home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / sci / crypt / 6542 < prev    next >
Encoding:
Internet Message Format  |  1993-01-08  |  7.8 KB
  1. Xref: sparky sci.crypt:6542 alt.security.pgp:467
  2. Newsgroups: sci.crypt,alt.security.pgp
  3. Path: sparky!uunet!zaphod.mps.ohio-state.edu!howland.reston.ans.net!usc!sol.ctr.columbia.edu!destroyer!ncar!sage.cgd.ucar.edu!prz
  4. From: prz@sage.cgd.ucar.edu (Philip Zimmermann)
  5. Subject: Zimmermann's responses to Sidelnikov's PGP critique
  6. Message-ID: <1993Jan8.173701.8858@ncar.ucar.edu>
  7. Sender: news@ncar.ucar.edu (USENET Maintenance)
  8. Organization: Climate and Global Dynamics Division/NCAR, Boulder, CO
  9. Date: Fri, 8 Jan 1993 17:37:01 GMT
  10. Lines: 183
  11.  
  12.  
  13. This note is in response to criticisms of PGP by Dr. Sidelnikov of
  14. the Moscow State University in Russia, posted on sci.crypt and
  15. alt.security.pgp.
  16.  
  17. My responses are interspersed with the remarks of Dr. Sidelnikov.
  18.  
  19.  
  20. >  About using the electronic signature for protection of
  21. >  commercial information:
  22.  
  23. >  The analysis of PGP ver.2.0 program.
  24.  
  25.  
  26. >        THE MATHEMATICAL CRYPTOGRAPHY PROBLEMS LABORATORY
  27. >
  28. >    The MSU   mathematical   cryptography   problems   laboratory
  29. >employeers with  some  addition  specialists  were  executed  the
  30. >preliminary analysis of PGP ver.2.0 program.
  31. >
  32. >    The preliminary study of  working  and  program  source  code
  33. >analysis result in following PGP features and problems:
  34. >
  35. >    1. The common character problems
  36. >
  37. >    - the  sequence  of  random numbers has strong prevalences on
  38. >bytes (up to 0.05 ...  0.1 on material of 10000 byte) and  strong
  39. >correlation dependence between contiguous bytes;
  40.  
  41. Really?  How so?  What does "strong prevalences" mean?  Is he talking
  42. about the internal random number source in random.c, used for making
  43. RSA keys?  Or is he talking about the output of the IDEA cipher?  In
  44. either case, evidence should be presented that allows others to
  45. reproduce his results.  The random.c code for getting randomness from
  46. keyboard latency has been tested pretty well, and it uses MD5 to
  47. enhance the raw randomness from the keyboard timings.  It looks
  48. pretty good to me.  Does the IDEA cipher running in CFB mode output
  49. text that appears nonrandom?  This is disturbing, if true.  Biham and
  50. Shamir have thus far not succeeded in finding weaknesses in the IDEA
  51. cipher.  Perhaps Dr. Sidelnikov has found one.  I'd like to see some
  52. evidence of this claim.  
  53.  
  54. >    - the program doesn't check it's own integrity,  so it can be 
  55. >infected by "virus"  which  intercept  confidential   keys   and 
  56. >passwords used for  their protection and save them onto magnetic 
  57. >carriers;
  58.  
  59. The PGP manual warns of this problem.  A well-designed virus could
  60. defeat any self-checking logic by attacking the self-checking logic.
  61. It would create a false sense of security if PGP claimed to check
  62. itself for viruses when you run it.
  63.  
  64. >    - the program has not  optimal  exponentiation  algorithm  in
  65. >GF(P) field,   when  P  -  prime  number,  which  result  in  low
  66. >performance;
  67.  
  68. PGP is freeware.  Maybe the exponentiation is not as optimal as it
  69. could be if the PGP development effort were funded.  In any case,
  70. improvements in the math algorithms have made PGP 2.0 faster than
  71. version 1.0, and version 2.1 is faster still.  Of course, suggestions
  72. for improving the performance of the algorithms are always welcome.
  73.  
  74.  
  75. >    2. The RSA algorithm realization problems
  76. >
  77. >    - the prime numbers reception using in this program (R and  q
  78. >in RSA  algorithm)  permits  not less than on two order to reduce
  79. >the labour-intensiveness of factorization;  with 256 bit blocks
  80. >of  data lenght it is possible to execute the cryptanalysis in
  81. >real time;
  82.  
  83. I don't know what this means.  PGP does not normally work with RSA
  84. keys as small as 256 bits.  No claims are made that this is a safe
  85. key length.  Larger RSA keys are specifically recommended in the
  86. manual.  And what does "real time" mean in this case?
