[Chaos CD][Datenschleuder] [59]- Krypto-News

Krypto-News

Krypto-News

Alte Welt bangt und zappelt

Gesetze gegen Codeknacker geplant

(emp) 06.06.97 - Eine europaweite Gesetzgebung gegen sogenannte "Fernsehpiraterie" rückt näher. Weil nicht zuletzt durch den Einfluss der kryptofeindlichen Franzosen bei der Eurocrypt-Norm ein "schwaches" Verschlüsselungsverfahren (DES mit nur 56 Bit) gewählt wurde, sind Codeknacker bei der Entschlüsselung von Pay-TV-Fernsehprogrammen oft erfolgreich.

Statt starke Verschlüsselungsverfahren zuzulassen, soll jetzt sogar der Besitz von Computern kriminalisiert werden, wenn sie geeignet zum Codeknacken sind. Der Bericht fordert Strafgesetze gegen Personen und Unternehmen, die ohne Autorisierung Geräte und Entschlüsselungssoftware herstellen, verbreiten oder verkaufen. 422 Abgeordnete des Europaparlamentes stimmten am 13. Mai 1997 in Strassburg dem "Anastassopoulos-Bericht" zu, bei sechs Gegenstimmen und sechs Enthaltungen. Das Parlament beauftragte die Europäische Kommission, möglichst noch vor der Sommerpause eine Direktive an die Mitgliedsländer zur Eindämmung illegaler Entschlüsselungstechnik auszugeben.

Darüber hinaus sollen sich auch Privatpersonen strafbar machen, die illegale Entschlüsselungstechnik benutzen oder besitzen. Durch ein derartiges Gesetz entstünde eine gefährliche technische Grauzone in der Strafbarkeit, weil damit letztlich alle leistungsfähigen frei programmierbaren Computer illegal werden.

Der Kosten/Nutzen-Aufwand zum Knacken von Eurocrypt betraegt für einen Geheim-dienst mit Budget 300 Millionen US-Dollar ca. zwölf Sekunden, bei einem Grossunternehmen mit 10 Mio$ Budget etwa sechs Minuten (es heisst, der BND habe zwei solcher Maschinen) und bei einer Investition von nur 400 Dollar 38 Jahre.

<Zahlen schon nicht mehr aktuell, d. Setzer>

Wau Holland fuer eMailPress, die agentur gegen den strich...emp@NADESHDA.gun.de

Deutscher Bundestag

Drucksache 13/7753

13. Wahlperiode 22.05.97

Antwort der Bundesregierung auf die Kleine Anfrage des Abgeordneten Dr. Manuel Kiper und der Fraktion BÜNDNIS 90/DIE GRÜNEN - Drs. 13/ 7594

Lage der IT-Sicherheit in Deutschland

47. Welcher Aufwand ist nach Kenntnis der Bundesregierung nötig, um mit asymmetrischen Verfahren verschlüsselte Daten mit Schlüssellängen von 40, 56 und 128 Bit zu entschlüsseln und wie gross ist nach Auffassung der Bundesregierung die für eine Verschlüsselung sensitiver Daten hinreichende Schlüssellänge für eine - auch über die nächsten fünf Jahre - sichere Übermittlung?

Unter der Voraussetzung, dass für ein symmetrisches Verfahren keine andere Analysemethode bekannt ist als die vollständige Absuche des Schlüsselraumes, lassen sich die nachstehenden Aussagen treffen:

40-Bit-Verfahren können - allerdings mit hohem zeitlichen und apparativen Aufwand mittels Hochleistungsrechnern oder auf dem Wege des "verteilten Rechnens" entziffert werden. Die genaue Höhe des Aufwandes ist verfahrensabhängig.

56-Bit-Verfahren erfordern zu ihrer Entzifferung den Einsatz vonSpezialrechnern, die eigens zu diesem Zweck konstruiert werden müssen. Bei deren entsprechender Dimensionierung lässt sich der zeitliche Aufwand auf die Groessenordnung von Stunden begrenzen.

Die vollständige Absuche eines 128-Bit-Schlüsselraums entzieht sich jeder heute und in absehbarer Zeit verfügbaren Rechentechnik.

Ab einer Schlüssellänge von etwa 80 Bit kann - bei ansonsten entzifferungsresistentem Design - die Möglichkeit einer Analyse durch Absuche des Schlüsselraums für die überschaubare Zukunft, insbesondere der nächsten fünf Jahre, ausgeschlossen werden.

Verteilte brute force attacke auf DES

DES noch nicht tot, stinkt aber schon

Am 19. 6.1997 war es soweit: erstmals in der Geschichte hat eine nicht-geheime Organisation einen DES-Schlüssel durch brute force geknackt. Von der Firma RSA wurden $10.000 Preisgeld und ein Plaintext/Ciphertext-Paar bereitgestellt, insgesamt wurden von mehreren tausend Teilnehmern in zwei ueber das Internet koordinierten Gruppen (eine fuer die USA, eine fuer den Rest) ungefaehr 50% des Schluesselraums durchsucht, und es wurden nach vorsichtigen Schaetzungen 447.000 MIPS-Jahre verbraten. Damit geht dieser Hack als groesste verteile Berechung in die Geschichte ein.

andreas@ccc.de

USA-Regulierungen

Kontrolleinschränkungssimulation

The US government will announce later today that will soon lift controls on technology crucial to doing business over the Internet, White House advisor Ira Magaziner said yesterday evening.

Under plans expected to be outlined at a noontime press briefing today, the federal government will require that producers of specialized, narrowly focused data scrambling products submit only to one-time government approval before they sell powerful encryption products abroad. Current policy requires case-by-case approval in most instances.

