---

Hej gruppe

Jeg skal til at implementere en kryptering på mails der bliver sendt
automatisk til en form for log-mailbox. Disse mails har alle næsten det
samme udgangspunkt hvor der kun er ændret det der står i [] ex:
<mail>
Hej [Jesper]

Vejret i morgen bliver [godt].
Håber du vil være med på stranden da vi kun er tilmeldt [3] personer ind til
nu.

mvh
/BeahKaj
</mail>
Jeg kan forestille mig at når man kender indholdet af EN tekst krypteret med
en algoritme, og man derefter ser en anden tekst krypteret med den samme
algoritme at det så er nemmere at gætte sig til den nøgle der er brugt.
Spørgsmålet er så:
Hvilken standardalgoritme er bedst i den slags kryptering, og hvorfor? De
mails jeg skal kryptere er ikke specielt lange(dog noget længere end
eksemplet...), og der bliver ikke sendt mere end måske 100 på en dag så jeg
forventer ikke et problem mht. kompleksiteten / recourse forbruget.

mvh.
/Jesper

---

LrsN wrote in <news:KfQw8.1384$kp3.117195@news010.worldonline.dk>:

> Hej gruppe
>
> Jeg skal til at implementere en kryptering på mails der bliver
> sendt automatisk til en form for log-mailbox. Disse mails har alle
> næsten det samme udgangspunkt hvor der kun er ændret det der står
> i [] ex:
[klip eksempel]
> Jeg kan forestille mig at når man kender indholdet af EN tekst
> krypteret med en algoritme, og man derefter ser en anden tekst
> krypteret med den samme algoritme at det så er nemmere at gætte
> sig til den nøgle der er brugt. Spørgsmålet er så:
> Hvilken standardalgoritme er bedst i den slags kryptering, og
> hvorfor? De mails jeg skal kryptere er ikke specielt lange(dog
> noget længere end eksemplet...), og der bliver ikke sendt mere end
> måske 100 på en dag så jeg forventer ikke et problem mht.
> kompleksiteten / recourse forbruget.

Mit bud er almindelig symmetrisk 3DES kryptering med en god stor nøgle.
3DES er stærk, meget veltestet og er - så vidt jeg ved - ikke sårbar
overfor den type krytoanalyse du omtaler. Så længe du sørger for at
udveksle nøglen over et sikkert medie (floppy?), forstås.

3DES bruger flere resourcer end for eksempel Blowfish, men hvis du kun
skal generere så få, burde det ikke betyde noget.

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

---

LrsN wrote:
>
> Hej gruppe
>
> Jeg skal til at implementere en kryptering på mails der bliver sendt
> automatisk til en form for log-mailbox. Disse mails har alle næsten det
> samme udgangspunkt hvor der kun er ændret det der står i [] ex:
> <mail>
> Hej [Jesper]
>
> Vejret i morgen bliver [godt].
> Håber du vil være med på stranden da vi kun er tilmeldt [3] personer ind til
> nu.
>
> mvh
> /BeahKaj
> </mail>
> Jeg kan forestille mig at når man kender indholdet af EN tekst krypteret med
> en algoritme, og man derefter ser en anden tekst krypteret med den samme
> algoritme at det så er nemmere at gætte sig til den nøgle der er brugt.
> Spørgsmålet er så:
> Hvilken standardalgoritme er bedst i den slags kryptering, og hvorfor? De
> mails jeg skal kryptere er ikke specielt lange(dog noget længere end
> eksemplet...), og der bliver ikke sendt mere end måske 100 på en dag så jeg
> forventer ikke et problem mht. kompleksiteten / recourse forbruget.

Den almindelige måde at løse dette og andre problemer på
er at generere en ny nøgle hver gang. Proceduren er altså
følgende:

1) Generer en tilfældig symetrisk nøgle.
2) Krypter beskeden med den nye nøgle. Helst i CBC mode.
3) Krypter den nye nøgle under en fast nøgle.

Det har desuden den fordel, at den faste nøgle så ikke
behøves være særlig effektiv. Den faste nøgle kunne f.eks.
være den offentlige nøgle i et asymetrisk nøglepar.

