Saturday, February 4, 2012

Encrypted USB Sticks and crypto backdoors ; thoughts about Lok-it FIPS



Recently I was asked an advice about Lok-it encrypted USB keys which presented 4 interesting points :
- hardware AES256-CBC encryption
- FIPS 140-2 level 3 certification
- trusted path for pin entry (physical pin pad)
- fully hardware system, no need to execute untrusted code or require admin privileges

The two questions were : is it a secure product ? and Is it backdoored ?

Before focusing on this particular product, let's have a look on security issues related to encrypted USB sticks.

Secure Sticks
Numerous USB encrypted devices had some security issues (yes, even with 256 bit AES encryption and FIPS 140-2-L2 certification), and as a blackbox system it is difficult to assess the quality of the implementation.

It is very important to remember that the quality of the implementation and the operational conditions of use are as important as the quality of the algorithm of the key length ; and that a FIPS certification does not make a product secure.
But unfortunately marketing always focuses on algorithm, length and certification.

Example of broken secure Sticks
Here are some example of broken or flawed “secure devices” :

Some excellent analysis of encrypted devices can be found on SpritesMods site.

SySS made also a very good analysis of different products.

A very good example is the QNAP crypto backdoor (based on LUKS, when the users creates a key, a second one is automatically generated and hidden in the flash memory ; but easily retrievable)

Crypto-backdoors

The previous examples were “implementation errors” or “basic” crypto backdoors, but much more subtle ones can be designed, see :

Chapter 10: An Elliptic Curve Asymmetric Backdoor in OpenSSL RSA Key Generation

BuildingRobust Backdoors in Secret Symmetric Ciphers , Adam L. Young MITRE Corporation joint work with Moti Yung Columbia Univ./RSA Labs BlackHat 2005

Back to Lock-it
I did not make a security evaluation of this product, but as it is derived from a ClevX technology, which is FIPS certified, we can have a look at the FIPS security policy. Some parts seems interesting :

“LOK-IT® is pre-programmed with a unique set of encryption keys created during the manufacturing process. A list of 6 AES keys is supplied by a random number generator (RNG) executing on the manufacturer's computer. The RNG complies with ANSI X9.31 Appendix 2.4 specification for the generation of random numbers.” (p7)

If you were wondering were a potential crypto backdoor could be placed ... I'm not actually saying that the product is backdoored or not, but that if I had to backdoor the product, this would be a nice place among others.
Especially if the manufacturer uses a good RNG and keeps a copy of the keys : he can access the data but he is the only one (we do not consider here other persons who may access the key escrow system ; or legal compelling), and the device is secure for your own use.

Note : having keys which do not only depend on the PIN code is a good thing as the entropy of a 7 number PIN code is terribly low)

“Each LOK-IT® module is manufactured with 6 AES encryption keys. Only 1 of these keys is used to encrypt / decrypt data. The remaining 5 keys have no relationship to stored data. When zeroization occurs, the AES encryption key at the top of the list is erased; the next key becomes the key used to encrypt the private partition. Given enough zeroizations, all keys will be consumed and the drive becomes inoperable. ”

This is rather a good thing (not as good as an embedded smart card, but for the price it is a good deal), as keying material is zeroized after a set of wrong attempts, rather than a simple time delay.

The trusted path is also a very good thing, avoiding keyloggers related issues (both OS and hardware).

Some other information from the sec pol :
Physical security
“• Production grade components
• Hard, opaque epoxy covering the cryptographic boundary
• EEPROM memory protect fuse is set in the security controller ”

“The module is a multi-chip standalone cryptographic module, as defined by FIPS 140-2 and consists of an Initio 1861 USB controller, NAND Flash memory and a Microchip PIC16F688 security controller. All components are encased in hard, opaque, production grade integrated circuit packaging. The cryptographic boundary is defined as the boundary of the module's PCB and hard epoxy coating. ”

By the way ClevX pro technology is used in Corsair Padlock 2 (same as the non FIPS Lok-it) and the Datalock Personal is used in SDG Secret Diary



Conclusion

Is it backdoored ?
Without a proper security analysis we can not say if there is or not a backdoor, but as the crypto system is hardware implemented and as we don't have the hand on the key generation process we can not assume that the device implementation is secure.

Also I don't like the idea on relying on manufacturer generated keys (I do not only wonder about the quality of the (P)RNG, but also about the risk of a keys copy being kept).

Even if we could load our own keys, a backdoor can still allow an attacker to retrieve the key : for example by sending specific commands to the microchip which will directly surrender the key, or specific commands which will just bypass the PIN verification process, etc.

In a few words : or you can trust the system, by having access to the full implementation (software and hardware) and checking it or have it validated by a trusted organization which will perform a full analysis (FIPS, EAL, etc is not sufficient by itself).

Remember also that numerous manufacturers tend to add backdoors, for “recovery” purposes or at law enforcement agencies request.
I'm not saying that Lok-it or ClevX backdoored the product. I am only saying just that this kind of “enhancement” is a tradition in the crypto industry (see Général Jean-Louis Desvignes lesson at INSA Lyon, in French).

So is it a good product ?
Well as always, it depends on the use and the security target.

