega przedpiszca zrobił bład ortograficzny z związku
frazeologicznym "sweet dreams" :)
From: "Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl>
Subject: Re: Karty FUN
Date: Mon, 27 Jun 2005 11:45:59 +0200
William wrote:
No tak, to kolega przedpiszca zrobił bład ortograficzny z związku
frazeologicznym "sweet dreams" :)
Nie zrobiłem żadnego błędu, ale lepiej nie wracajmy do tego. :o)
Pozdrawiam
Piotr Wyderski
From: J.F. <jfox_xnospamx_at_nospam_poczta.onet.pl>
Subject: Re: Karty FUN
Date: Mon, 27 Jun 2005 11:32:27 +0200
On Mon, 27 Jun 2005 10:33:34 +0200, William wrote:
2) DES jest sprawdzonym i przemysłowo uzywanym algorytmem.
Nie jest już używany w zastosowaniach wymagających większego
niż niski poziomu bezpieczeństwa. Da się go złamać w ~2^47 prób,
Dobrze mi się wydawało, że ulegasz "paranoi złamanego DES". Warunkiem
powyższego jest znanie zarówno wiadomosci tajnej jak i jawnej.
Piotr chce uzyc do dostepu, czyli zasadniczo obie wartosci sa znane.
Ewentulanie
umiejętnosć oceny, czy wynikowa wartość stanowi właściy wynik deszyfracji
np wiemy ze na poczatku pisze "Rozkaz Dzienny ..." :-)
Na ile jest to twoim zdaniem realny przykład ? Wyobraź sobie że szyfrujesz
DES-em kanał rozmówny. Zakładasz, że wystarczą 3 sekundy by ocenić, czy dana
próbka to ludzkie słowa. Do analizy potrzebujesz 2^47 * 3 = 13 milionów
osobolat.
Albo zaklejamy guma mikrofon i po chwili mamy ciag zaszyfrowanych
probek o amplitudzie zero. Mozna tez wyszukac najczesciej wystepujace
kody .. i to pewnie bedzie "cisza w mikrofonie", czyli jakies
nieglosne szumy ..
Możliwe jest w pełni bezpieczne używanie DES jako bardzo szybkiego algorytmu
szyfrowania kanałowego, przy założeniu, że używamy go świadomi możliwych
prób ataku i im zapobiegamy.
Taaa - bedziesz zmienial kody czesto, a potem sie okaze ze z
tygodniowym opoznieniem ale przeciwnik jednak wiadomosci czyta.
90% okazuje sie byc przeterminowana, ale 10% jest bardzo ciekawa.
A i tych 90% mozna uzyc np do weryfikacji innych zrodel..
J.
From: "Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl>
Subject: Re: Karty FUN
Date: Mon, 27 Jun 2005 12:09:50 +0200
William wrote:
Na ile jest to twoim zdaniem realny przykład ?
Zależy od konkretnj sytuacji. Jeśli szyfruję bloki zawierające
informacje, których "poprawność" jest trudna do oceny, to
łamanie klucza będzie bardziej skomplikowane. Jeśli jednak
są to dane wymieniane przez systemy cyfrowe, to bardzo
często mają one określony nagłówek lub inne cechy
umożliwiające odzucenie błędnych kluczy i wówczas łamanie
jest proste albo bardzo proste. Np. jeśli zaszyfrujesz obraz
binarny dyskietki, to sektor startowy jest bardzo dobrym
kandydatem do testowania klucza, nagłówki plików również.
Wyobraź sobie że szyfrujesz DES-em kanał rozmówny.
W takiej sytuaci DES można uznać za bezpieczny. Ja jednak
mówię o zupełnie innym zastosowaniu: szyfrowaniu danych
komputerowych. A tu znacznie łatwiej ocenić, czy klucz jest
niepoprawny. Do tego w ich przypadku często nie można sobie
pozwolić na luksus zmiany klucza, bo wynik został np. nagrany
na CD-ROM. I wówczas przy zastosowaniu DESa bezpieczeństwa
już praktycznie nie ma: w najprostszym przypadku kupujesz 100
FPGA i wkładasz w nie szyfratory DES, szyfrujące bloki wszystkimi
możliwymi kluczami -- jeśli uda się wyciągnąć testowanie 300 mln
kluczy na sekundę na układ (co powinno być dość proste do
osiągnięcia w przypadku potokowej i zwielokrotnionej implementacji
DES), to pełny przegląd kluczy zostanie wykonany w 27,8 dnia
za cenę ~30 tys zł. + prąd. To brute force, a można lepiej...
Częstotliwość zmiany klucza jest kompromisem odporności na
złamanie i złozonosci obliczeniowej.
Oraz ograniczeń wynikających z natury samego problemu, co
w kilku interesujących mnie przypadkach daję częstotliwość = 0...
Co warte jest łamanie przez potężny klaster za milion USD DES-a w np. 24h,
Za te pieniądze będzie szybciej.
Pozdrawiam
Piotr Wyderski
From: "Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl>
Subject: Re: Karty FUN
Date: Mon, 27 Jun 2005 12:25:48 +0200
Piotr Wyderski wrote:
Co warte jest łamanie przez potężny klaster za milion USD DES-a w np.
24h,
Za te pieniądze będzie szybciej.
Ciekawostka: w 1996 r. szacowano, że NSA potrzebuje średnio
kilkunastu minut na złamanie DES. Oczywiście fundusze mają
"nieco" większe niż przecietny człowiek, ale i było to 10 lat temu.
