*

hautakangas Kyttäyksestä kannustamiseen, rötösherrat kuriin jne.

NSA rikkoi tietoturvasi

NSA on maksanut selvää rahaa tietoturvasi heikentämisestä. RSA Securityn järjestelmät ovat laajalti hallitusten ja suuryritysten käytössä, mutta ne eivät ilmeisesti tuota juuri minkäänlaista tietoturvaa ainakaan Yhdysvaltain tiedustelupalveluita vastaan.

RSA rikkoi salausjärjestelmänsä ottamalla käyttöön NSA:n heikentämän satunnaislukualgoritmin, ja pitämällä sen käytössä vuosia, huolimatta vakavista varoituksista. Kun Snowden kesällä paljasteli asioita, RSA kehotti asiakkaitaan vaihtamaan oletusalgoritmin toiseksi.

RSA ei ole mikään ihan tyhmä firma, sen perustajat ovat uraauurtavia pioneereja. Monien työntekijöiden ja koko johtoportaan täytyi tasan tarkkaan tietää, missä mennään. Ja he riskeerasivat koko yrityksen maineen ja olemassaolon vain kymmenestä miljoonasta dollarista.

 

...

NSA:n suosittelema ECDH-algoritmi itsessään on typerä, ja kuluttaa paljon aikaa ja energiaa, mutta se katsotaan luotettavaksi - koska NSA lobbasi sen läpi NISTille (Yhdysvaltain National Institute of Standards).

NISTin standardi lisäksi kätevästi määrittelee satunnaislukugeneraattorille tietyt parametrit, joita harva ohjelmoija viitsii, tai osaa, vaihtaa. 

NISTin suosittelemat parametrit on jo vuonna 2007 osoitettu todennäköisesti vaarallisiksi, ei enempää eikä vähempää kuin matemaattisesti todistamalla.  Kuusi vuotta on tiedetty, että jollakulla saattaa olla salaukseen yleisavain. 


...

Tuo sama ECDH-algoritmi on käytössä myös Googlen, Facebookin, Twitterin yms. palveluissa, ja jos NIST:n standardia on sokeasti noudatettu, niin joka ainoa salattu pakettisi on todennäköisesti helposti purettavissa, jos se on edes muutaman kymmenen tavun mittainen.

Jokainen näppäimenpainalluksesi noissa "suojatuissa" verkkopalveluissa. Jokainen merkki tai kuva, jonka selaimessasi näet. Kaikki selaimeen syöttämäsi salasanat.

Aika jännä, eiks?

Piditkö tästä kirjoituksesta? Näytä se!

7Suosittele

7 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

NäytäPiilota kommentit (9 kommenttia)

Käyttäjän JouniHalonen kuva
Jouni Halonen

Sinänsä ei ole mitään uutta täällä maalla, että muut tietävät omat asiani paremmin kuin itse. Ei ole juurikaan salattavaa, ainoa huoli on että elämisen hetkeksi turvaava mitätön rahavarallisuus häviää toisiin taskuihin. Toinen huoli on, että vallan on kaapannut salaileva ja vaikeista asioista vaikeneva rahavallan ohjailema useampi portainen politbyroosysteemi.

US:n pilvipalvelu on alkanut hajaantua bittiavaruuteen, pahasti tökkii kommentointi tai sitten bittiavaruuden isoveli käyttää hidastelua sensuurin välineenä.

Käyttäjän mikkonummelin kuva
Mikko Nummelin

Minulla on muistikuva, että monet satunnaislukugeneraattorit käyttävät hyväkseen myös pelkästä raa'asta laskennasta riippumatonta ympäristön satunnaisuutta, esim. koneen lämpötilan asteluvun desimaaleja tai perättäisten näppäimenpainallusten väliaikoja. Schneierin artikkelissa kritiikki on kohdistunut tiettyyn monimutkaisena pidettyyn elliptisten käyrien menetelmään.