High security use
Especially if you need assurance of the correct implementation of the crypto system (in France we are a bit “sensitive” on crypto sovereignty, especially when we have to rely on US/UK blackbox crypto systems – even when US products are often much better and/or cheaper than their French equivalents), I would advice to stick to open source, evaluated and well engineered software such as truecrypt, LUKS or GPG but you have to keep in mind all the issues linked to software encryption ; and if possible use it with a smartcard.

Of course, if you are working for a company which is allowed to buy government accredited encryption products, there is no such question.

Other cases
When the information is sensitive but not confidential, Lok-it FIPS seems to be a very good product : very competitive price, trusted path for PIN entry, intuitive use, OS independent and FIPS 140-2 L3 (which is not a full guarantee of security, but at least validates some points, especially as cryptographic operations and PIN entry only take place on the key)

In a lot of cases it is preferable to have an untrusted encryption system always used rather than a high level encryption system scarcely used because it is too complicated to use in operational conditions.

We often encounter this issue during audits, when we have to retrieve data from a server where we are not allowed to install a software, or if we have to share the data with non IT persons which may have some difficulties to use crypto software.
At least with this kind of USB key, it is impossible not to encrypt the data, and the PIN is not entered on and untrusted system ; even if the user is not security aware, very tired or under heavy stress.
The OS independence is also very interesting when you have to deal with different populations (ex : design team using MAC, sysadmins using Un*x).

So I would recommend to use by default hardware encrypted USB keys, and for sensitive information use a truecrypt/dmcrypt-LUKS partition on top of it.
But always consider the device as “password protected” rather than “securely encrypted” ; and of course to securely backup the data.



Note : A nice combination would be to install a bootable linux on the stick : this will make it much more difficult for an attacker to tamper the kernel (I would still recommend to encrypt the root with dmcrypt-LUKS)


Note 2 : the GPF Crypto Stick v2 seems very promising (encypted storage + a GPG card)


===============




Case examples :

SanDisk Cruzer Enterprise - FIPS Edition


Here are the main parts :
“• FIPS 140-2 level 2 certified
• Hardware based 256-bit AES encryption
• Mandatory access control for all files (100% private partition)
• Strong password enforcement
• “Lockdown” mode when a set number of incorrect password attempts is made ”

“The reason for this is the way how user-supplied passwords are verified. The first security problem here is that the actual password verification is not done in hardware – i.e. on the USB mass storage device itself – but in software on the PC of the user. This fact makes it possible to analyze the password-based authentication process in detail with the help of a software debugger like OllyDbg2 , for instance. The second and bigger problem is, however, that secure cryptographic algorithms, like AES in this case, are used in an insecure way. ”

“The research of the SySS GmbH showed that the password verification works in the following way:
1. The user-supplied password is converted from ASCII to WideChar
2. A MD5 hash of the WideChar password is calculated
3. A ASCII-HEX representation of the MD5 hash is generated and also converted to
WideChar; the first half of the result serves as key in the next step
4. With the generated key, 32 bytes of data, which have been read from the USB flash
drive before, are decrypted via AES-256-ECB
5. If the result of the decryption corresponds with a specific value, the password is correct and the protected data storage of the USB flash drive can be accessed

In the course of the security analysis it was found out that the result of the decryption in step 5 was always the same when supplying the correct password. This did not even change when a new password was set or when the USB flash drive was formatted.
The reason for this is that when setting a new password, always the same 32 bytes are encrypted via AES-256-ECB and therefore must consequently be the result of the decryption during the password verification process. ”

“In order to gain access to the protected mass storage of the USB flash drive, one just has to make sure that the password verification always results in these 32 bytes. In the further login process those 32 bytes are used for unlocking the protected partition of the USB flash drive.” and “makes it possible to gain access to all stored data by just a few mouse clicks fairly easily ”

ThumbDrive CRYPTO
This one also is very interesting :
“ThumbDrive R CRYPTO ensures that 100% of the storage area is encrypted.
With this 256-bit hardware AES engine, the ThumbDrive R CRYPTO offers
one of the most advanced security solutions available today ”

Here are the main parts :
“A further analysis showed that the device configuration including the administrative password is stored in a special memory of the USB flash drive. When the program SecureLogin.exe is started, the device configuration is read from this memory using a controller-specific command. In each reading operation one 8K data block (8192 bytes) is copied from the USB flash drive to the host PC. ”
“The administrative password is stored in an encrypted manner (marked red) along with
the used encryption key (marked green). To be precise, only the first eight characters
of the password are encrypted (byte sequence 7FAB977474776DA6), the remaining six
characters are stored in plaintext (byte sequence 627230783432, which is the ASCII
string “br0x42”).
As figure 4 illustrates, the used encryption algorithm is very simple and completely
reversible in contrast to cryptographically secure one-way hash algorithms. The first 8
characters are encrypted by adding the value of the one byte long encryption key (26h)
followed by a bitwise not-operation. ”
“In the course of the security analysis, the SySS GmbH developed a proof-of-concept software tool for demonstration purposes. This software tool named ThumbDrive CRYPTO Unlocker extracts the correct administrative password and automatically unlocks the protected mass storage device of a TREK ThumbDrive CRYPTO USB flash drive with a single mouse click. Figure 10 shows this proof-of-concept software tool in action.”


QNAP crypto Backdoor
Even when products rely on well engineered software like LUKS, it can be poorly implemented or intentionally backdoored. For instance in this case, when the user creates a new key, a second one is generated, obfuscated and then stored in the flash memory. Accessing the data can be easily done by reading the “backup” key, and de-obfuscating it (and everything is documented here http://www.baseline-security.de/downloads/BSC-Qnap_Crypto_Backdoor-CVE-2009-3200.txt).

