Går vi mot en kryptokalyps?

Transkript

1 Går vi mot en kryptokalyps? Lars Johansson

2 Källa: 2

3 års händelser

4 Översikt Krypteringens grunder Nya framsteg i kryptoanalys Elliptiska kurvor? Vad har NSA med saken att göra? 4

5 Kryptering Från grekiskans χρψπτο (crypto) = dold Tidigare var algoritm och nyckel hemliga. I dag är algoritmerna kända. I vissa fall är även nycklarna publika. Klassiskt caesarkrypto (k = 3) A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Å A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Å CRYPTO = FUÄSWR 5

6 Terminologi Kryptografi konsten att hålla meddelanden hemliga Kryptoanalys konsten att knäcka krypton Kryptologi läran om de matematiska principerna bakom kryptering 6

7 Olika typer av kryptering Symmetrisk kryptering Samma nyckel för kryptering och dekryptering Svårighet: Hur ska två parter enas om en nyckel? Asymmetrisk kryptering Olika nycklar för kryptering och dekryptering Vinst: Man kan ge varandra sina publika nycklar 7

8 Pionjärerna Martin Hellman & Whitfield Diffie Adi Shamir, Ron Rivest & Leonard Adleman 8 James H. Ellis Clifford Cocks Malcolm Williamson

9 Enkelriktade funktioner x Exponentiering är enkelt! Logaritmer är svårt! y = g x p, q Multiplikation är enkelt! Faktorisering är svårt! n (= p*q) 9

10 Alice GA = g a Diffie-Hellman GA GB Bob GB = g b GAB = GB a = g ab GAB = GA b = g ab Diffie-Hellman Problemet: Givet GA och GB, hitta GAB 10

11 11 Praktiska resultat

12 Vad händer 2013? Antoine Joux 12

13 Faktorisering: Eratosthenes såll & Pollard s rho metod DLP: Pollard s rho metod Faktorisering: Quadratic sieve DLP: Index calculus DLP: NFS & FFS Faktorisering: GNFS DLP i GF(2 n ): Joux

14 Elliptic Curve Cryptography Koblitz & Miller 1985 Wiles använde elliptiska kurvor i beviset av Fermats stora sats ECDLP är diskreta logaritmproblemet över elliptiska kurvor Finns inga kända genvägar Omkompilering av krypton: i. ECDH motsvarar Diffie-Hellman ii. ECDSA motsvarar DSA 14

15 15

16 16

17 NIST rekommendationer Symmetric DH or RSA ECC Knäckt! Källa: NIST SP , part 1, July

18 Fysikaliska begränsningar Landauers princip: Krävs k*t*ln2 2.8x10-21 Joule för att flippa en bits information Uttömmande prövning av 128 bitars symmetrisk nyckel kräver i snitt flips Motsvarar ca Joule 270 TWh Årsproduktionen av >10 kärnkraftverk i Forsmarks storlek Dagens datorer förbrukar miljontals gånger mer energi! 18

19 Energiåtgång Bitar Prak5k Landauer Motsvarar kwh ( 0,03 μwh) El- element i 1v 80? 0,5 Wh Glödlampa i 30 sek 112? 2,1 GWh 1 Forsmark i 1 Hm 128? 270 TWh 10 st Forsmark i 1 år 192? TWh (Atomer i solen) 256? TWh (Atomer i universum) 19

20 20

21 Dragning av NSA för GCHQ 21

22 Slumptal Dual_EC_DRBG Källa: 22

23 Implementationer Microsoft Tillverkare OpenSSL Software Foundation Produkt Windows 8, Windows Server 2012, etc OpenSSL FIPS Object Module RSA Security (+McAfee) BSAFE Crypto-J Software Module + BSAFE Crypto-C ME Blackberry (Certicom) Cisco Juniper Networks OpenPeak Samsung Symantec Thales e-security Security Builder FIPS core + Algorithm Lib for Secure Work Space CiscoSSL FIPS Object Module Pulse Cryptographic Module Cryptographic Security Module OpenSSL Cryptographic Module DLP Crypto Engine Datacryptor DUAL_EC-DRBG 23 Källa:

24 Varför? x Exponentiering är enkelt! Logaritmer är svårt! y = g x Slump! p, q Multiplikation är enkelt! Faktorisering är svårt! n (= p*q) 24