On sinänsä erikoista, että NSA on halunnut mennä nimenomaan satunnaislukugeneraattorien väliin, koska sillä alalla on paljon turvallisia vaihtoehtoja. Sen sijaan on paljon hankalampaa näyttää, josko jossakin NSA:n suosittelemassa lohkosalakirjoitusalgoritmissa olisi huonoista "salauslaatikoista" aiheutuva aukko. Yleensä, jos tavallinen kryptografiaan perehtymätön yrittää kehittää lohkosalakirjoitusalgoritmia, siitä voi tulla heikko ja differentiaaliselle kryptoanalyysille altis.

Käyttäjän hautakangas kuva
Ville Hautakangas

"On sinänsä erikoista, että NSA on halunnut mennä nimenomaan satunnaislukugeneraattorien väliin, koska sillä alalla on paljon turvallisia vaihtoehtoja."

On tuo tiedustelupalvelun kannalta ihan rationaalista. Sama porukkahan vaati aikoinaan 1990-luvulla aivan avoimen ylimielisesti omaa "clipper chippiään" kaikkeen viestintäelektroniikkaan, jotta voisivat purkaa salauksia lennossa. Yllättäen kukaan ei oikein innostunut ajatuksesta.

Lopulta saavuttivat suunnilleen saman vain ujuttamalla NIST:n standardiin oudon algoritmin, ja sille alkuarvoiksi pari "turvallisina" mainostamaansa yhtälöä, nämäkin toki vain suosituksina.

Tuo standardi tavallaan vapautti ohjelmistojen ja laitteiden kehittäjät vastuusta. Jos huippumatemaatikot suosittelevat jotain ja hallitus on sen hyväksynyt, niin käytetään sitten sitä. Turha ajatella enempää.

Ulkopuoliset tutkijat pystyivät parhaimmillaankin toteamaan vain, että noiden yhtälöiden kanssa satunnaisluvut SAATTAISIVAT olla helposti arvattavissa, ja salaukset siten murrettavissa.

Että jollakulla, jossain, SAATTAISI olla "yleisavain" - eli toinen yhtälö, josta tämä suositeltu yhtälö on johdettu; yhtälö, jonka avulla voisi vain muutaman bitin jälkeen ennustaa, mitä satunnaislukuja algoritmi tuottaa seuraavaksi, ja sitten purkaa kaiken mitä sen avulla on salattu.

RSA Securityn mokkuloilla on nyt muutaman vuoden ajan allekirjoitettu sertifikaatteja ja avaimia, salattu salaista tietoa ja suojattu kriittisiä järjestelmiä. Ja NSA:lla mitä todennäköisimmin on keinot kaiken tämän tietoturvan ohittamiseen.

Jos nuo salaiset yhtälöt vuodetaan julkisuuteen esimerkiksi tänään, niin IT-ylläpitäjät ympäri maailman pääsevät viettämään aika erilaista joulua. :)

Keijo Korhonen

Ehkä ainoa opittavissa oleva asia tästä uutisesta tekee sen, että salaukseen liittyvissä asioissa yritysten ei kannata suljettuihin sovelluksiin. Kryptopiireissä tuo koko Dual_EC_DRBG -algoritmi satunnaislukujen generointiin on pidetty melkoisen ydinjätteenä ainakin tietoturvan kannalta jo viime vuosikymmeneltä saakka. Eli ongelmaksi varmasti muodostuu nämä 3. osapuolelta ostettavat sovellukset, joiden tarkoista implementaatioista ei pysty ymmärtämään tai tietämään, kun lähdekoodit ja tieto ovat muiden hallussa. Tai ainakin saa olla korkea luotto toisiin osapuoliin ja olla jonkinlaisessa hyvässä uskossa, että asiat tehdään oikein.

Tosin kuinka monella yrityksellä on sitten riittävää osaamista edes kryptomaailman asioiden hallinnassa joidenkin avoimien sovellusten tasolla pitää riittävällä tasolla tai omissa toteutuksissa. Veikkaan aika monessa paikassa vielä salasanatkin "kryptataan" sillä tavalla, että heitetään kerran MD5 tai SHA1 -funktion läpi ja ollaan tyytyväisiä tulokseen.

