Cryptography - 4

onlinetvrecorder, a service that let's you record broadcasts from some german television stations, provides it's files in .otrkey-format, which can be decoded using their binary otrdecoder-tool, considering you have requested the recording in advance.

As there is no information how the format and authentication work, I had a deeper look at it.

Getting the key

Using some network sniffer, the authentication is very simple, it just requests them with http, the URL is
http://www.onlinetvrecorder.com/uncrypt.php?email=[email]&pass=[pass]&filename=[file]
(filename is the .wmv-name without otrkey)
Inside that file is an ascii/hex-encoded number with 128 bit. That very much looks like a key.

This already gives us the possibility to manually download the key and, if we want to re-decode some movie (because we lost the wmv or because we want to decode a file before it's completely downloaded to already start watching the recording), save the key to a local webserver as uncrypt.php, forward the hostname to 127.0.0.1 and re-start otrdecoder.

The cryptography

From what I found out yet, the file is encrypted with some sort of blowfish. The encrypted and decrypted files are exactly the same size, that means we have no IV and a variant of blowfish that does no padding.

The best I got till now was using mcrypt with ecb-mode:
mcrypt -d -a blowfish-compat -s 16 -o hex -b --noiv -m ecb --nodelete -f [keyfile] [file]

This decrypts the first 256 bytes correctly, after that it seems to mix up things (the correct decryption continues at byte 512). From what I read in Schneier[1996] (»Applied cryptography«), there is an ecb variant using ciphertex stealing that avoids padding. I found no easy-to-use implementation of that.
Having a commandline-cryptography tool that supports more options than mcrypt would be handy here.

Today I held a talk about »Technical defense against surveillance« on an event with rather non-technical visitors.

I noticed that we still really have a lot of problems when providing easy-to-use security.

Things like "yes, you can do gpg with jabber, but only with a few clients, there's also another thing called otr, that's better from a cryptographic point of view but it is not based on the gpg-key-infrastructure and it's also only supported by some (other) clients" are really horrible to say if you always fear that nobody understands you.

A short list of things that came me to mind:
- I found no easy way on encrypting partitions with linux. Maybe I missed something, but I googled for it, tried it in ubuntu, found nothing. Had to tell them "there are some console-apps, dm-crypt, cryptsetup, etc.".
- Apps should enable ssl by default. Servers should forbid login without ssl. No more pop3, smtp, imap, jabber, webmail, whatever-web-login without ssl-encryption.
- Jabber should have a standard for encryption, based on gpg, with the cryptographic features of otr.
- We need to get rid of all unsecure algorithms (MD5, SHA1, RSA/DSA/ElGamal with 1024 bit) by default (yes, I know I said this hundred times before). GPG still creates 1024bit DSA-keys.
- Things like tor could be integrated into distributions, to be enabled by a click or similar.

Just some random ideas. It is possible to create much more secure systems. We just need to do it.

(And to not only cry, I hope I'll find some time and motivation to push some of the things I suggested in the near future)

Second day, finally uploaded some pictures and just found some time to blog between two talks.

Yesterday the We lost the war talk. Maybe I'll write something more in german when I find time for it. In short: IMHO this was an obscure mixture of political nonsense. This should at least be clear when reading the article with similar content in the last »Datenschleuder«, where the author claims something like »till 9.11. hackers ruled the world and everything was good« (to cite, »The big corporations were at our merce, because we knew what the future would look like and we had the technology to built it).
Lars wrote very drastically about it.

Today, the first interesting talk was5 Thesis on Informational-Cognitive Capitalism. I think I didn't really get what the autor wanted to say (surely related to missing sleep and lack of motivation to listen to english), but he was at least quite entertaining.

Next was Hashing Trusted Computing by Rüdiger Weis, as always quite funny, Rüdiger maybe should become the first professional math comedian. The content is obvious, at least for regular readers of my blog: Trusted Computing is evil and SHA1 is broken.