“When a user selects in the web GUI to encrypt a hard drive, he has to supply a passphrase of 8-16 length. The Qnap solution is to use the underlying Linux standard mechanisms of LUKS to create the encrypted partition. The user supplied passphrase is crypt(3)'ed with the MD5 salt of $1$YCCaQNAP$ and used as the initial key to access the LUKS master key for the drive.

Additionally, the system creates a second key, which is 32 characters long and contains all low case characters and the numbers 0-9, and adds it to the LUKS keyring: /sbin/cryptsetup luksAddKey /dev/md0 /tmp/temp.wLbZNp --key-file=/tmp/temp.rUBxFo”


Source : http://www.securityfocus.com/archive/1/506607

(2010)

"Kingston Technology has asked customers to return certain models of its DataTraveler secure flash drives for an update, following the discovery of a flaw in the memory sticks.
The affected models include the DataTraveler BlackBox; DataTraveler Secure — Privacy Edition; and DataTraveler Elite — Privacy Edition."

Source: http://www.zdnet.co.uk/news/security-threats/2010/01/04/kingston-flash-drives-suffer-password-flaw-39963327/
Posted by at No comments:

Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules

List here :
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm
Posted by at No comments:

(Fr) Intervention du Général Jean-Louis Desvigne à l'INSA Lyon : extraits

Quelques passages d'une intervention du Général Jean-Louis Desvigne à l'INSA Lyon (2010), un vrai trésor de petites anecdotes et une vision très intéressante d'un acteur de premier ordre dans le domaine.


Une grosse partie concernant la "crypto war" en France dans les années 90 est reproduite ci-dessous (beaucoup de détails sur le côté US sont disponibles, mais rarement du côté français, surtout d'une telle qualité).

"Avec son télégraphe optique à bras articulés, Chappe introduit également un système
de codage sophistiqué et tenu secret interdisant les interceptions puisque la plus grande
partie des opérateurs ignore la signification des signaux qu’ils reproduisent.
Pourtant, ce système donnera lieu au premier acte de piraterie que l’on connaisse en
matière de système d’information. En effet deux banquiers ayant pour complices deux
opérateurs vont pendant des années utiliser le télégraphe à leur profit en se faisant
transmettre durant la séquence des messages de service (répétition des messages erro-
nés), des informations sur le cours des vins et autres denrées entre Tours et Bordeaux.
Soit au minimum avec 24 heures d’avance sur les autres boursicoteurs servis par la
presse. Pris de remords sur son lit de mort, l’un des compères crachera le morceau et
son complice sera poursuivi sans pouvoir être condamné, ce type de délit n’étant pas
encore codifié. "

"Mais la fin du siècle voit un nouvel essor de la cryptographie, sans doute imputable à la
défaite de 1870. Bazaine ne disposait que d’un chiffre dérisoire et ses dépêches étaient
facilement décryptables.
D’une part on redécouvre les vertus de procédés anciens, d’autre part on s’attache à
définir les critères permettant de sélectionner les systèmes de chiffrement pour que
ceux-ci soient réellement opérationnels.
En effet, le besoin de chiffrement apparaît de plus en plus incontournable avec l’utilisation
d’une part des télécommunications électriques (télégraphe terrestre puis câbles sous-
marins qui deviennent malgré les conventions internationales les premières cibles en cas
de conflit) d’autre part de la TSF dont on se rend assez vite compte que ses ondes, ne
s’arrêtent pas aux frontières."

"Le Chiffre durant le premier conflit mondial
La Première Guerre Mondiale va encore voir s’affronter les cryptologues sur des pro-
cédés essentiellement manuels. Avec elle coïncide en effet la fin de l’âge artisanal et le
début de l’âge industriel de la cryptologie.
C’est sur une imprudence fatale que débute le conflit sur le front de l’Est. En effet suite
à des problèmes logistiques, les nouveaux codes russes n’ont pu être approvisionnés et
l’État-major se trouve obligé de communiquer en clair ses ordres par radio. Il s’en suit
la cuisante défaite de Tannenberg et ses conséquences. Les généraux allemands ne se
vanteront jamais de l’avantage dont ils ont bénéficié. Les Russes avaient pourtant bonne
réputation à la fois en cryptologie et dans l’art de récupérer les codes par des moyens
« classiques ». Le Cdt Olivari, brillant cryptologue français envoyé à Moscou pour as-
surer la coopération franco-russe en cryptologie put en témoigner. Il se trouva en effet
très dépité quand au bout d’une année d’efforts il présenta le résultat de son travail au
général dont il relevait : la reconstitution d’un des principaux codes allemands. Celui-ci au
lieu de s’extasier lui dit : « Il ne fallait pas vous donner tout ce mal, le voici, nous l’avons
acheté ! »."

"Quoi qu’il en soit, si l’intérêt de la cryptologie a pu apparaître déterminant, les services
qu’elle avait rendus, sous prétexte d’en assurer le secret, furent vite oubliés. Même si
les Américains firent appel à Painvin pour former l’American Black Chamber, l’embryon
de la future NSA aux ordres du LCL Yardley, ce n’est pas pour autant qu’en France on
capitalisa sur ces enseignements. Et de ce fait, la France allait aborder la seconde guerre
mondiale dans un état de faiblesse doublé d’une mésentente entre services qui ne fut
certainement pas étrangère au désastre de 1940."