Muutenkin outo juttu alkuperäisessä kirjoituksessa tuo kohta, että satunnaislukujen generoinnissa hitaus tai raskaus olisi jotenkin heikko asia. Ainakin tietoturvan kannalta ollaan alettu tietoisesti etsimään sellaisia algoritmeja, jotka pysyisivät hitaana laskentatehon lisääntyessä. Kaikkiin toteutuksiin toki tälläiset algoritmit eivät ole tarpeellisia, mutta aina satunnaislukugeneraattoreiden ei tarvitse olla tietoturvallisia. Muuten meidän maailma voisi olla kovin hidas.

Jotenkin oudon halpa hinta tuo 10 milj dollaria tuollaiselta yritykseltä, jonka liikevaihto kuitenkin taisi olla aika iso ja se kauppahinta, millä myytiin eteenpäin. Olisi kiva kuulla muuten, mistä kirjoittaja uskoo Facebookin tai vastaavien käyttäneen kyseistä algoritmia ja edes missä? Vai eikö näille jutuille saa enää tarpeeksi hypeä, jos ei pelottele, että teidän lempisovelluksessa tietoturva on varmasti vuotanut maailmalle ja ilkeät sedät käyttäneet hyväksi. Väittäisin melkein, että PRISM-ohjelma antaa sellaisen kuvan näiden internetjättien osaamisesta. Et on tarvittu sovittu väylä lukeaksee dataa, koska NSA:lla tai kumppaneilla ollut riittävää osaamista rikkoa Google, Facebookin tai vastaavien tietoturvaa. Ehkä myös halustakin ollut kyse.

Olisi median aika ehkä ruveta hiilostaa varmenteiden luojia ja sitä, että onko heillä jonkinlaisia vilunkipelejä tämän maailman kanssa.

Käyttäjän hautakangas kuva
Ville Hautakangas

"Olisi kiva kuulla muuten, mistä kirjoittaja uskoo Facebookin tai vastaavien käyttäneen kyseistä algoritmia ja edes missä?"

1. Avaa Facebook
2. Katso selaimestasi sertifikaattitietoja ja totea, että avaimet neuvoteltiin käyttäen ECDHE_RSA:ta.

"Väittäisin melkein, että PRISM-ohjelma antaa sellaisen kuvan näiden internetjättien osaamisesta. Et on tarvittu sovittu väylä lukeaksee dataa, koska NSA:lla tai kumppaneilla ollut riittävää osaamista rikkoa Google, Facebookin tai vastaavien tietoturvaa."

Noita urkintajärjestelmiä on ollut monen monta päällekkäin. Osa enemmän, osa vähemmän salaisia. Osa lakiteknisiä, osa pelkästään teknisiä. Epäilemättä PRISMin avulla saatuja tietoja on voitu yhdistellä ja verrata BULLRUNin avulla kerättyihin, ja niin edelleen.

Googlen, Facebookin ja vastaavien tietoturvaa on kyllä rikottu raskaimman mukaan, muun muassa kuuntelemalla salaamatonta liikennettä näiden yritysten omien palvelinsalien välissä - samaan aikaan kun firmoilta on jatkuvasti pyydetty enemmän tietoa PRISMin ja vastaavien melkein-julkisten järjestelyjen kautta.

Keijo Korhonen

"
1. Avaa Facebook
2. Katso selaimestasi sertifikaattitietoja ja totea, että avaimet neuvoteltiin käyttäen ECDHE_RSA:ta.
"

Kannattaisiko nuo uutiset lukea uudestaan, koska tämä nyt ei oikeastaan sano yhtään mitään. Elliptisiä käyrää käyttäviä funktioita käytetään kaikkialla algoritmeissa ja kukaan nyt ei väitä, että elliptisissä käyrissä tai miten Diffie-Hellmannin määrittelemällä funktiossa sopia avaimia olisi jotain rikki. Vaan tuossa tietyssä satunnaislukugeneraattorissa, joka ollut hyvin suurta saastetta markkinoilla jo siitä lähtien kun m$ tutkijat viime vuosikymmenillä kirjoittelivat tutkimuksen mahdollisista algoritmin vioista.

Ainoa ongelma siinä vain on nämä yksityiset yritykset, jotka eivät avaa käyttämiään mentelmiä. Nja koko uutinen on siinä, että NSA maksanut rahaa RSA securitylle, että käyttävät sellaista algoritmia, joka jo alalla on ainakin luultu tai tunnettu olevan hajalla. RSA Securityn asiakkaiden olisi syytä olla vihaisia tai nykyisin EMC:n hallussa olevalla tytäryhtiölle.