"Basically it will say that for basic financial and electronic applications there will be no export restrictions and no requirement for key recovery," Magaziner said.

US Undersecretary of Commerce William Reinsch is expected to give details of the plan. Reinsch could not be reached for comment.

Computer industry executives and public interest groups said the new arrangement, though far short of deregulating all encryption, was a step in the right direction.

"This is evidence that the administration acknowledges that manufacturers of foreign encryption products do exist," said Peter Harter, public policy counsel at Netscape Communications Corp. "Their policy has put American industry in the back seat and now were trying to catch up." David Banisar, policy analyst at the Washington-based Electronic Privacy Information Center, called the move a "small step forward." Nonetheless, "it still doesnít reach the needs for secure e-mail or other purposes," he said.

Computer software and hardware eligible for decontrol under the proposed regulations must fit several criteria, said Kawika Daguio, a public affairs specialist with the American Bankers Association who helped hammer out an agreement for the new regulations.

.Though products designed for use by the general public may be unlimited in the strength of the encryption techniques they employ, they must also be strictly limited in use, he said. Software written for home banking, for instance, must be usable only for bank transactions and not easily modified for general use. Most programs handed out by banks for PC banking at home fit that criteria, he said.

Programs that use the industry SET standard for credit card purchases over the Internet should easily meet Commerce Department criteria, too, since the SET standard encrypts only those data essential to making online purchases; the limited uses of the standard render it all but useless for general use. Visa, MasterCard and American Express developed the standard. "I´d expect programs written the SET to get very rapid approval - within weeks," Daguio said.

In addition, US companies will have leeway to export any kind of encryption to any bank as long as that encryption is used only for legitimate, internal bank functions. Products designed for merchant-to-merchant transactions without a bank in between would still be subject to stricter controls, including use of weak software routines that make decoding by law enforcement easy, or deposit of decoding keys with law enforcement bodies prior to export. Commerce Department regulations will spell out details this month or next, Daguio said.

Though more sweeping in nature than past government regulations, the US banking industry has long enjoyed more freedom to use powerful encryption technologies abroad than other industries. Successive administrations have granted banks that leeway since by definition they must have greater safeguards over employee behavior than all but a handful of industries. In addition, financial applications have long been easier to design for export since they typically require encryption of only a few standard data fields. If sufficiently limited in design, the reasoning goes, they pose no threat to law enforcement concerned about smugglers or terrorists who may want to evade detection by law enforcement. The government and the computer industry have for years been locked in disputes over the relative importance of encryption technologies and their potential for misuse. [...]

Absent US encryption exports, they claim, American companies will soon lose their leadership role in a technology crucial to the countryís competitiveness.

Federal officials, on the other hand, have said export of the technology threatens global security, since terrorists and criminals in outlaw states like Libya and North Korea could easily use the technology to defeat wiretaps and data searches increasingly prized by law enforcement and national security agencies. In response, they demand that exports of powerful encryption include so-called key recovery - a method by which law enforcement can gain access to the encryption keys used to encode messages. Many public interest groups have condemned the plans, however, saying such a transfer of power to law enforcement threatens to usher in an era of ubiquitous and illegal eavesdropping. Several bills pending in Congress would do away with nearly all controls. Reinsch was expected to testify at congressional hearings on one of the bills this morning.

By Will Rodger /Washington Bureau Cheif

Inter@ctive Week

These "new" regulations "to be issued" are scrambling to catch up with previous and current practices...

It doesn't change things at all.

When they issued the new export regulations in January, the glaring hole was the absence of an explicit exception for the financial industry. Under the customs that evolved around ITAR, you could get an export license for strong crypto as long as the overseas customer was a financial institution. This announcement is simply a public acknowledgment that the BXA will look favorably on export requests to banks and that someday they'll try to draft specific regulations on the subject. Meanwhile you do it by grinding through the bureacracy. Export permission for strong crypto that only encrypts financial data is clearly a variant of this tradition. They already granted export permission for one vendor of such a system, so I'm not surprised they're planning to make up a regulation to cover it.

Rick. smith@securecomputing.com

PGP darf exportiert werden

Pretty Good Privacy, hat vom US-Handelsministerium die Erlaubnis bekommen, daß das Produkt nun auch mit der 128-Bit-Verschluesselungstechnologie offiziell exportiert werden darf.

30.05.97 Horizont Newsline

In letzter Minute: Amis drehen doch noch durch

ALERT: Senate to vote on mandatory key escrow as early as Thu June 19!

On Tuesday June 17, Senators John McCain (R-AZ) and Bob Kerrey (D-NE) introduced legislation whichwould all but mandate that Americans provide guaranteed government access to their private online communications and stored files. The bill, known as "The Secure Public Networks Act of 1997" (S.909) represents a full scale assault on your right to protect the privacy and confidentiality of your online communications. Though offered on Capitol Hill as a compromise, the McCain-Kerrey bill is virtually identical to draft legislation proposed earlier this year by the Clinton Administration while doing nothing to protect the privacy and security of Internet users. The bill closely mirrors draft legislation proposed by the Clinton Administration earlier this Spring. Specifically, the bill would:

* Compel Americans to Use Government-Approved Key Recovery Systems * Make Key Recovery a Condition Of Participation in E-Commerce * Allow Government Carte Blanche Access to Sensitive Encryption Keys Without a Court Order * Create New Opportunities for Cybercrimes * Codify a low 56-bit Key Length Limit on Encryption Exports * Create Broad New Criminal Penalties for the Use of Encryption. The full text of the bill, along with a detailed analysis, is available online at

http://www.cdt.org/crypto/

[Datenschleuder] [59] Krypto-News