"La deuxième moitié du XXe siècle débuta avec l’électronisation des machines.
L’OTAN, cette organisation née après la guerre, lança en effet une compétition pour do-
ter l’alliance d’une nouvelle machine à chiffrer les messages télégraphiques. Cette compé-
tition coïncida avec la volonté de la France de renouveler son parc cryptologique. C’est la
machine Myosotis premier équipement entièrement transistorisé qui porta les couleurs
de la France. Celle-ci fut évaluée et jugée apte mais c’est une machine américaine la KW7
qui remporta le marché.
Bien vite la numérisation permit d’envisager d’une part de chiffrer simplement toutes
les formes d’information : la voix, les images fixes puis animées et toutes les sortes de
données, d’autre part de chiffrer globalement toute une artère véhiculant plusieurs com-
munications simultanément. Tel fut le cas du système RITA de la société Thomson que
nous réussirons à vendre à M. Reagan..."

"La véritable révolution viendra avec l’arrivée tardive des clefs publiques dans les armées
et les fameuses infrastructures de gestion de clefs (IGC ou PKI)."

"Mais revenons quelques instants aux innovations technologiques qui permirent à la cryp-
tologie de changer d’âge.
L’électrification allait avoir une conséquence inattendue et terrifiante. Les parasites géné-
rés par les variations brusques de courant dans les téléimprimeurs notamment allaient
dans certaines circonstances ruiner tous les efforts déployés pour rendre hermétique
les messages. Ces parasites pouvaient en effet être corrélés aux caractères transmis ou
frappés simplement sur un clavier. Un appareil de réception permettait alors de recons-
tituer à distance le texte pendant qu’on était en train de le chiffrer. C’est le phénomène
qui dans le jargon de l’OTAN va être qualifié de menace TEMPEST et qui s’applique à
tous les équipements fonctionnant à l’électricité. Notons que la compromission peut se
propager à très longue distance si par malheur le signal parasite émis vient à se coupler
fortuitement à un conducteur ou plus grave à un moyen de communication."

En parlant d'émanations électromagnétiques, citons la (présumée) opération STOCKADE
De cryptome "Canadian Communications Security Board policy paper expands COMSEC mission to include TEMPEST; British intelligence conducts HIJACK attack on conducted signals generated by French diplomatic cipher machine(London) in Operation Stockade, showing importance of red/black separation; FBI conducts operation similar to Stockade against French embassy in Washington."

"Par conséquent, comme je l’ai déjà dit, la cryptologie ne peut apporter à elle seule la
sécurité.
Il est indispensable de disposer de plate-forme de confiance dûment évaluée et certifiée."

"Le contrôle de la cryptographie par les États
[...]
Une fois le diable sorti de sa boîte difficile de l’y faire rentrer. Les « services » n’avaient
plus que leurs yeux pour pleurer. Pendant quelques années ils ont essayé de freiner la
diffusion du DES mais c’était peine perdue.
[...]
Les services, plus entraînés à recueillir les signaux électromagnétiques que les octets
sur Internet, y perdirent leur latin. Zimmermann fut poursuivi par l’administration et se
défendit en prétendant être au service de tous les dissidents opprimés de la Planète
notamment chinois. Une certaine suspicion entoura les versions suivantes de ce logiciel
lorsque Zimmerman récupéra son passeport mais PGP reste un système très utilisé.

La période 1990-2000 est en effet celle de la montée d’Internet et du besoin bien vite
ressenti d’assurer la protection des messages qui transitent sur ce réseau structurelle-
ment insécurisé. Mais c’est aussi celle qui voit les questions de sécurité intérieure prendre
le pas sur les questions de sécurité extérieure après la chute du mur."

"Or il se trouve que la France très tôt avait pris la mesure de cette menace croissante.
Rappelons que nous fûmes frappés par les attentats de 1986. C’est pourquoi la régle-
mentation sur la cryptologie qui prend en compte la possibilité pour les criminels et ter-
roristes de tous genres d’utiliser la crypto pour dissimuler leurs crimes ou la préparation
de ceux-ci, va apparaître comme l’une des plus restrictives au moment où tout le monde
ne parle que d’ouverture et de liberté et où la vague de l’Internet va faire naître des
espoirs complètement fous faisant perdre le sens commun à beaucoup.

Pour la communauté qui s’intéresse à l’intelligence économique, l’épopée de la libéra-
lisation de la réglementation cryptologique ne manque pas d’intérêt. Car presque tous
les acteurs vont être amenés à prendre parti parfois contre leurs intérêts pour aboutir
à une situation aujourd’hui bien pire que celle qui était dénoncée à l’époque en matière
de liberté individuelle.

