Går vi mot en kryptokalyps? Lars Johansson lars.johansson@omegapoint.se
Källa: http://www.washingtonpost.com/world/national-security/nsa-seeks-to-build-quantum-computer-that-could-crack-most-typesof-encryption/2014/01/02/8fff297e-7195-11e3-8def-a33011492df2_story.html 2
3 2013 års händelser
Översikt Krypteringens grunder Nya framsteg i kryptoanalys Elliptiska kurvor? Vad har NSA med saken att göra? 4
Kryptering Från grekiskans χρψπτο (crypto) = dold Tidigare var algoritm och nyckel hemliga. I dag är algoritmerna kända. I vissa fall är även nycklarna publika. Klassiskt caesarkrypto (k = 3) A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Å A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Å CRYPTO = FUÄSWR 5
Terminologi Kryptografi konsten att hålla meddelanden hemliga Kryptoanalys konsten att knäcka krypton Kryptologi läran om de matematiska principerna bakom kryptering 6
Olika typer av kryptering Symmetrisk kryptering Samma nyckel för kryptering och dekryptering Svårighet: Hur ska två parter enas om en nyckel? Asymmetrisk kryptering Olika nycklar för kryptering och dekryptering Vinst: Man kan ge varandra sina publika nycklar 7
Pionjärerna Martin Hellman & Whitfield Diffie Adi Shamir, Ron Rivest & Leonard Adleman 8 James H. Ellis Clifford Cocks Malcolm Williamson
Enkelriktade funktioner x Exponentiering är enkelt! Logaritmer är svårt! y = g x p, q Multiplikation är enkelt! Faktorisering är svårt! n (= p*q) 9
Alice GA = g a Diffie-Hellman GA GB Bob GB = g b GAB = GB a = g ab GAB = GA b = g ab Diffie-Hellman Problemet: Givet GA och GB, hitta GAB 10
11 Praktiska resultat
Vad händer 2013? Antoine Joux 12
Faktorisering: Eratosthenes såll & Pollard s rho metod DLP: Pollard s rho metod Faktorisering: Quadratic sieve DLP: Index calculus DLP: NFS & FFS Faktorisering: GNFS DLP i GF(2 n ): Joux 1975 1978 1984 1987 1993 1994 2013 13
Elliptic Curve Cryptography Koblitz & Miller 1985 Wiles använde elliptiska kurvor i beviset av Fermats stora sats ECDLP är diskreta logaritmproblemet över elliptiska kurvor Finns inga kända genvägar Omkompilering av krypton: i. ECDH motsvarar Diffie-Hellman ii. ECDSA motsvarar DSA 14
15
16
NIST rekommendationer Symmetric DH or RSA ECC Knäckt! 56 512 112 80 1024 160 112 2048 224 128 3072 256 192 7680 384 256 15360 512+ Källa: NIST SP 800-57, part 1, July 2012 17
Fysikaliska begränsningar Landauers princip: Krävs k*t*ln2 2.8x10-21 Joule för att flippa en bits information Uttömmande prövning av 128 bitars symmetrisk nyckel kräver i snitt 2 127 flips Motsvarar ca 10 18 Joule 270 TWh Årsproduktionen av >10 kärnkraftverk i Forsmarks storlek Dagens datorer förbrukar miljontals gånger mer energi! 18
Energiåtgång Bitar Prak5k Landauer Motsvarar 56 130 kwh ( 0,03 μwh) El- element i 1v 80? 0,5 Wh Glödlampa i 30 sek 112? 2,1 GWh 1 Forsmark i 1 Hm 128? 270 TWh 10 st Forsmark i 1 år 192? 10 21 TWh (Atomer i solen) 256? 10 40 TWh (Atomer i universum) 19
20
Dragning av NSA för GCHQ 21 http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security
Slumptal Dual_EC_DRBG Källa: http://rump2007.cr.yp.to/15-shumow.pdf 22
Implementationer Microsoft Tillverkare OpenSSL Software Foundation Produkt Windows 8, Windows Server 2012, etc OpenSSL FIPS Object Module RSA Security (+McAfee) BSAFE Crypto-J Software Module + BSAFE Crypto-C ME Blackberry (Certicom) Cisco Juniper Networks OpenPeak Samsung Symantec Thales e-security Security Builder FIPS core + Algorithm Lib for Secure Work Space CiscoSSL FIPS Object Module Pulse Cryptographic Module Cryptographic Security Module OpenSSL Cryptographic Module DLP Crypto Engine Datacryptor DUAL_EC-DRBG 23 Källa: http://csrc.nist.gov/groups/stm/cavp/documents/drbg/drbgval.html
Varför? x Exponentiering är enkelt! Logaritmer är svårt! y = g x Slump! p, q Multiplikation är enkelt! Faktorisering är svårt! n (= p*q) 24