"Googlen, Facebookin ja vastaavien tietoturvaa on kyllä rikottu raskaimman mukaan, muun muassa kuuntelemalla salaamatonta liikennettä näiden yritysten omien palvelinsalien välissä - samaan aikaan kun firmoilta on jatkuvasti pyydetty enemmän tietoa PRISMin ja vastaavien melkein-julkisten järjestelyjen kautta."

Noh varmasti niissä ollut erilaisia tietoturvaongelmia vuosien saatossa ja varsinkin alusta saakka tietoturva on voinut ollut todella surkealla tasolla. Alkaa vain näiden juttujen perusteella muodostuu sellainen kuva, että NSA omaisi jonkinlaiset supervoimat pilkkoa kaikki mahdolliset suojaukset palasiksi. Vaikka kryptografian kovin osaaminen voi hyvinkin olla tänä päivänä yksityisissä yrityksissä, jolla on varaa maksaa enemmän kuin veromaksajilla. Tai kumpi on houkettelevampi yritys? NSA vai Google, m$, Facebook etc? Ihan hyvin tuo koko keissi tai NSA hypettäminen tuota tiettyä satunnauslukugeneraattoria voi kuvastaa heidän huonoa osaamattomuutta ja luonnossa ei taida olla edes menetelmiä, jotka todellisuudessa kuvastaisi tuon algoritmin mahdollisia heikkouksia.

NSA:llahan on jo pitkä historia, mitenkä se on ollut vaikuttamassa erilaisiin algoritmeihin ja tuo on onneksi suhteellise avoin ala, että näiden mystiset ehdotukset ja lisäykset yleensä kerää ihan akateemistakin tutkimusta taaksensa. NSA ehkä ongelma on siinä, että he eivät ole se kaikkein avoin pulju ja heidän tarkoitusperiä ei muu mailma täysin ymmärrä. En nyt tiedä voidaanko sitä pitää tuollaiselle organisaatiolle kovin ihmeellisenä asiana.

Esimerkiksi DES-algoritmin historiasta voi ehkä jotain viitteitä ottaa, että NSA toiminta ei aina ihan niin saastetta ole ollut, mutta suuria epälyksiä heitä kohden aina on ollut. Mielestäni se on ihan hyvä niin.

http://en.wikipedia.org/wiki/Data_Encryption_Stand...

Käyttäjän hautakangas kuva
Ville Hautakangas Vastaus kommenttiin #7

"Elliptisiä käyrää käyttäviä funktioita käytetään kaikkialla algoritmeissa ja kukaan nyt ei väitä, että elliptisissä käyrissä tai miten Diffie-Hellmannin määrittelemällä funktiossa sopia avaimia olisi jotain rikki. Vaan tuossa tietyssä satunnaislukugeneraattorissa, joka ollut hyvin suurta saastetta markkinoilla..."

...saastetta, jota mm. RSA/EMC kaupusteli avoimesti viime kesään saakka, ja jolla teki ilmeisesti ihan kannattavaa bisnestä. Saastetta, joka oli määrätty pakolliseksi monissa organisaatioissa ympäri maailmaa, koska kerran Yhdysvaltain hallituskin luotti siihen.

Tuo RSA on jännä. 1990-luvulla firma oli näkyvästi etulinjassa taistelemassa parempien salausten, tietoturvan ja yksityisyyden puolesta, mutta nyt vaikuttaa, että he ovat tehneet lähinnä myyräntyötä hallitukselle jo vuosien ajan.

RSA:n perustajista ainakin professori Rivest oli takavuosina myös kehittämässä äänestysjärjestelmää, jonka piti estää huijaus äänten laskennassa ja turvata vaalisalaisuus.

Todellisuudessa Rivestin ehdottama ThreeBallot nimenomaan mahdollisti huijauksen sekä rikkoi vaalisalaisuuden:

http://www.cs.princeton.edu/~appel/papers/Defeatin...

