home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / sci / crypt / 6546 < prev    next >
Encoding:
Internet Message Format  |  1993-01-08  |  9.9 KB
  1. Xref: sparky sci.crypt:6546 alt.security.pgp:469
  2. Newsgroups: sci.crypt,alt.security.pgp
  3. Path: sparky!uunet!haven.umd.edu!darwin.sura.net!zaphod.mps.ohio-state.edu!uwm.edu!linac!att!news.cs.indiana.edu!umn.edu!csus.edu!netcom.com!strnlght
  4. From: strnlght@netcom.com (David Sternlight)
  5. Subject: Re: Zimmermann's responses to Sidelnikov's PGP critique
  6. Message-ID: <1993Jan8.193153.4336@netcom.com>
  7. Organization: Netcom - Online Communication Services (408 241-9760 guest)
  8. References: <1993Jan8.173701.8858@ncar.ucar.edu>
  9. Date: Fri, 8 Jan 1993 19:31:53 GMT
  10. Lines: 225
  11.  
  12. My purpose in posting this is not to enter into the dispute between
  13. Zimmermann and Sidelnikov, but to comment on some interesting questions that
  14. the Sidelnikov post may raise. Some preface may be in order:
  15.  
  16. In my many individual visits to the Soviet Union at the personal
  17. invitation of the Soviet Academy of Sciences, and in my discussions
  18. with Soviet scientific leaders, it became clear to me that in the
  19. Soviet structure, the academic and Academy scientific structure was
  20. intimately bound up with the military and intelligence structure.
  21. Through the mechanism of the State Committee on Science and Technology
  22. the Soviets ran their Nuclear, Missile, and many other programs.
  23. Leaders in the State Committee were also leaders in the Soviet Academy
  24. of Sciences and in the academic community.
  25.  
  26. This raises the question of whether Sidelnikov had some senior role,
  27. directly or indirectly, in the Soviet's equivalent of the NSA. If he
  28. did, then his comments may be both authoritative with respect to
  29. access to what once was highly classified technology in the USSR,
  30. and (by the argument of parallelism) revelatory of the state of
  31. technology at the NSA.
  32.  
  33. In article <1993Jan8.173701.8858@ncar.ucar.edu> prz@sage.cgd.ucar.edu (Philip Zimmermann) writes:
  34. >
  35. >This note is in response to criticisms of PGP by Dr. Sidelnikov of
  36. >the Moscow State University in Russia, posted on sci.crypt and
  37. >alt.security.pgp.
  38. >
  39. >My responses are interspersed with the remarks of Dr. Sidelnikov.
  40. >
  41. >
  42. >>  About using the electronic signature for protection of
  43. >>  commercial information:
  44. >
  45. >>  The analysis of PGP ver.2.0 program.
  46. >
  47. >
  48. >>        THE MATHEMATICAL CRYPTOGRAPHY PROBLEMS LABORATORY
  49. >>
  50. >>    The MSU   mathematical   cryptography   problems   laboratory
  51. >>employeers with  some  addition  specialists  were  executed  the
  52. >>preliminary analysis of PGP ver.2.0 program.
  53.  
  54. Is this lab a former part of the Soviet NSA? If so, one may assume
  55. a very high level of expertise, which gives major weight to what
  56. Sidelnikov says. We know that many intelligence specialists in
  57. Russia are now under- or unemployed and looking for work in
  58. the Western community. Thus it would not be surprising for Sidelnikov
  59. to "go public" as it were.
  60.  
  61. >>
  62. >>    The preliminary study of  working  and  program  source  code
  63. >>analysis result in following PGP features and problems:
  64. >>
  65. >>    1. The common character problems
  66. >>
  67. >>    - the  sequence  of  random numbers has strong prevalences on
  68. >>bytes (up to 0.05 ...  0.1 on material of 10000 byte) and  strong
  69. >>correlation dependence between contiguous bytes;
  70. >
  71. >Biham and
  72. >Shamir have thus far not succeeded in finding weaknesses in the IDEA
  73. >cipher.  Perhaps Dr. Sidelnikov has found one.>evidence of this claim.  