Indikationer på dålig slump Idé: gcd(pq, qr) = q kan beräknas snabbt! Skannade alla (!!) IPv4-addresser på 24 h efter TLS- & SSH-nycklar som laddades ner under 4 dygn Processade 11 milj nycklar på 1,5 timme på Amazons moln för $5 Hittade 918 000 nycklar som inte var unika (19 000 pga dålig slump) Hittade 65 000 nycklar (0,5 %) med (parvis) gemensama faktorer där den privata nyckeln kunde härledas! Nadia Henninger 25 Källa: Mining Your Ps and Qs: Detection of Widespread Weak Keys in Network Devices
Euklides algoritm Nyckel A: 13*17 = 221 Nyckel B: 11*17 = 187 Räkneexempel: 221 = 1*187 + 34 187 = 5*34 + 17 34 = 2*17
Slutsatser Kryptokalypsen är inte här ännu! (bara lite J ) Stark kryptering fungerar! Det kan vara dags att på allvar överväga ECC NSA har behov av bakdörrar i. men knappast någon kvantdator Är öppen källkod verkligen säkrare? i. Kompilera endast de delar man behöver? Ompröva rekommendationen att inte själv implementera egen kryptokod? i. Dålig slump är akilleshälen i alla krypton ii. Felaktiga implementationer kan läcka klartext Lika enkelt som att skicka kuverterade brev? 27
Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on Edward Snowden 28
Välkommen Roger Bille Omegapoint AB roger.bille@omegapoint.se h9p://www.linkedin.com/in/rogerbille
Roger Bille InformaBonssäkerhet sedan 1989 Roller IT- chef (Sverige, Norden, Europa) Koncernsäkerhetschef InformaBonssäkerhetskonsult Konsultchef Ansvarig för DF Kompetens utbildningar inom InformaBonssäkerhet Intressen inom informabonssäkerhet: Möjliggörare Dela med mig ISO/IEC 27000- serien CerBfierad CPP (se www.asisonline.org) CISSP (se www.isc2.org) 2
En del av en helhet Strategisk informationssäkerhet Certifierad informationssäkerhetsarkitekt Teknisk informationssäkerhet Operativ informationssäkerhet 3
Standarder SVENSK STANDARD SS-ISO/IEC 27001:2013 SVENSK STANDARD SS-ISO/IEC 27002:2014 Utgåva 2 Utgåva 2 Informationsteknik Säkerhetstekniker Ledningssystem för informationssäkerhet Krav Information technology Security techniques Information security management systems Requirements Informationsteknik Säkerhetstekniker Vägledning för informationssäkerhetsåtgärder Information technology Security techniques Code of practice for Information security controls 4
Upplägg Teori Gruppuppgi_er Redovisningar Erfarenhetsutbyte 5
Strategisk informabonssäkerhet Verksamhetsmål och säkerhet OrganisaBon Styrande dokument Standarder Ledningssystem Juridik InformaBonsklassning Riskanalys Media Investeringar KonBnuitetsplanering 6
OperaBv informabonssäkerhet Säkerhetsmedvetenhet Säkerhetskravställning i outsourcing Fysisk säkerhet ITIL och säkerhet Förvaltning av säkerhet Compliance och revision Spårbarhet Krishantering Haveriberedskap (DR) Incidenthantering Säkerhet i utvecklingsprocessen TDD test- driven development DDS Domain- driven Security BSIMM Building Security in Maturity model OpenSAMM So_ware Assurance Maturity Model OWASP Open Web ApplicaBon Security Project Ny9an med kodgranskning och penetrabonstest 7
Teknisk informabonssäkerhet Grunder i kryptering Historik Olika kryptometoder Nyckellängder Dataräddning Dataradering Skydd mot hot från internet Säkerhetsåtgärder IAM IAG PAM PKI ECLC DLP SIEM IEEE 802.1x DNSSEC IPv6 8
CerBfierad informabonssäkerhetsarkitekt Tentamen Flervalsfrågor SkrivBd 3 Bmmar Inga hjälpmedel Hemuppgi_ Kopplade Bll deltagarens egna organisabon som direkt få en posibv ny9a Exempel på uppgi_er Genomföra en nulägesanalys mot målen i ISO 27002 och organisabonens egna regelverk Ta fram en riskanalysmodell och genomföra en riskanalys kring e9 verksamhetskribskt system Ta fram en dri_sgodkännandeprocess ubfrån säkerhetskrav och använda den Ta fram en säkerhetsmedvetenhetsutbildning anpassad Bll sin egna organisabon och genomföra minst en sådan. PresentaBon av hemuppgi_en 9
Kommande utbildningsbllfällen Strategisk informabonssäkerhet 10-12 mars 2014 15-17 september 2014 OperaBv informabonssäkerhet 7-9 april 2014 22-24 oktober 2014 Teknisk informabonssäkerhet 12-14 maj 2014 8-10 december 2014 CerBfierad informabonssäkerhetsarkitekt Del 1: 28 januari 2015 Del 2: 21-22 april 2015 10
Strategisk informationssäkerhet 11