There was a nice presentation by fukami and Markus Beckedahl about the Sony BMG rootkit. They presented a lot of information, Markus has also collected it in his blog.

Next one was Technological art off the trodden tracks by two media artists that presented art which is related to hacking subjects and suggested that media artists and hackers come more together to share thoughts and projects. I hope they'll put their materials online, they had a lot of videos from nice stuff.

Just came from Learning cryptography through handcyphers by Benno de Winter. It was a basic introduction to some simple algorithms, not really new to me, but the speaker was worth watching because of the fun factor.

More to come.

Just arirved at the 22th chaos communication congress. Together with Lars I took the Nachtzug from Augsburg.

We are in a very nice hostel called Generator Hostel, which is very nice for a quite moderate price. Although we arrived at 8 o'clock in the morning, we already could enter our rooms and get a breakfast on arrival day. Very recommendable.

Pictures will follow from time to time.

Bruce Schneier writes about Phishing attacks and that he wants financial companies to be responsible for phishing attacks.

This brought me to some thoughts about online banking security and secure authentication in general.
Today, most online banking goes through web interfaces. That's really horrible in the sense of security. I remember when I asked my local bank for an online banking account, they told me "hey, you just need a web browser to do this". They have better alternatives (HBCI), but they don't promote them to their normal customers.
With a web-interface, you only have a one-way-authentication (the user authentificates itself to the bank, but the bank doesn't) and that's the whole thing why phishing works. If there would be any mechanism that verifies the authenticy of the bank for the user (or, to be exact, his applications, because we all now that average users don't manage to do so), the whole phishing-stuff would be senseless.

Even the less secure variant of HBCI with keyfiles is much more secure than web-interfaces. For a successfull phishing-attack, a user would have to upload his keyfile - which he usually won't do, because he doesn't know where it is. But the most obvious way: Smartcards.
Smartcards can be a fine solution for various security problems - and it's not much more complex. Everyone knows that he has to put his bank card into a cash terminal, so why shouldn't the average user be able to put it in a computer slot? But hey, it's even hard to get smartcard-drives - I once asked in the Saturn (big german technology market), they don't sell them at all.
The right thing would be having smartcard-drives in computers by default - and having chipcards for various security-applications.

HBCI, for the ones who don't know, is a german standard for online banking - I wonder why there is no word-wide online-banking-standard yet - with a secure, open design and based on two-way-authentication, together with some easy-to-use standard applications for online banking installed on every PC. That would really help a lot.

As the German News-page Golem writes, Firefox is going to drop obsolete SSLv2 support in it's next version, because it has known vulnerabilities by design.
While this is in general a very good idea to make things "secure by default", it will probably lead to people crying "Firefox can't open URL xy any more". We have a vast number of deprecated servers, applications etc. that just don't support up-to-date security standards and weren't updated for ages.

Even SSLv3 supports a lot of weak ciphers, like Single-DES, RC4 etc., that are known to be broken for ages. Not to talk about things like RSA 1024 or SHA1, that are not yet broken in reality, but probably will be at some time in the future.
The implementation of secure standards in todays software is far away from what's neccessary for high security applications.

We need to get rid of all that old cruft. High security is possible with today's cryptography, but we have to use it and we have to design applications that use secure technology by default.

Soweit ganz nett hier, gestern hab ich mir n Vortrag zu elliptischen Kurven angeschaut, der ganz nett war. Heute gab's n interessanten Vortrag zu IPv6 mit anschließendem Workshop, wo ich erstmals IPv6 lokal bei mir am laufen hatte. Muss mich mal bei Gelegenheit drum kümmern, dass auch mein Blog über IPv6 erreichbar ist.

Gleich werd ich nen Vortrag zu kryptografischen Hash-Funktionen halten, die Folien gibt's hier schonmal als OpenDocument oder PDF.

As the article some days ago about SHA1 got a lot of interest, I thought I'll write some more background info about this, especially for people thinking that collisions aren't a big problem.