Bemærk, at dette kun sikrer hemmeligholdelse, signatur
kræver en anden løsning.


Ved valget af algoritme til den symetriske nøgle er der
nogle muligheder. Der findes DES og 3DES, som er ved at
være noget forælede. De er ikke særligt effektive, og de
lider under en meget lille cifferblok på kun 64 bits.
DES har desuden en alt for lille nøgle på kun 56 bits.
På grund af de små blokke bør ingen DES eller 3DES
nøgle bruges til mere end en halv MB før den udskiftes.

AES er designet til at erstatte den forældede DES
kryptering. Så vidt jeg erindrer er 256 bits AES lige så
hurtig som 3DES. (I en konkret implementation, hvor jeg
har lavet nogle tidsmålinger.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote in <news:3CC3EB38.E4343B9D@daimi.au.dk>:

[snip]
>> Hvilken standardalgoritme er bedst i den slags kryptering, og
>> hvorfor? De mails jeg skal kryptere er ikke specielt lange(dog
>> noget længere end eksemplet...), og der bliver ikke sendt mere
>> end måske 100 på en dag så jeg forventer ikke et problem mht.
>> kompleksiteten / recourse forbruget.
>
> Den almindelige måde at løse dette og andre problemer på
> er at generere en ny nøgle hver gang. Proceduren er altså
> følgende:
>
> 1) Generer en tilfældig symetrisk nøgle.
> 2) Krypter beskeden med den nye nøgle. Helst i CBC mode.
> 3) Krypter den nye nøgle under en fast nøgle.

Hvorfor? Hvad skulle fordelen være ved dette i forhold til 1, stærk,
nøgle?

> Det har desuden den fordel, at den faste nøgle så ikke
> behøves være særlig effektiv. Den faste nøgle kunne f.eks.
> være den offentlige nøgle i et asymetrisk nøglepar.

Hvorfor ikke? Det ville da være logisk at angribe den svageste af de 2
nøgler. Det eneste du, så vidt jeg kan se, får ud af din fremgangsmåde
er at give en angriber 2 angrebspunkter i stedet for et - i hvert fald
så længe den krypterede nøgle skal sendes over samme usikre medie som
de øvrige krypterede data.

[snip]
> Ved valget af algoritme til den symetriske nøgle er der
> nogle muligheder. Der findes DES og 3DES, som er ved at
> være noget forælede. De er ikke særligt effektive, og de
> lider under en meget lille cifferblok på kun 64 bits.
> DES har desuden en alt for lille nøgle på kun 56 bits.
> På grund af de små blokke bør ingen DES eller 3DES
> nøgle bruges til mere end en halv MB før den udskiftes.

Lad os se bort fra "plain" DES, da den kan brydes med brute force,
forudsat rimeligt store ressourcer.

Så vidt jeg husker, er 3DES reelt ikke belastet af DES's lille
blokstørrelse (jeg har ledt efter kilden, men kan ikke umiddelbart
finde den), og har en nøglestørrelse på hhv. 112 eller 168 bit alt
efter implementation (2 eller 3 nøgler). Kan du komme med nærmere
dokumentation for at 3DES skulle have brug for udskiftning af nøgle
efter kun en halv MB?

> AES er designet til at erstatte den forældede DES
> kryptering. Så vidt jeg erindrer er 256 bits AES lige så
> hurtig som 3DES. (I en konkret implementation, hvor jeg
> har lavet nogle tidsmålinger.)

AES er formodentlig både stærkere og hurtigere end 3DES. (Hurtigere er
den i hvert fald) Men den har ikke modstået mange års angreb og
kryptoanalyse, sådan som 3DES har. Og mig bekendt er det endnu ikke
lykkedes nogen at bryde 3DES, selv ikke ved known plaintext/chosen
ciphertext. Hvorfor ikke bare vælge den løsning der har den bedste
track record?

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

---

"Niels Callesøe" <pfy@nntp.dk> wrote in message news:Xns91F889F746F56k5j6h4jk3@193.88.15.213...

åhvad, jeg hedder også Kasper, så jeg kan vel tillade mig..