En effet au début de la bulle Internet, les tenants de la sécurité (la police et la DGSE pour
simplifier) vont tout faire pour bloquer le développement de la cryptologie comme au
début des années cinquante, n’acceptant que contraints et forcés quelques assouplisse-
ments. La police plus que la DGSE d’ailleurs car elles ne partent pas à égalité : casser du
40 bits en 1995 est hors de portée de la première. Or celle-ci refuse soudain de s’en
remettre à ses collègues de la Défense en cas de besoin, commence à exiger ses propres
moyens d’attaque et se met à refuser toutes les demandes d’autorisation qui lui sont
soumises y compris, c’est un gag, celles d’organismes travaillant pour la Défense.
C’est dans ces conditions que, venant d’être nommé à la tête du SCSSI, je suis amené à
proposer un assouplissement de l’application de la réglementation existante suivi d’une
inflexion de celle-ci vers une libéralisation raisonnable poursuivant la voie déjà engagée
précédemment :
- En 1986 des dérogations avaient été accordées au régime strict pour les applications
commerciales par exemple pour les cartes à puce dont notre pays était en train de
devenir le champion.
En 1990, à la loi de réglementation des télécommunications avait été accroché un
wagon sur la cryptologie instituant plusieurs régimes, dont un purement déclaratif
pour les équipements n’assurant que des fonctions de signature et ne risquant pas
de mettre en danger la Défense nationale.

Je proposai d’aller plus loin en introduisant un régime de liberté et en instituant surtout
le régime des fameux « tiers de confiance ». Cette loi pouvait se résumer ainsi :
L’utilisateur pouvait recourir :
- à des moyens cryptologiques de force modérée décryptables par force brute (par
essais systématiques) par les services de l’État
- à des moyens cryptologiques forts à condition que ses clefs soient gérées par un
organisme agréé qui pouvait dans un cadre strictement défini remettre les clefs ou
procéder aux opérations de déchiffrement à la demande d’un juge.

Cette solution, à l’étude au niveau européen, semblait le mieux à même d’assurer le plus
juste équilibre entre les aspirations légitimes des citoyens à bénéficier de garanties pour
la protection de leur vie privée ou des entreprises à se protéger et le besoin non moins
légitime de conserver à la Justice et à son bras armé, la Police, les capacités d’investigation
nécessaires au maintien de l’ordre public et de la sécurité du pays.

Les ministères sécuritaires renâclèrent mais l’enthousiasme de ceux chargés de l’Indus-
trie, des PTT et de la Recherche fut tel que Matignon décida de passer directement à
cette solution en profitant de la révision de la loi de réglementation des télécom. Ce fut
chose faite au printemps 1996. Mais comme toujours, ce furent les décrets d’application
qui furent longs à accoucher. Les sécuritaires s’acharnèrent en effet à charger la barque
des tiers de confiance qui introduisaient un guichet auquel il fallait montrer patte blanche
pour procéder à des interceptions dont on sait bien qu’elles peuvent être pratiquées
sans de telles formalités.
Or malgré les charges qui avaient été imposées à cette profession, une vingtaine de can-
didats étaient déjà sur les rangs.

Si l’annonce de cette libéralisation avait permis de faire baisser la pression, (F. Fillon avait
annoncé : « à la fin de l’année 1997 il y aura déjà deux tiers agréés ») le retard pris dans
la publication des décrets qui devaient, de surcroît, être soumis à Bruxelles, relança la
polémique et les lobbies, hostiles à toute réglementation autre que celle, incontournable,
de l’administration américaine, redoublèrent leurs actions :
« LIBÉREZ la Crypto ! » proclamait en une le Monde Informatique. « La France crée le
cyber goulag du XXIe siècle » s’indignait un avocat du Barreau de Paris défenseur des
intérêts de Microsoft dans le Wallstreet Journal.