Cryptographic hash functions are functions where you can put a string of any length and get a fixed-size result. E. g. with SHA1, you get 160 bit, with MD5 128 bit. The hash-function has to fulfill some requirements:
- It should be hard to get two strings with the same hash (collision-resistant).
- It should be hard to get a string to a given hash (one-way-function).
To be more precise: In an optimal case, hard means that it shouldn't be possible with all hardware on earth in the timeframe that your cryptography needs to be secure. Some examples where cryptographic hashes are used are shadown-passwords, digital signatures or verification of file downloads.

Xiaoyun Wang, chinese cryptographer and well known for her analysis of the SHA1 function, was not allowed to travel to the US to attend the Crypto conference starting today (via Bruce Schneier).

Too bad, because she discovered some new results on the attacks on SHA1, which reduce it to a complexity of 2^63 to generate a collission. Adi Shamir, well known cryptographer and one of the RSA-inventors, presented these results.
These news are important, because 2^63 is a complexity that can be broken with todays hardware if you invest enough money and time. This would be an interesting project for distributed computing, although I don't know if the attack can be implemented on common hardware (maybe someone with cryptographic experiences wants to comment if this is possible).

Too bad that most software devs have not noticed the recent results on hash-functions. Most of them still use MD5 (which has been broken about a year ago), SHA-1 is widely used. The GNU Coreutils don't have any tools for modern hash-functions, same goes with most programming languages (PHP, Python), while they implement some sort of md5sum or sha1sum, no sha256sum or whirlpoolsum at all.

I recently installed privoxy and tor and Lars asked me to write some words about it. So here it goes:

Privoxy is an ad-blocking proxy, which means it filters out banners, pop-ups and other annoying stuff. It's highly configurable, but I use it in the basic configuration, which should be enough for most needs. The advantage is that privoxy, unlike for example the firefox ad-block extensions, can be used within any browser. It's the successor of junkbuster.
tor is a project by the Electronic Frontier Foundation, an internet anonymizing system. It's internals are complex, but the basic funktion is that you connect encrypted to a tor-node, it forwards your request through several other tor-nodes and then it get's answered. It doesn't provide full anonymity, you have to trust the tor-node you connect to. But it's definitely better than nothing.

Both integrate well, if you are a Gentoo user, just emerge tor pricoxy, add forward-socks4a / localhost:9050 . to your /etc/privoxy/config, copy the torrc.sample to torrc (in /etc/tor), add both to your runlevels (rc-update add tor default, rc-update add privoxy default) and you are done.
Now set your Browser to use Proxy localhost and Port 8118.
For other Linux-Distributions, it's probably similar. I have no idea if and how tor and privoxy work on other OSes (especially the evil one with the W), so don't ask me, you'll have to find out yourself.

This will save you some privacy and you'll get rid from a lot of internet ads.

Note: tor had some security-issues recently, so take care that you use the latest version available (0.1.0.14).

Heute lief in SAT1 der Film "Enigma" über die Entschlüsselungsaktivitäten der Engländer im 2. Weltkrieg in Bletchley Park. Hab leider erst nach der Hälfte reingeschaltet.
Der geniale Kryptograf Tom Jericho, der wohl die historische Figur des Alan Turing darstellen soll, ist schlauer als alle anderen, deckt nebenher noch ein paar Verschwörungen auf etc. Hollywood-Style eben.

Was mich aber richtig geärgert hat: Dem fiktiven Alan Turing wurde eine Liebesbeziehung zu einer hübschen Frau (Kate Winsley) angedichtet.
Die Realität sah etwas anders aus: Alan Turing war homosexuell. Er wurde deswegen nach dem Krieg verurteilt und musste sich "den Geschlechtstrieb hemmende" Hormone spritzen lassen. Zwei Jahre später beging er Selbstmord.
Aber das hätte halt nicht in das Heldenbild eines Hollywoodfilms gepasst.