> > 1) Generer en tilfældig symetrisk nøgle.
> > 2) Krypter beskeden med den nye nøgle. Helst i CBC mode.
> > 3) Krypter den nye nøgle under en fast nøgle.
>
> Hvorfor? Hvad skulle fordelen være ved dette i forhold til 1, stærk,
> nøgle?

Hvis man vælger at kryptere i CBC mode med en fast nøgle,
og den første del at to beskeder er ens, så vil den også være
ens i de krypterede udgaver, dette anses for at lække information.
For at undgå dette skal der enten bruges en initialiseringsvektor,
der bruges til at xor'e første blok med, hvorved beskederne
bliver forskellige.
Eller som foreslået, sessionsnøglen skal ikke være fast.

> > Det har desuden den fordel, at den faste nøgle så ikke
> > behøves være særlig effektiv. Den faste nøgle kunne f.eks.
> > være den offentlige nøgle i et asymetrisk nøglepar.
>
> Hvorfor ikke? Det ville da være logisk at angribe den svageste af de 2
> nøgler. Det eneste du, så vidt jeg kan se, får ud af din fremgangsmåde
> er at give en angriber 2 angrebspunkter i stedet for et - i hvert fald
> så længe den krypterede nøgle skal sendes over samme usikre medie som
> de øvrige krypterede data.

For at rette et angreb mod en af de nøgler der bruges, skal vi have
et plaintext/ciphertext par. For den fælles nøgle er dette det tilfældige
tal der bliver genereret=plaintext, og det tal der sendes frit=ciphertext.
Kun det ene er tilgængeligt, det andet ikke. Så ikke noget par.
Den sessions-nøgle der bruges til krypteringen af selve meddelelsen kan
godt angribes, idet vi antager at angriberen skaffer/gætter plaintext på
anden vis.
Men angriberen har så kun een meddelelse at arbejde med for en given
ukendt nøgle, en fordel idet man ikke kan læse mere end een besked
selvom man knækker sessionsnøglen, og der ikke kan bygges ordbog
selv med lille blokstørrelse.

>
> [snip]
> > Ved valget af algoritme til den symetriske nøgle er der
> > nogle muligheder. Der findes DES og 3DES, som er ved at
> > være noget forælede. De er ikke særligt effektive, og de
> > lider under en meget lille cifferblok på kun 64 bits.
> > DES har desuden en alt for lille nøgle på kun 56 bits.
> > På grund af de små blokke bør ingen DES eller 3DES
> > nøgle bruges til mere end en halv MB før den udskiftes.
>
> Lad os se bort fra "plain" DES, da den kan brydes med brute force,
> forudsat rimeligt store ressourcer.
>
> Så vidt jeg husker, er 3DES reelt ikke belastet af DES's lille
> blokstørrelse (jeg har ledt efter kilden, men kan ikke umiddelbart

DES/3DES, og ALLE andre algoritmer med en blokstørrelse på
64 bit har et problem når datamængden bliver stor:
http://lasecwww.epfl.ch/birthday.shtml
Problemet er at man kan opbygge en 'ordbog' og bruge
denne til at lære noget om beskederne, uden at man
nogensinde har brug for at kende nøglen.

Bemærk at hvis man bruger en ny nøgle hver gang, så kan angriberen
aldrig bygge en stor nok ordbog (med mindre man sender meget
store meddelelser)

> finde den), og har en nøglestørrelse på hhv. 112 eller 168 bit alt
> efter implementation (2 eller 3 nøgler). Kan du komme med nærmere
> dokumentation for at 3DES skulle have brug for udskiftning af nøgle
> efter kun en halv MB?

Ovenstående link giver sandsynligheden for at der er brugbare par
i de opsnappede data.
3DES med 3 stk 56 bit nøgler har ikke 168 bit hårdhed, idet der er
sære måder at angribe systemet på. (det mest ekstreme og måske
urealistiske ville være at opbygge en tabel for det sidste trin, hvilket
ville kræve 2^56 memory, men også spare en faktor 2^56 work.
Der findes udgaver af angrebet der virker med realistisk ramforbrug)
Så 3key-3DES er i størrelsesordenen 112-128 bit i arbejde.