  74. >
  75. >>    - the program doesn't check it's own integrity,  so it can be 
  76. >>infected by "virus"  which  intercept  confidential   keys   and 
  77. >>passwords used for  their protection and save them onto magnetic 
  78. >>carriers;
  79. >
  80. >The PGP manual warns of this problem.  A well-designed virus could
  81. >defeat any self-checking logic by attacking the self-checking logic.
  82. >It would create a false sense of security if PGP claimed to check
  83. >itself for viruses when you run it.
  84.  
  85. Maybe Sidelnikov is trying to tell us something here that goes beyond
  86. the theoretical.
  87.  
  88. >
  89. >>    - the program has not  optimal  exponentiation  algorithm  in
  90. >>GF(P) field,   when  P  -  prime  number,  which  result  in  low
  91. >>performance;
  92. >
  93. >PGP is freeware.  Maybe the exponentiation is not as optimal as it
  94. >could be if the PGP development effort were funded.  In any case,
  95. >improvements in the math algorithms have made PGP 2.0 faster than
  96. >version 1.0, and version 2.1 is faster still.  Of course, suggestions
  97. >for improving the performance of the algorithms are always welcome.
  98.  
  99. Is Sidelnikov saying more than that the exponentiation isn't as fast
  100. as possible? Is he, perhaps, saying something about cryptographic
  101. weakness?
  102.  
  103. >
  104. >>    2. The RSA algorithm realization problems
  105. >>
  106. >>    - the prime numbers reception using in this program (R and  q
  107. >>in RSA  algorithm)  permits  not less than on two order to reduce
  108. >>the labour-intensiveness of factorization;  with 256 bit blocks
  109. >>of  data lenght it is possible to execute the cryptanalysis in
  110. >>real time;
  111. >
  112. >I don't know what this means.  PGP does not normally work with RSA
  113. >keys as small as 256 bits.  No claims are made that this is a safe
  114. >key length.  Larger RSA keys are specifically recommended in the
  115. >manual.  And what does "real time" mean in this case?
  116.  
  117. If Sidelnikov says real time, he means real time. I take this to mean
  118. that the Russians, and the NSA can do the factorization and read RSA
  119. traffic with 256 bit keys in real time. If NSA's technology is better
  120. than the Russians, maybe they can read even longer key traffic so
  121. quickly as to make no difference. It would be interesting to see a
  122. calculation (Phil?) which, assuming 256 bit keys can be read in real
  123. time (call it a difficulty factor of 1.0), presents the difficulty
  124. factors for 512 and 1024 bit keys.
  125.  
  126. >
  127. >>    - when considering the hashing function as the automatic  device
  128. >>without output,  it  is  enough  simply possible to construct the
  129. >>image of reverse automatic device and with using  the  blanks  in
  130. >>text files  (or  free fields in some standard formats as in DBF),
  131. >>to  compensate  the  hashing function  at  changed  file  to  former
  132. >>significance.
  133. >
  134. >>    Thus, it  is  possible  to  forge  the  electronic  signature
  135. >>without analysis of RSA algorithm.
  136. >
  137. >How?  This claim sounds alarming, if true.  But it requires that one
  138. >of the following be true:
  139. >
  140. > a)  The RSA algorithm itself has a weakness.
  141. > b)  The MD5 hash algorithm has a weakness.
  142. > c)  PGP has a programming bug in implementing either RSA or MD5.
  143. >
  144. >I doubt that RSA or MD5 have weaknesses that have surfaced here.
  145. >If PGP has a bug in implementing RSA or MD5, I'd like to see a better
  146. >description of the problem, to help find the bug.  Is it possible
  147. >to get a more coherent English translation of these remarks?  What is
  148. >the evidence of these assertions, so that the results may be reproduced?