Wikipedia über Alan Turing

Meistens les ich ja telepolis ganz gerne. Nur gelegentlich kommt völliger Bullshit dabei heraus. So schwadroniert heute ein Artikel, dass asymmetrische Kryptografie bald obsolet werden könnte.

Kleine Einführung für nicht-Mathematiker: Bei fast allen sicheren Online-Verbindungen wie ssl, ssh o.ä., sowie bei eMail-Verschlüsselung mit PGP/GnuPG und in vielen weiteren Fällen wird sogenannte asymmetrische Kryptografie (auch Public Key-Verfahren genannt) eingesetzt. Das bekannteste und am weitesten verbreitete Verfahren ist RSA, die meisten anderen Verfahren (El Gamal, DSA) basieren auf ähnlichen mathematischen Problemen.

Die Sicherheit von RSA beruht darauf, dass es zwar einfach ist, zwei große Primzahlen miteinander zu multiplizieren, umgekehrt jedoch schwierig, eine Zahl in ihre Primfaktoren zu zerlegen. Hat man also beispielsweise zwei große Primzahlen a und b, so ist es einfach a*b=c zu berechnen. Umgekehrt ist es jedoch nur mit hohem Rechenaufwand möglich, von c auf a und b zu schließen.

2001 haben drei Inder den AKS-Test entwickelt, mit dem man in polynomialer Rechenzeit (einfach gesprochen heißt das: auch bei großen Zahlen noch schnell) herausfinden kann, ob eine große Zahl eine Primzahl ist oder nicht. Für die Sicherheit von RSA ist dies jedoch völlig unbedeutend. Im Gegenteil: Um RSA nutzen zu können, benötigt man schnelle Primzahltests bei der Schlüsselgenerierung. Es ist mathematisch gesehen ein völlig anderes Problem, eine Zahl zu faktorisieren oder sie auf ihre Primzahleigenschaft zu testen.

Nun ist das schon einige Jahre her und war auch damals nicht wirklich überraschend. Das einzige, was passiert ist: Der bekannte AKS-Test wurde in einer mathematischen Zeitschrift veröffentlicht. Genaugenommen ist also garnichts passiert.

Übrigens gibt es bereits seit den 70er-Jahren den sogenannten Miller-Rabin-Test, von dem man ebenfalls vermutet, dass er in polynomialer Zeit Primzahlen erkennen kann. Dafür fehlt bislang jedoch der Beweis. Überraschen konnte das Ergebnis der drei Inder daher aber auch 2001 nicht wirklich.

Korrekt ist im übrigen, dass es rein theoretisch möglich wäre, dass ein bisher unbekannter Algorithmus zur schnellen Faktorisierung existiert. Nur hat ihn bisher noch niemand gefunden (und da sich mit diesem Problem Mathematiker schon ziemlich lange rumschlagen, ist damit auch nicht in absehbarer Zeit zu rechnen).

Daneben strotzt der Artikel nur so von inhaltlichen Fehlern. So wird behauptet, die Faktorisierung von Zahlen sei nur in exponentieller Rechenzeit möglich. Mit modernen Verfahren, etwa dem Zahlkörpersieb, ist dies deutlich schneller möglich, nur eben immer noch zu langsam, um RSA mit ausreichend großer Schlüssellänge (>=2048 bit) in annehmbarer Zeit zu brechen.

Kleiner Tipp an telepolis: Wenn ihr das nächste Mal etwas über Kryptografie schreibt, sucht doch erstmal jemand, der zumindest mal eine Anfängervorlesung dazu besucht hat. Dann würdet ihr vielleicht nicht so einen Unfug schreiben.

Quellen:
Vorlesungsskript über den AKS-Algorithmus (war selber in der Vorlesung)
Miller-Rabin-Test bei Wikipedia
AKS-Test bei Wikipedia

Wie telepolis schreibt, will Microsoft dank seiner Marktmacht sein umstrittenes Verfahren Sender-ID zur Spambekämpfung jetzt durch Erpressung durchsetzen. So droht MS, zukünftig alle Mails von Providern, die Sender-ID nicht benutzen, beim eigenen eMail-Dienst Hotmail zu blockieren.
Sender-ID darf aufgrund von Patenten nicht in freier Software implementiert werden (ein Grund mehr, JETZT aktiv zu werden gegen Softwarepatente). Im Bereich der Mailserver ist freie Software unangefochten Marktführer, kommerzielle Lösungen fristen ein Nischendasein.