> AES er formodentlig både stærkere og hurtigere end 3DES. (Hurtigere er
> den i hvert fald) Men den har ikke modstået mange års angreb og
> kryptoanalyse, sådan som 3DES har. Og mig bekendt er det endnu ikke
> lykkedes nogen at bryde 3DES, selv ikke ved known plaintext/chosen
> ciphertext. Hvorfor ikke bare vælge den løsning der har den bedste
> track record?

Fordi den har nogle andre ulemper (nøglestørrelse 112bit, blokstørrelse
64 bit, sløv i software, inversions fænomener o. lign. der giver en dårlig
fornemmelse) der gør, at man har lyst til at finde på noget der
passer bedre til dagens 32bittere.
Hvis vi er konservative, og antager at nogen finder på et 2^128 angreb
(de små grønne mænd med kvantemaskinerne lander? Mindst.), så
er 256 bit AES stadig 2^8 bedre end 3DES.

Og det er jo ikke just sådan at de bare har stemplet den til brug -
den var ude som forslag et par år. I denne tid ER der blevet kigget
på den; De (kryptofolkene derude) har forsøgt samtlige?
angrebsmetoder der er offentliggjort de sidste 40? år, i jagten på
hæder og ære.

Og den viden er naturligvis også gået i designet af AES. AES har
_ikke_ de særheder og sårbarheder der kendes for DES.

--
Hvis jeg selv skal komme med et forslag, så genererer man
en tilfældig symmetrisk nøgle, bruger den til at kryptere
meddelelsen med, kryptere nøglen med 'en halv
diffie-hellman', og lægger den ved. Så kan angriberen ikke
læse de sendte meddeleser selvom han stjæler den maskine
der har lavet dem. Kun dig med den anden halvdel (den
private eksponent) kan regne nøglen ud og dekryptere.
been there, done that, og det er relativt simpelt.
Slagfast elektronisk sparegris.

/Kasper

---

Med risiko for at gentage noget, der allerede er
blevet sagt, vælger jeg nu alligevel at besvare
denne posting.

"Niels Callesøe" wrote:
>
> Kasper Dupont wrote in <news:3CC3EB38.E4343B9D@daimi.au.dk>:
>
> [snip]
> >> Hvilken standardalgoritme er bedst i den slags kryptering, og
> >> hvorfor? De mails jeg skal kryptere er ikke specielt lange(dog
> >> noget længere end eksemplet...), og der bliver ikke sendt mere
> >> end måske 100 på en dag så jeg forventer ikke et problem mht.
> >> kompleksiteten / recourse forbruget.
> >
> > Den almindelige måde at løse dette og andre problemer på
> > er at generere en ny nøgle hver gang. Proceduren er altså
> > følgende:
> >
> > 1) Generer en tilfældig symetrisk nøgle.
> > 2) Krypter beskeden med den nye nøgle. Helst i CBC mode.
> > 3) Krypter den nye nøgle under en fast nøgle.
>
> Hvorfor? Hvad skulle fordelen være ved dette i forhold til 1, stærk,
> nøgle?

3 fordele.

1) Ingen nøgle bliver brugt ret mange gange. Sessions nøglerne
bliver kun brugt til en besked. Den faste nøgle bruges kun
en gang pr. besked.

2) Krypteringen bliver probabilistisk (hvilket er en forudsætning
for semantisk sikkerhed). Dette vil dog også opnås hvis der
anvendes et tilfældigt IV i CBC mode krypteringen.

3) Det er mere effektivt, hvis den faste nøgle ikke er særlig
effektiv. Den faste nøgle kunne f.eks. være større end
sessionsnøglerne, og der kunne være tale om en assymetrisk
kryptering.

>
> > Det har desuden den fordel, at den faste nøgle så ikke
> > behøves være særlig effektiv. Den faste nøgle kunne f.eks.
> > være den offentlige nøgle i et asymetrisk nøglepar.
>
> Hvorfor ikke? Det ville da være logisk at angribe den svageste af de 2
> nøgler. Det eneste du, så vidt jeg kan se, får ud af din fremgangsmåde
> er at give en angriber 2 angrebspunkter i stedet for et - i hvert fald
> så længe den krypterede nøgle skal sendes over samme usikre medie som
> de øvrige krypterede data.