Pozdrawiam
Piotr Wyderski
From: "William" <nie_at_nospam_ma.mnie.pl>
Subject: Re: Karty FUN
Date: Mon, 27 Jun 2005 12:35:03 +0200
Oraz ograniczeń wynikających z natury samego problemu, co
w kilku interesujących mnie przypadkach daję częstotliwość = 0...
Przyznam szczerze, że nie potrafię sobie wyobrazić sytuacji, gdy nie da
się dzielić wiadomosci na bloki i uzywać N kluczy generowanych przez inny
(silny lecz zasobochłonny) algorytm szyfrujący z sekwencji. Nawet w
przypadku szyfrowania cawartości CD nikt ci nie broni wygenerować np. 1024
klucze dla DES-u i szyfrować każdy sektor po kolei kolejnym. Argument o
złamaniu klucza na boot-sectorze od razu upadnie.
From: "Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl>
Subject: Re: Karty FUN
Date: Mon, 27 Jun 2005 12:51:18 +0200
William wrote:
Przyznam szczerze, że nie potrafię sobie wyobrazić sytuacji, gdy nie da
się dzielić wiadomosci na bloki i uzywać N kluczy generowanych przez inny
(silny lecz zasobochłonny) algorytm szyfrujący z sekwencji.
Choćby szyfrator zawartości dysków: musisz umieć błyskawicznie
zdekodować dowolnie wskazany sektor, a więc m.in. szybko
dobrać do niego odpowiedni klucz. I teraz są dwie możliwości:
albo ten klucz jest generowany dynamicznie z "master key"
na podstawie numeru sektora, albo klucze są niezależne i
wybierane z tabeli. W pierwszym przypadku wystarczy odtworzenie
jednego klucza oraz algorytmu generowania następnych, w drugim
potrzeba olbrzymiej, co najmniej kilkudziesięciokilobajtowej (choć
dopiero kilka MiB będzie wyglądać sensownie) bezpiecznej
pamięci nieulotnej na pamiętanie kluczy -- a takiej kombinacji cech
(szybkość + duża i bezpieczna pamięć nieulotna) nie ma żaden
z dostępnych na rynku układów: są albo szybkie FPGA z mikroskopijną
pamięcią (do tego RAM...), albo wolne procesory. To samo zastosowanie
ma również tę wadę, że klucze nie podlegają zmianie.
Pozdrawiam
Piotr Wyderski
From: Adam Dybkowski <adybkows123_at_nospam_amwaw.edu.pl>
Subject: Re: Karty FUN
Date: Sun, 26 Jun 2005 01:06:03 +0200
Piotr Wyderski wrote:
Poczytaj może raczej o secure AVRach, np. AT90SC3232CS:
http://www.atmel.com/dyn/products/devices.asp?family_id=662
podlegają ograniczeniom eksportowym) albo generator liczb
losowych (o którym niczego nie napisano -- ani nie podano
zasady działania, ani wyników testów statystycznych i dokładnego
opisu metodologii pomiarów). I ostatnia, ale najmniej ważna rzecz:
spora część dokumentacji jest pod NDA. :-)
A czego się spodziewałeś? Większość fajnych rzeczy wymaga podpisania
NDA. Wtedy się pewnie dowiesz co i jak z tym RNG (Random Noise
Generator), jak go oprogramować itp., bo udostępniany na stronie PDF ma
kilka stron na krzyż i służy tylko do "lizania przez szybę" możliwości
secure AVR'ów.
No ale jak Ci wystarcza standardowe zabezpieczenie stosowane w
popularnych mikrokontrolerach (lockbitami) i wierzysz w jego
skuteczność, weź pierwszy z brzegu AVR o peryferiach pasujących do potrzeb.
--
Adam Dybkowski
http://www.amwaw.edu.pl/~adybkows/
Uwaga: przed wysłaniem do mnie maila usuń "123" z adresu.
From: "Piotr Wyderski" <wyderskiREMOVE_at_nospam_ii.uni.wroc.pl>
Subject: Re: Karty FUN
Date: Sun, 26 Jun 2005 03:23:30 +0200
Adam Dybkowski wrote:
A czego się spodziewałeś?
Czytelnej i jawnej dokumentacji. NDA niczego nie zmienia,
jeśli chodzi o bezpieczeństwo, może co najwyżej poprawić
samopoczucie. A w obecnej sytuacji to ja mogę tylko pokazać
Atmelowi Międzynarodowy Gest Przyjaźni i poszukać sobie
czegoś innego...
Wtedy się pewnie dowiesz co i jak z tym RNG (Random Noise Generator), jak
go oprogramować itp
Ja nie chcę go oprogramować, tylko poznać własności
statystyczne, rozkłady wyników w przestrzeniach
wielowymiarowych itd. Dopiero później mogę pomyśleć
albo o jego oprogramowaniu, albo o wyłączeniu i
zastąpieniu czymś ODPOWIEDNIM. Byś się zdziwił,
jakie regularności mogą przejawiać sprzętowe
generatory liczb "losowych" w przestrzeni np.
sześciowymiarowej.
No ale jak Ci wystarcza standardowe zabezpieczenie stosowane w popularnych
mikrokontrolerach (lockbitami) i wierzysz w jego skuteczność, weź pierwszy
z brzegu AVR o peryferiach pasujących do potrzeb.
Na początek wystarczy, co nie znaczy, że wierzę w jego jakość.
Pozdrawiam
Piotr Wyderski