Neben der forcierung der eigenen Software zielt Microsofts Initiative wohl auch darauf ab, den Mailmarkt in Zukunft nur noch unter den großen Anbietern aufzuteilen. Dank der weitgehenden Marktmacht von den "großen" wie AOL, United Internet (web.de + gmx), t-online und eben Hotmail, denen das sicher nicht unrecht ist, erscheint dies durchaus als reale Bedrohung.

Ich fände es gerade sinnig, mal darüber nachzudenken, wie man mehr Menschen weg von den großen Mailanbietern zu kleinen Providern bringt, indem man ihnen Alternativen anbietet. Andere Admins von kleinen Server-Projekten können sich ja mal hier per Comment zu Wort melden, ob sie an sowas Interesse hätten und wie sowas aussehen könnte.

Kürzlich in einem Zeitschriftenladen hab ich mir gedacht, ich könnt mir ja, nur so zum Spaß, mal eine dieser vielen bunten Computerzeitungen kaufen. Um mal zu sehen, wie schlecht die eigentlich heutzutage sind. Im Normalfall les ich ja garkeine Computerzeitungen, gelegentlich kauf ich mir mal die c't oder das LinuxMagazin.
Nun, meine Wahl fiel auf die CHIP, und zwar die Version ohne CD, die war recht günstig (1,99 EUR). Dafür sind mir zwar die vielen "Vollversionen und Freeware-Programme" entgangen, unter anderem eine Anti-Spyware-Software (ich find's ja immer wieder erstaunlich, was Windows-Anwender alles brauchen), aber das konnte ich gerade noch verkraften (irgendwie schon erstaunlich, dass dieses Vollversionen-Gebrabbel scheinbar immer noch werbewirksam ist, in Zeiten von freier Software wie Firefox oder OpenOffice). Gereizt haben mich Titel wie "Hacken Sie Ihren PC, bevor es andere tun - So finden Sie garantiert alle Sicherheitslücken." (Wahnsinn, hat die CHIP das erste beweisbar sichere Betriebssystem gefunden?) oder auch "Flatrate* für 4,99* EUR/Monat auch in Ihrere Stadt!" (die Sternchen bedeuten, dass da noch was Kleingedrucktes steht, damit niemand auf die Idee kommt, CHIP zu verklagen, weils in seiner Stadt halt noch überhaupt kein DSL gibt).
Ich hatte kurz noch überlegt, eine weitere Zeitung zu kaufen (Titel ist mir entfallen), die mir versprochen hat, "Windows so sicher wie Linux und so komfortabel wie MacOS" zu machen. Aber darauf konnte ich dann gerade noch verzichten.

Nun, die Zeitschrift besteht erstmal zu circa 50% aus Werbung. Interessant ist jedoch: Die restlichen 50% sind eigentlich auch Werbung. Regelmäßige Bildblog-Leser wissen, dass es einen Pressekodex gibt, der besagt, dass Werbeanzeigen von redaktionellen Inhalten getrennt sein sollen. Nun gibt es geradezu dermaßen offensichtlich viele Artikel, die sich wie Werbetexte anhören, außerdem so Perlen wie den auf der Titelseite angekündigten DSL-"Artikel", bei dem es sich komplett nur um eine Werbeanzeige handelt (btw., "Flatrate auch in Ihrer Stadt" gilt bspw. für Murrhardt nicht).