Da jeg sagde mindre effektiv snakked jeg om hastigheden.
Den faste nøgle skal ikke være mindre sikker end sessions
nøglen. Tværtimod kunne man vælge en større fast nøgle.

>
> [snip]
> > Ved valget af algoritme til den symetriske nøgle er der
> > nogle muligheder. Der findes DES og 3DES, som er ved at
> > være noget forælede. De er ikke særligt effektive, og de
> > lider under en meget lille cifferblok på kun 64 bits.
> > DES har desuden en alt for lille nøgle på kun 56 bits.
> > På grund af de små blokke bør ingen DES eller 3DES
> > nøgle bruges til mere end en halv MB før den udskiftes.
>
> Lad os se bort fra "plain" DES, da den kan brydes med brute force,
> forudsat rimeligt store ressourcer.

Hvilket er årsagen til, at jeg sagde at 56 bits nøgler
er alt for lidt.

>
> Så vidt jeg husker, er 3DES reelt ikke belastet af DES's lille
> blokstørrelse (jeg har ledt efter kilden, men kan ikke umiddelbart
> finde den), og har en nøglestørrelse på hhv. 112 eller 168 bit alt
> efter implementation (2 eller 3 nøgler).

Der er forskel på nøglestørrelse og blokstørrelse. Både
DES og 3DES bruger 64 bits blokke. Men hvor DES bruger
56 bits nøgle bruger 3DES enten 112 eller 168 bits nøgle.
Dog ikke med 168 bits sikkerhed. Hvis 2DES havde haft
112 bits sikkerhed havde man nok aldrig opfundet 3DES.
Men 2DES er faktisk ikke ret meget bedre DES, hvis man
har ram/diskplads nok er sikkerheden af 2DES faktisk kun
ca. 57 bits.

> Kan du komme med nærmere
> dokumentation for at 3DES skulle have brug for udskiftning af nøgle
> efter kun en halv MB?

På grund af blokstørrelsen. Det vil være en svaghed, hvis
du nogensinde krypterer to ens blokke med samme nøgle.
Hvis der anvendes CBC mode med tilfældigt IV og den
anvendte blok ciffer er rimelig sikker kan vi antage, at
blokkene er tilfældige. (Det er det bedst tænkelige, hvis
de ikke er tilfældige bliver situationen meget værre.)

Med 64 bits blokke mener jeg det er rimeligt at forlange
32 bits sikkerhed, altså skal sandsynligheden for at det
går galt højst være 2^-32. Når der er krypteret 2^16
blokke vil der være af størelsesordenen 2^(2*16-1)=2^31
forskellige par som hver har sandynlighed 2^-64 for at
være ens. Hvis blot et par er ens er sikkerheden reelt
svækket. Sandsynligheden for at det går galt er da i
størrelsesordenen 2^-64*2^31=2^-33. Dette er naturligvis
et groft overslag, så det kan godt være en faktor to-tre
stykker ved siden af. Men de 32 bits sikkerhed ud af 64
bits var jo også bare et tal jeg slyngede ud.

Resultatet er altså at efter ca. 512KB (2^16 blokke af 8
bytes) begynder sikkerheden altså at nærme sig de 32 bits.

>
> > AES er designet til at erstatte den forældede DES
> > kryptering. Så vidt jeg erindrer er 256 bits AES lige så
> > hurtig som 3DES. (I en konkret implementation, hvor jeg
> > har lavet nogle tidsmålinger.)
>
> AES er formodentlig både stærkere og hurtigere end 3DES. (Hurtigere er
> den i hvert fald) Men den har ikke modstået mange års angreb og
> kryptoanalyse, sådan som 3DES har. Og mig bekendt er det endnu ikke
> lykkedes nogen at bryde 3DES, selv ikke ved known plaintext/chosen
> ciphertext. Hvorfor ikke bare vælge den løsning der har den bedste
> track record?

Der er masser af argumenter, men jeg vil ikke nævne dem
alle nu, det er ved at være sent.