  149. >
  150. >
  151. >>    4. The block encryption algorithm problems
  152. >>
  153. >>    - when executing analysis on  plaintext  and  ciphertext  the
  154. >>linear correlation  dependences  with encryption key were founded
  155. >>(0.01 and more degree);
  156. >>
  157. >>    - also the effective method  of  decreasing security which
  158. >>reduces the  order  of  time  necessery  to key definition in two
  159. >>times in comparison with exhaustive search of all keys  (i.e.
  160. >>algorithm has the labour-intensiveness which is equal the root
  161. >>square from labour-intensiveness of the exhaustive search algorithm)
  162. >>have been found.
  163. >
  164. >Again, a better English translation is required to decipher this
  165. >claim.  Also, where is the evidence?  This sounds like he's saying
  166. >the IDEA cipher is weak.  Or maybe PGP has a bug in implementing it. 
  167. >If so, it should be fixed.  But more information is needed to help
  168. >reproduce the problem, if indeed there is a problem.
  169. >
  170. >>
  171. >>    The conclusions:
  172. >>
  173. >>    It is recommended to use encryption with 1024 bit key length.
  174. >>
  175. >>    The using of electronic  signature  is  not  recommended  and
  176. >>    requires the additional study.
  177. >>
  178. >>    The block encryption algorithm has temporary stability.
  179. >
  180. >What does "temporary stability" mean?
  181. >
  182. >>
  183. >>    The hashing function  should  be  reduce  in conformity with ISO
  184. >>    recommendations.
  185. >>
  186. >>    The using of PGP program in actual version is undesired.
  187. >>
  188. >>
  189. >>                       The MSU mathematical cryptography
  190. >>                       problems Laboratory Manager
  191. >>                       Academician
  192. >>
  193. >>                          Dr. Sidelnikov V.M.
  194. >
  195. >
  196. >In conclusion, I'd like to point out that normally, when an academic
  197. >paper is published that claims a cryptosystem is weak, it generally
  198. >includes some real data to back up its claims.  Such data is
  199. >conspicuously absent here.
  200. >
  201.  
  202. This attitude is a hiding behind "academic" practice in an area where
  203. Sidelnikov has raised the most serious doubts about a number of
  204. aspects of PGP as presently implemented. For him to be both an
  205. Academician (the highest rank in Soviet Science, given to very few,
  206. and after massive and extended demonstrations of competence) and a
  207. Laboratory Manager means we ought to take his words with at least as
  208. much seriousness (but without the associated "special pleading" doubts
  209. some might have) as similar words from the head of the cryptanalysis
  210. division (or whatever it is called) of the NSA.
  211.  
  212. Let me be perfectly clear here. Sidelnikov's standing in the
  213. cryptology field in the Soviet scientific community is of the most
  214. senior level, and that's not a statement about science politics. It's
  215. also likely he was (is?) either one of the most senior scientists in the
  216. former KGB cryptanalysis activity, or one of their most senior
  217. advisors.
  218.  
  219. It's inappropriate to take his remarks as if they were those of some
  220. competitive programmer picking nits about PGP's program code.  It's
  221. especially inappropriate to take a confrontational attitude. I suggest
  222. Phil rethink this. I also suggest that Sidelnikov's advice about the
  223. use of PGP be heeded. Were I going to use it, I'd use no less than a
  224. 1024 bit key, and even then worry about some of the other weaknesses.
  225.  
  226. Finally, I'd suggest extreme politeness in responding to Sidelnikov,
  227. and no little respect. Think of him as the Russian equivalent of
  228. Einstein in his field if it will help. In Soviet Science, Academicians
  229. are analogous to "the immortals".
  230.  
  231. David
  232.  
  233. -- 
  234. David Sternlight
  235. RIPEM Public Key on server  --  Consider it an envelope for your e-mail
  236.  
  237.