Tuo kusetus sentään ammuttiin alas. Mutta mitä kaikkea onkaan päässyt käyttöön...

Keijo Korhonen Vastaus kommenttiin #8

Kieltämättä tuo on erityisen huolestuttavaa, että kaupallisissa tuotteissa on käytetty algoritmeja ja vielä maksua vasten sellaisia, jotka ovat keränneet hyvin paljon negatiivista mainetta alalla jo vuosia sitten. BSafe-tuotteet ei mitään halpoja ole olleet, mutta osana tuota hintaa voi hyvinkin olla tuo FIPS-validointi ja sen speksien noudattaminen.

Ehkä vielä surullista asiasta tekee sen, että NIST on tainnut jo jonkin aikaa suositella, että kyseisestä satunnaislukugeneraattorissa luovuttaisiin. Tämä siis ei koske mitenkään salausavaimien tai tiettyjen funktioiden toimintaa. Siis voihan se tottakai olla mahdollista, että fb tai googlen käyttämissä avaimia luovissa algoritmeissa olisi jotain vialla (Siis esimerkiksi tuo teidän mainitsemasi ECDHE_RSA), mutta tällä hetkellä maailmalla ei sellaista tietoa ole ymmärtääkseni.

Voihan tässä taustalla olla jokin suurempi pahuus ja mistä sitä tarkasti voi tietää NSA tai vastaavien organisaatioiden haluja. Jotenkin mielestäni tämä enemmän kuvastaa ehkä RSA securityn/EMC + NIST + etc kombinaation toimimattomuutta. Myös edelleen yhtenä suurena huolenaiheena esittäisen sen, että suljetuissa softissa noiden kryptauksien ja vastaavien varmistaminen on hyvin hankalaa tai melkein liian paljon jää vastuuta 3. osapuolille.

En tosin ole täysin vakuuttunut, että erilaisissa yhteisöissä voitaisiin täysin varmistaa omatoimisesti parhaimpien käytöntöjen käytöstä. Sen takia ehkä varsinkin tietoturvan kannalta olennaisinta on käyttää jotain käytettyjä ja hyvässä maineessa olevia kirjastoja ja kenties avoimia sellasia. Tietoturva kokonaisuudessa on tosin niin laaja alue, että se ei korjaannu pelkästään sillä, että otetaan käyttöön juuri se oikea satunnaislukugeneraattori. Pahimmillaan se toki voi kaatua juuri siihen.

Toki tuossa RSA Securityn BSafe-kirjastossa on tainnut jo pitkään olla mahdollista olla valita muitakin algoritmeja generoida satunnaislukuja kuin juuri kyseinen hyvin pahamaineinen algoritmi. Ehkä se hämmentävin asia onkin siinä, että miksi se oli BSafessa vakiona käytössä ja miten noin vaivainen summa sai RSA securityn valitsemaan juuri kyseisen algoritmin, joka on alalla hyvin suurta saastetta. Ymmärtääkseni kyseisessä yrityksessä kuitenkin ihan osaavia ihmisiä on ollut töissä, että kenties täydestä osaamattomuudesta ei ole kuitenkaan ollut kyse ja taustalla voi olla todella jotain ikävämpää.

Lähtökohtaisesti en kuitenkaan mitään mahdottomia odottaisi valtiollisilta elimiltä. Onhan heillä toki tietynlaista valtaa lainsäädännön ja vastaavien avulla, jotka mahdollistavat heidät toimimaan sellaisilla rajoilla, joka ei yrityksiltä olisi hyväksyttävää tai laillista. Kuitenkin jonkinlainen paras osaaminen ja tieto uskoisin tänä päivänä helposti katoavan isoihin yrityksiin, joilla on varaa maksaa ihmisten älystä. Vielä vuosikymmeniä sitten ehkä maailma oli tämän osalta hieman erilaine.

Käyttäjän hautakangas kuva
Ville Hautakangas

Suosittelen lukemaan myös Slashdotin keskustelua aiheesta. Tuonne on viimeisen 12 tunnin aikana kertynyt 300 viestin ketju, joista suuri osa on jopa ihan asiaa:

http://yro.slashdot.org/story/13/12/21/0041228/reu...

Toimituksen poiminnat