1) AES er ved at blive indført som standard alle de
stedder hvor DES (og 3DES?) tidligere har været
standard.

2) AES har større nøgler og cifferblokke end DES og
3DES. (AES definerer størrelser på 128, 192 og 256
bits, nøgle og cifferblok størrelser kan vælges
uafhængigt. Selvom standarden ikke nævner det, er
der så vidt jeg kan se ingen hindring for at
anvende AES på størrelserne: 128, 160, 192, 224,
256, 288, osv. Men det ville nok være en risiko
ikke at holde sig til standarden.)

3) AES er hurtigere end 3DES. (DES kunne nok måle sig
med AES hvad angår hastighed, men den er udelukket
på grund af sikkerheden.)

4) AES er rent faktisk blevet designet. 3DES var blot
en nem måde at løse problemet, da DES blev for svag.

5) AES er blevet grundigt undersøgt af mange eksperter
på området gennem det seneste par år. Og de
dårligste kandidater er blevet sorteret fra.

6) AES er designet uden frihedsgrader, som designerne
ellers kunne have anvendt til at skjule en bagdør.
DES har de otte kontroversielle S-boxe, som er
altafgørende for sikkerheden. Hver S-box er en
afbildning af 6 bits over i 4 bits. En beskrivelse
af disse S-boxe vil tilsammen fylde 2048 bits. Og
vel at mærke 2048 bits som designerne kunne vælge
fuldstændig frit og stadig få en gyldig blokciffer.

Disse 2048 bits er bestemt ikke ligegyldige, et
forkert valg ville få hele sikkerheden til at falde
til jorden. Designerne siger naturligvis, at de har
valgt dem efter at opnå den sikrest mulige
kryptering. Men nogle personer har haft mistanke om,
at disse 2048 bits også er brugt til at skjule en
bagdør.

AES har ikke nær så mange frihedsgrader, og her har
de ikke samme betydning for sikkerheden. Designerne
har konsekvent valgt den første mulighed som ikke
var åbenlyst forkert/usikker.

Men lad mig så alligevel til sidst give dig ret i, at DES
har en ufattelig god track record. Mig bekendt bringer
det værste teoretiske angreb mod DES kun sikkerheden ned
på 53 bits. Men selv det angreb er ikke praktisk
anvendeligt, så DES er kun blevet brudt ved bruteforce
mod nøglen på 56 bits.

Om AES kan opnå en lige så god track record vil kun tiden
vise. Det ville nok være lidt optimistisk. Jo færre bits
der er i nøglen des nemmere er det at designe en ciffer,
hvor det mest effetktive angreb er brute force. Men selv
hvis 128 bits AES skulle vise sig at kun have 80 bits
sikkerhed vil den stadig være sikker nok til de fleste.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Mange tak for svarene. Det var denne lille snak jeg skulle bruge.

/Jesper

"LrsN" <jesper@L.arsen.dk> wrote in message
news:KfQw8.1384$kp3.117195@news010.worldonline.dk...
> Hej gruppe
>
> Jeg skal til at implementere en kryptering på mails der bliver sendt
> automatisk til en form for log-mailbox. Disse mails har alle næsten det
> samme udgangspunkt hvor der kun er ændret det der står i [] ex:
> <mail>
> Hej [Jesper]
>
> Vejret i morgen bliver [godt].
> Håber du vil være med på stranden da vi kun er tilmeldt [3] personer ind
til
> nu.
>
> mvh
> /BeahKaj
> </mail>
> Jeg kan forestille mig at når man kender indholdet af EN tekst krypteret
med
> en algoritme, og man derefter ser en anden tekst krypteret med den samme
> algoritme at det så er nemmere at gætte sig til den nøgle der er brugt.
> Spørgsmålet er så:
> Hvilken standardalgoritme er bedst i den slags kryptering, og hvorfor? De
> mails jeg skal kryptere er ikke specielt lange(dog noget længere end
> eksemplet...), og der bliver ikke sendt mere end måske 100 på en dag så
jeg
> forventer ikke et problem mht. kompleksiteten / recourse forbruget.
>
> mvh.
> /Jesper
>
>