25 Indikationer på dålig slump Idé: gcd(pq, qr) = q kan beräknas snabbt! Skannade alla (!!) IPv4-addresser på 24 h efter TLS- & SSH-nycklar som laddades ner under 4 dygn Processade 11 milj nycklar på 1,5 timme på Amazons moln för $5 Hittade nycklar som inte var unika ( pga dålig slump) Hittade nycklar (0,5 %) med (parvis) gemensama faktorer där den privata nyckeln kunde härledas! Nadia Henninger 25 Källa: Mining Your Ps and Qs: Detection of Widespread Weak Keys in Network Devices

26 Euklides algoritm Nyckel A: 13*17 = 221 Nyckel B: 11*17 = 187 Räkneexempel: 221 = 1* = 5* = 2*17

27 Slutsatser Kryptokalypsen är inte här ännu! (bara lite J ) Stark kryptering fungerar! Det kan vara dags att på allvar överväga ECC NSA har behov av bakdörrar i. men knappast någon kvantdator Är öppen källkod verkligen säkrare? i. Kompilera endast de delar man behöver? Ompröva rekommendationen att inte själv implementera egen kryptokod? i. Dålig slump är akilleshälen i alla krypton ii. Felaktiga implementationer kan läcka klartext Lika enkelt som att skicka kuverterade brev? 27

28 Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on Edward Snowden 28

29 Välkommen Roger Bille Omegapoint AB h9p://

30 Roger Bille InformaBonssäkerhet sedan 1989 Roller IT- chef (Sverige, Norden, Europa) Koncernsäkerhetschef InformaBonssäkerhetskonsult Konsultchef Ansvarig för DF Kompetens utbildningar inom InformaBonssäkerhet Intressen inom informabonssäkerhet: Möjliggörare Dela med mig ISO/IEC serien CerBfierad CPP (se CISSP (se 2

31 En del av en helhet Strategisk informationssäkerhet Certifierad informationssäkerhetsarkitekt Teknisk informationssäkerhet Operativ informationssäkerhet 3

32 Standarder SVENSK STANDARD SS-ISO/IEC 27001:2013 SVENSK STANDARD SS-ISO/IEC 27002:2014 Utgåva 2 Utgåva 2 Informationsteknik Säkerhetstekniker Ledningssystem för informationssäkerhet Krav Information technology Security techniques Information security management systems Requirements Informationsteknik Säkerhetstekniker Vägledning för informationssäkerhetsåtgärder Information technology Security techniques Code of practice for Information security controls 4

33 Upplägg Teori Gruppuppgi_er Redovisningar Erfarenhetsutbyte 5

34 Strategisk informabonssäkerhet Verksamhetsmål och säkerhet OrganisaBon Styrande dokument Standarder Ledningssystem Juridik InformaBonsklassning Riskanalys Media Investeringar KonBnuitetsplanering 6

35 OperaBv informabonssäkerhet Säkerhetsmedvetenhet Säkerhetskravställning i outsourcing Fysisk säkerhet ITIL och säkerhet Förvaltning av säkerhet Compliance och revision Spårbarhet Krishantering Haveriberedskap (DR) Incidenthantering Säkerhet i utvecklingsprocessen TDD test- driven development DDS Domain- driven Security BSIMM Building Security in Maturity model OpenSAMM So_ware Assurance Maturity Model OWASP Open Web ApplicaBon Security Project Ny9an med kodgranskning och penetrabonstest 7

36 Teknisk informabonssäkerhet Grunder i kryptering Historik Olika kryptometoder Nyckellängder Dataräddning Dataradering Skydd mot hot från internet Säkerhetsåtgärder IAM IAG PAM PKI ECLC DLP SIEM IEEE 802.1x DNSSEC IPv6 8

37 CerBfierad informabonssäkerhetsarkitekt Tentamen Flervalsfrågor SkrivBd 3 Bmmar Inga hjälpmedel Hemuppgi_ Kopplade Bll deltagarens egna organisabon som direkt få en posibv ny9a Exempel på uppgi_er Genomföra en nulägesanalys mot målen i ISO och organisabonens egna regelverk Ta fram en riskanalysmodell och genomföra en riskanalys kring e9 verksamhetskribskt system Ta fram en dri_sgodkännandeprocess ubfrån säkerhetskrav och använda den Ta fram en säkerhetsmedvetenhetsutbildning anpassad Bll sin egna organisabon och genomföra minst en sådan. PresentaBon av hemuppgi_en 9

38 Kommande utbildningsbllfällen Strategisk informabonssäkerhet mars september 2014 OperaBv informabonssäkerhet 7-9 april oktober 2014 Teknisk informabonssäkerhet maj december 2014 CerBfierad informabonssäkerhetsarkitekt Del 1: 28 januari 2015 Del 2: april

39 Strategisk informationssäkerhet 11