Pourtant, du côté de l’étranger, tout le monde était attentif à ce que nous étions en train
de mettre en place. La plupart des pays percevaient le danger d’une cryptologie débri-
dée et nous enviaient d’avoir un texte de loi traitant ce sujet.
Russes, Japonais, Coréens, Singapouriens étaient venus nous voir. Notre législation avait
été à maintes reprises exposée dans les forums de l’OCDE ou du G8. Sans parler des
pays majeurs en cryptologie dont les agences se réunissaient périodiquement.
Même les États-Unis qui s’étaient vus refuser le système de Key escrow connu sous le
nom du composant miracle CLIPPER CHIP qui devait résoudre le problème sous l’admi-
nistration Clinton commençaient à s’intéresser à notre solution. De grandes firmes nous
dépêchaient leur armada d’avocats pour examiner les conditions d’une « compliance »
de leur solution avec la loi française...
Barbara Mac Namara, le N° 2 de la NSA pouvait alors me présenter à son nouveau
boss en disant : « vous savez, le SCSSI est un petit service, mais il est terriblement actif ! »
Hélas les décrets tardaient et les lobbyistes passèrent à la vitesse supérieure d’autant
qu’intervint un événement politique qui allait tout bouleverser : une dissolution « hasar-
deuse »...
Pour la première fois en France la cryptologie s’invita dans le débat politique. Cela avait
été le cas précédemment dans la campagne présidentielle aux États unis. Alors qu’une
conseillère de l’Élysée, côté Chirac, avait renoncé à faire aborder ce sujet, l’équipe Jospin
s’en occupa. Cela n‘eut aucune conséquence sur le résultat. Cependant durant l’été qui
suivit la victoire de la Gauche, le journal « Les Échos » publia un feuilleton entièrement
axé sur ce sujet : un conseiller de Jospin au terme d’un scénario crédible persuadait celui-
ci de libéraliser la crypto jusqu‘à 56 bits. Mon autorité de tutelle de l’époque m’avoua
qu’il n’avait pas songé à faire enquêter sur les origines de ce qui m’apparaissait comme
un élément d’une opération d’intelligence économique entamée depuis plusieurs mois.
Effectivement au cours de sa conférence à Hourtin, Lionel Jospin annonça son intention
en tout point conforme au scénario du feuilleton !
Le gouvernement nomma un expert pour évaluer les conséquences de cette évolution.
Celui-ci allait rendre un rapport très documenté chiffrant le coût de cette libéralisation
en terme d’investissements pour le service chargé de retrouver malgré tout le clair des
messages interceptés. Selon la rapidité visée, l’investissement variait déjà de quelques
dizaines de millions à un milliard de francs. Il faut dire qu’une chose est de casser une
clef de 56 bits à l’occasion d’un challenge pour lequel on pouvait réunir via l’Internet
quelques milliers d’ordinateurs à travers le monde, une autre est de décrypter de ma-
nière opérationnelle plusieurs dizaines ou centaines de messages quotidiennement avec
un enjeu de vie ou de mort par exemple si l’on pressent la commission imminente d’un
attentat.
Mais à l’époque une clef de 56 bits pouvait toutefois apparaître comme le seuil raison-
nable pour une protection d’intérêts non stratégiques. La loi, du reste, avait prévu un
mécanisme de révision de ce seuil en fonction de l’évolution des technologies. L’expert
gouvernemental rendit son rapport en recommandant cette nouvelle limite. Du reste
c’est ce que réclamaient les firmes américaines pour se simplifier la tâche puisque c’était
ce qu’elles étaient autorisées à exporter.
Quelques mois passèrent sans que le sujet soit remis à l’ordre du jour. Cependant fin
1998 un accord international devait être renégocié celui de l’arrangement de Wassenar.
La délégation française continua sur les errements en vigueur et défendit sa position très
stricte habituelle.
Or en janvier un comité interministériel allait prendre une position à 180° de celle-ci à la
surprise générale. L’équipe Jospin annonça en effet (avec l’accord de l’Élysée) la libéralisa-
tion du 128 bits ! Cette annonce fut généralement saluée à travers le monde comme une
décision courageuse et qui allait dans le sens de la liberté de communiquer et surtout de
faire des affaires avec le commerce électronique.
Pourquoi être allé au-delà de ce qui était réclamé ? D’abord parce que bien que le pro-
fesseur ait expliqué de manière imagée la différence colossale pouvant exister entre des
« 2 » affecté d’exposant différents, il n’est pas certain que tous les responsables impli-
qués aient compris ce que cela signifiait :
- Casser 40 bits disait le bon professeur, c’est vider le lavabo avec un dé à coudre,
- Casser 56 bits, c’est la baignoire toujours avec le même dé à coudre,
- Casser 128 bits, c’est l’Océan

Pourtant le ministre des finances, grand partisan de la libéralisation, confia au Point :
« s’agissant des services de sécurité, je leur donnerai les moyens de casser ce qu’on aura
libéré ». Et montrant qu’il confondait allègrement les systèmes symétriques qui utilisent
des clefs courtes avec les systèmes asymétriques qui utilisent des clefs longues, il ajoutait :
« Il y a des truands qui utilisent des clefs de plus de 1 000 bits alors que nous n’autorisons
que des clefs de 40 bits ! »
Un polytechnicien facétieux calcula que les moyens informatiques de l’époque néces-
saires pour casser du 1 000 bits feraient monter la température de la planète de 3 °C...

L’argument qui l’avait emporté était stupéfiant de naïveté : l’industrie française de la cryp-
tologie allait booster ses ventes grâce à cette manœuvre hardie. Le résultat dépassa mes
prévisions les plus pessimistes. L’industrie américaine en profita pour déverser toute sa
production de solutions soit disant ultra-sécurisées en fait aussi efficaces qu’un placebo
vis-à-vis de ceux qui continuaient à en superviser la conception et la commercialisation.
L’industrie française de son côté, éberluée par ce changement de politique totalement
inattendu, ne se précipita pas et laissa la place aux grands éditeurs habituels. Il fallut at-
tendre des années pour que certains se refassent une petite niche.

Malgré les mises en garde, les conseillers avaient oublié une chose : en cryptologie, la lon-
gueur des clefs n’est qu’un des éléments donnant une indication sur la force du procédé.
Bien plus importante est la manière dont un procédé mathématiquement hermétique
est implanté et utilisé dans un système. De multiples failles peuvent en effet ruiner la belle
théorie. Parfois celles-ci sont accidentelles, d’autres sont mises en place volontairement
à la demande des « services » pour leur permettre de contourner le recours aux essais
systématiques aujourd’hui impraticables. Un document recueilli suite à une erreur mo-
numentale de transmission d’une célèbre firme montre à quel point nous pouvons faire
confiance à cette production venue d’outre Atlantique.