  87.  
  88. >    - before using RSA the program executes compression and block
  89. >encryption that  positively  affects  on  the  common   stability
  90. >encryption.
  91.  
  92. What does this mean, in English?  It sounds like a positive remark,
  93. not a criticism.  Is a better English translation available?  
  94.  
  95.  
  96. >    3. The electronic signature problems
  97. >
  98. >    - for  signature  calculation the program originally executes
  99. >hashing of file into number of given  length  (256, 512 or 1024 bit),
  100. >but hashing function does not corresponds the ISO recommendations;
  101.  
  102. The MD5 hash used in PGP is widely respected in the crypto community.
  103. Not conforming to some particular ISO specification does not imply the 
  104. hash function is weak.  The MD5 hash is used in certain other crypto 
  105. standards-- so why should the ISO standard be somehow better than other
  106. crypto standards?
  107.  
  108. >    - when considering the hashing function as the automatic  device
  109. >without output,  it  is  enough  simply possible to construct the
  110. >image of reverse automatic device and with using  the  blanks  in
  111. >text files  (or  free fields in some standard formats as in DBF),
  112. >to  compensate  the  hashing function  at  changed  file  to  former
  113. >significance.
  114.  
  115. >    Thus, it  is  possible  to  forge  the  electronic  signature
  116. >without analysis of RSA algorithm.
  117.  
  118. How?  This claim sounds alarming, if true.  But it requires that one
  119. of the following be true:
  120.  
  121.  a)  The RSA algorithm itself has a weakness.
  122.  b)  The MD5 hash algorithm has a weakness.
  123.  c)  PGP has a programming bug in implementing either RSA or MD5.
  124.  
  125. I doubt that RSA or MD5 have weaknesses that have surfaced here.
  126. If PGP has a bug in implementing RSA or MD5, I'd like to see a better
  127. description of the problem, to help find the bug.  Is it possible
  128. to get a more coherent English translation of these remarks?  What is
  129. the evidence of these assertions, so that the results may be reproduced?
  130.  
  131.  
  132. >    4. The block encryption algorithm problems
  133. >
  134. >    - when executing analysis on  plaintext  and  ciphertext  the
  135. >linear correlation  dependences  with encryption key were founded
  136. >(0.01 and more degree);
  137. >
  138. >    - also the effective method  of  decreasing security which
  139. >reduces the  order  of  time  necessery  to key definition in two
  140. >times in comparison with exhaustive search of all keys  (i.e.
  141. >algorithm has the labour-intensiveness which is equal the root
  142. >square from labour-intensiveness of the exhaustive search algorithm)
  143. >have been found.
  144.  
  145. Again, a better English translation is required to decipher this
  146. claim.  Also, where is the evidence?  This sounds like he's saying
  147. the IDEA cipher is weak.  Or maybe PGP has a bug in implementing it. 
  148. If so, it should be fixed.  But more information is needed to help
  149. reproduce the problem, if indeed there is a problem.
  150.  
  151. >
  152. >    The conclusions:
  153. >
  154. >    It is recommended to use encryption with 1024 bit key length.
  155. >
  156. >    The using of electronic  signature  is  not  recommended  and
  157. >    requires the additional study.
  158. >
  159. >    The block encryption algorithm has temporary stability.
  160.  
  161. What does "temporary stability" mean?
  162.  
  163. >
  164. >    The hashing function  should  be  reduce  in conformity with ISO
  165. >    recommendations.
  166. >
  167. >    The using of PGP program in actual version is undesired.
  168. >
  169. >
  170. >                       The MSU mathematical cryptography
  171. >                       problems Laboratory Manager
  172. >                       Academician
  173. >
  174. >                          Dr. Sidelnikov V.M.
  175.  
  176.  
  177. In conclusion, I'd like to point out that normally, when an academic
  178. paper is published that claims a cryptosystem is weak, it generally
  179. includes some real data to back up its claims.  Such data is
  180. conspicuously absent here.
  181.  
  182. There have been some programming bugs in PGP.  Some of these bugs are
  183. found by the user community.  When they have been found, they have
  184. been fixed.  PGP 2.1 has numerous bug fixes over version 2.0.  There
  185. are also some known bugs in 2.1, as were recently discovered by Juha
  186. Sarlin.  But I am not aware of any extant bugs or bugs that were in
  187. 2.0 that could cause the symptoms described above, at least for the
  188. passages I can understand.  I would certainly welcome some
  189. clarification of these claims to help discover if there are any real
  190. weaknesses in PGP.
  191.  
  192.  
  193. Philip Zimmermann
  194.  
  195.