Im Vorwort behauptet Chefredakteur Thomas Pyczak, dass 100% der User durch Phishing verunsichert sind. Eigentlich hat mich Phishing noch nie wirklich gestört, weil irgendwie krieg ich das gebacken, obskure Mails, die meine Kontonummer wollen (ich mach mein Onlinebanking mit Chipkarte + HBCI), zu löschen, auch dass ich mich mit meinen ebay-daten nur bei ebay und nicht bei ebay.superhackingsite.com einlogge, ist mir irgendwie klar. Nebenbei filtert ClamAV sowieso fast alle Phishing-Mails. Aber 100% sind verunsichert. Ich bin wohl ein statistischer Fehler.

Naja, wo machen wir denn weiter? "Opera besser als Firefox"! Hört sich doch gut an.
Also, das is so einer der Artikel, wo ich mich doch schwer gefragt hab, ob für sowas Geld fliest. Ein kommerzielles Produkt wird mit komplett sinnfreien Argumenten gegen ein freies Produkt in den Himmel gelobt. Spannend wär noch die Frage, ob die Vollversion der Anti-Spyware-Software von der Heft-CD auch die Spyware Opera entfernt.
Dass der Unterschied zwischen freier Software und Opera nicht 30 €, sondern eben die freie Software sind, wird ein CHIP-Redakteur vermutlich nie verstehen, also erwähnt man die Worte Open Source oder freie Software am besten garnicht.
Also, wie die darauf kommen: Sie haben eine Feature-Liste, wo sie die Browser (nebst dem IE) vergleichen. Nun hat Opera rein zufällig alle diese Features. Leider ist die Liste falsch: Es wird bspw. behauptet, Firefox hätte keine Mouse Gestures, dafür gibt es aber Extensions.
Interessant ist auch die Interpretation von Sicherheit: So verweisen sie darauf, dass Firefox 5 ungepatchte Sicherheitslücken hat, Opera jedoch keine. Nun macht eine solche Angabe wenig Sinn, wenn nicht in irgendeiner Weise dargestellt wird, was denn diese 5 Sicherheitslücken sind, ob das wirklich "Lücken" sind oder nur Bugs, die unter Umständen Sicherheitsrelevant sind (was ich für warscheinlich halte, aber es ist sowieso sinnfrei, weil sich das ständig ändert). Ein anderer Aspekt dabei ist jedoch auch, dass Firefox einen offen lesbaren Bugtracker hat, der von Opera ist intern.

Naja, irgendwie geht das dann halt so weiter. In einem Artikel über Tiger wird gelobt, dass Apple schon jetzt eine Desktopsuchmaschine bietet und dabei Microsoft voraus ist, aber geflissentlich ignoriert, dass Beagle unter GNOME auch schon einsatzfähig ist.
Die Ankündigung von PGP 9 liest sich vollständig wie ein Werbetext: "Mit einer völlig neuen Architektur will der Hersteller für noch mehr Sicherheit sorgen." Krass. Mehr Sicherheit. Klingt ja toll. (Zu PGP 9 hat RabenHorst was geschrieben)
Irgendwie hatte ich dann keine Lust mehr, mir das weiter anzutun.

Die Anzahl an realen redaktionellen Inhalten hätte man vermutlich auf wenigen DIN A4 Blätter unterbringen können (ein Interview mit dem Manager der Ärzte zum Thema Filesharing war ganz interessant, ein Kommentar zur Vorratsdatenspeicherung vom Deutschen Anwaltsverein, viel mehr war nicht zu finden), die große Masse ist ein Werbeprospekt und ein Haufen Altpapier.

Da diese Verdummungsblättchen anscheinend erfolgreich verkauft werden, wird einem vielleicht etwas klarer, warum so viele Anwender meinen, ein Anti-Viren-Programm sei sinnvoll, eine Personal Firewall ein gutes Konzept und Windows unersetzbar.

I just arrived at the GPN4, an event organized by Entropia, the local group of the chaos computer club in Karlsruhe.
The lectures sound very interesting and most are about subjects like Open Source/Free Software, DRM and alternatives, Open Content and Society etc.

If you live nearby Karlsruhe you might consider to join the event for the short term.