De fait, peu après cette libéralisation lors d’une réunion des SR à Washington, le patron
de la NSA en entamant la réunion s’exclama : « Et maintenant que la France a renoncé
que faisons-nous ? » Un grand silence s’en suivit. Je tins tout de même à répondre que
je les avais tous prévenus et que si les autres pays ne s’étaient pas contentés d’attendre
pour voir mais qu’ils avaient soutenu notre initiative, nous n’en serions pas là !
Quant à ce qu’il fallait faire, c’était simple : il suffisait de remettre au goût du jour les
vieilles coutumes de connivence avec les industriels de l’informatique et les grands édi-
teurs de logiciels pour conserver cette fameuse maîtrise de l’information sans plus se
soucier de légalité comme avaient tenté de le faire les initiatives Clinton et la nôtre.
À la différence près qu’une politique fondée sur le droit et la transparence mettait à éga-
lité tous les pays tandis qu’une solution basée sur les relations occultes avec les industriels
ne favorisait que les pays sur le sol desquels se trouvaient ces industriels.

À ce petit jeu facile à comprendre mais que n’avaient pas voulu voire nos politiques ou
au contraire qu’avaient parfaitement saisi certains politiques, la Justice française n’était pas
gagnante. Même la Ligue des droits de l’homme s’en était émue, qui avait demandé dans
un tract que le SCSSI soit chargé de labelliser les produits de sécurité qui inondaient le
marché sans aucune garantie de qualité..."

"Et survint le 11 septembre...
[...]
Après l’euphorie de la fin des années quatre-vingt-dix qui avaient vu l’explosion du
Net et l’annonce de son cortège de bienfaits, le 11 septembre puis l’éclatement de la
fameuse bulle gonflée à l’argent virtuel, firent regarder d’un autre œil le réseau des ré-
seaux. Celui-ci commença à soulever toutes les inquiétudes que l’on avait volontairement
occultées : l’Internet, comme toute nouvelle technologie, pouvait (comme c’est étrange !)
être détourné à des fins délictueuses et criminelles... Il n’était plus politiquement incor-
rect de le dire. Les enfants étaient en danger, nos comptes en banque étaient menacés,
la désinformation régnait, Al-Quaïda pouvait refrapper, bref, il fallait nous protéger. Là on
ne lésina plus sur les moyens.

De l’autre côté de l’Atlantique les mouvements traditionnellement réputés pour dé-
fendre les libertés se crurent obligées de se résoudre au silence, tout le monde vota le
Patriot act.
Les firmes ressortirent avec délectation leurs concepts anti piratage permettant de
contrôler de fait tous les ordinateurs avec par exemple les fameuses puces dites Fritz du
nom du sénateur qui en fit la promotion.
En France ce fut la loi pour la sécurité quotidienne suivie d’une kyrielle d’autres disposi-
tions toutes plus liberticides les unes que les autres, jusqu’aux deux dernières HADOPI
et LOPPSI. Cette dernière autorisant les services spécialisés à utiliser des spywares, ces
logiciels espions qui permettent de prendre la main sur votre ordinateur et récupérer
vos données.
Rétrospectivement les quelques journalistes braillards qui s’étaient opposés jadis aux
tiers de confiance doivent se dire que finalement, c’était le bon temps !
Mais d’un point de vue sécuritaire où en sommes nous ? L’utilisation de la cryptologie
est affichée comme étant libre mais les moyens cryptologiques sont désormais des stan-
dards parfaitement connus et nous avons vu que leur efficacité n’est réelle que dans un
environnement de confiance difficile à trouver aujourd’hui. Même les services gouverne-
mentaux sont vulnérables.

Les substituts à la politique des tiers de confiance sont peu crédibles et dangereux.
D’abord dans la nouvelle loi (LCEN 2004) on demande au suspect de fournir le clair ou
les clefs de ce que l’on a saisi sur son ordinateur ou des communications interceptées
sous peine d’aggravation de la sanction. Or :
1 la jurisprudence de la cour européenne des droits de l’homme fait qu’on ne peut
obliger un prévenu à fournir la corde qui doit le pendre.
2 Je me souviens d’une certaine affaire qui a défrayé la chronique dans laquelle une
fameuse cassette a été vainement recherchée chez un protagoniste d’une haute
pointure. « Une cassette ? Quelle cassette ? ».
3 Il est la plupart du temps impossible techniquement au particulier de fournir ces
éléments.

Ensuite il est précisé que le juge peut faire appel à des moyens de l’État couverts par
le secret de Défense pour retrouver le clair d’un cryptogramme. Ainsi serait-il possible,
dans un contexte où la démocratie aurait quelque peu reculé, que l’on puisse fabriquer
de fausses pièces à conviction comme dans le cas de l’affaire Dreyfus, sans avoir à faire la
preuve de la relation biunivoque entre le clair et le cryptogramme.
Il est donc difficile de mon point de vue de voir dans cette évolution de la réglementation
sur la cryptologie un progrès de la démocratie."








Posted by at No comments:

Monday, January 16, 2012

(Fr) Pourquoi il vaut mieux éviter WinZip/AES pour les "échanges sécurisés"



Parfois lorsqu'il est nécessaire d'échanger un fichier de façon « sécurisée », la solution WinZip peut représenter une option facile à utiliser et pratique car présente sur quasiment tous les postes clients.

Cette solution bien que fort pratique est à déconseiller, sauf bien sûr si aucune autre alternative n'existe.

Pourquoi ? Tout simplement parce que WinZip, contrairement à des programmes comme GPG ou Truecrypt, n'a jamais été conçu comme un outil de chiffrement mais comme un outil d'archivage qui propose une option de protection par mot de passe.

La différence est grande et au delà de la robustesse de l'implémentation du système cryptographique, cette différence concerne avant tout son utilisabilité en conditions opérationnelles.

Utiliser des algorithmes de chiffrement forts avec de tailles de clefs très longues est une chose, mais avoir un produit utilisable sur le terrain en cas de stress, fatigue ou personnel non compétant en est une autre.

Un bon logiciel de chiffrement doit laisser aussi peu que possible la possibilité à un utilisateur de se tromper, et pour caricaturer devrait être utilisable par une chèvre stressée et neurasthénique.

Sans parler de l'importance de l'implémentation du système cryptographique - est-il nécessaire de rappeler que la qualité de l'implémentation est aussi importante que la qualité de l'algorithme utilisé et la longueur des clefs - que l'on considérera comme correcte ici (axiome purement arbitraire), les problèmes suivants se posent :

Note : On choisit ici volontairement d'ignorer les problèmes d'implémentations présentés par Tadayoshi Kohno [kohno], les fichiers temporaires, les mots de passe en mémoire, la sécurité du poste, la gestion des clefs, etc.


Fichiers temporaires (7-Zip)

Problème #1 : rétro-compatibilité
Pour des raisons de rétro-compatibilité, WinZip supporte l'ancien système de chiffrement ZipCrypto, qui présente de nombreuses vulnérabilités (un grand nombres d'outils sont disponibles en ligne [elcom] ; en particulier les archives contenant plus de 5 fichiers crées avec WinZip <8 présentent des vulnérabilités permettant de casser le mot de passe en quelques heures).

Le problème est qu'à un moment ou à un autre, soit une personne va se tromper et oublier de sélectionner le chiffrement AES soit elle va être équipée d'un vieille version de WinZip ; au final une archive sera renvoyée chiffrée en ZipCrypto.
Selon les cas, il est beaucoup plus aisé de récupérer le mot de passe, cassant ainsi toute la chaine de confiance sur les messages précédemment échangés, que l'on avait pris la peine de chiffrer avec « AES ».

Problème #2 Affichage, ajout et extension

L’autre problème est que l’interface et l’usage n’a jamais été conçue pour la sécurité. Il n’est pas facile de différencier un fichier chiffré d’un fichier qui ne l’est pas. Ce qui outre les erreurs de manipulation :
  • rend difficile l’identification de fichiers chiffrés par l’expéditeur original
    • Le risque est qu'une tierce personne ajoute un fichier à l'archive et que le destinataire, en l'absence de message d'erreur, ne se rende compte de l'attaque.
  • Rend difficile vérifier si l'archive est chiffrée et si l’algorithme de chiffrement utilisé est ZipCrypto ou AES.
    • Le risque est qu'une personne se trompe et envoie un .zip non chiffré (même extension) et il n'est pas évident de vérifier quel algorithme a été utilisé (pour cela il faudrait déplacer la barre, ce que 90% des utilisateurs ne feront pas)

Par exemple, une archive ouverte avec 7-Zip donne par défaut :

Peu de personnes feront attention au deuxième fichier chiffré en ZipCrypto et au 3ème qui a été ajouté a posteriori par une personne ayant intercepté le message.



Dans la mesure où le logiciel n’émet aucune alerte, le destinataire ne peut savoir si ce fichier est légitime ou non et le considérera avec le même niveau de confiance que le reste.


Bien sûr il ne s’agit là que de quelques vulnérabilités orientées usage.

Conclusion
En conclusion, il est préférable d’utiliser des outils conçus dans le but d'effectuer des échanges sécurisés ; et de préférence conçus, implémentes et certifiés par des personnes compétentes.

Quelques exemples à coût zéro :
  • GPG, de préférence en mode hybride (pub/pric key) ça évitera que l'utilisateur ne chiffre le message avec un mot de passe faible, à défaut en symétrique avec option -c) ou Truecrypt certifiés CSPN par l’ANSSI
  • Dans certains cas où il n’est pas possible d’installer de logiciels sur le poste cible « Encryption Wizard » peut faire l’affaire (un jar) [EW].
    • À noter que ce produit n’a pas été validé par l’ANSSI, mais étant écrit en java, il serait facilement possible de "retrouver" le code source pour l'évaluer.
  • Une autre solution est l’usage d’un serveur d’échange, par exemple un OpenSSH correctement configuré (chrooté via internal-sftp + bonne configuration des algorithmes et protocoles) ; ou via une autre solution de VPN (et au pire chiffrement de la pièce jointe et envoi via le SharePoint Corporate over SSL, au moins cela complique le process d'interception)

  • L'idéal étant bien sûr l'usage de cartes à puce (et de préférence avec un pad externe), au moins l'utilisateur ne pourra ni envoyer le mot de passe ni son keyring GPG par mail (si si déjà vu). Cette solution est malheureusement plus coûteuse. Après se pose tous les problèmes inhérents aux cartes à puce et à l'IGC.

Bien sur il reste toujours le problème de la qualité du mot de passe (12 minimum, 18 de préférence, aléatoire ou passphrase) et l'erreur humaine, mais on atteint ici les limites inhérentes au logiciel et pour le reste « think OPSEC » ;).

Références

Posted by at No comments:

Thursday, January 5, 2012

New Blog

Just moved from http://arik.soup.io/
Posted by at No comments:

Anatomy of a Pass-Back-Attack: Intercepting Authentication Credentials Stored in Multifunction Printers

How-to, focus on LDAP

Posted by at No comments:
Subscribe to: Posts (Atom)