home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / E-zine / Magazines / crypto-gram / crypto-gram-0004.txt < prev    next >
Encoding:
Text File  |  2002-05-27  |  37.6 KB  |  809 lines
  1.                   CRYPTO-GRAM
  2.  
  3.                 April 15, 2000
  4.  
  5.                by Bruce Schneier
  6.                 Founder and CTO
  7.        Counterpane Internet Security, Inc.
  8.             schneier@counterpane.com
  9.            http://www.counterpane.com
  10.  
  11.  
  12. A free monthly newsletter providing summaries, analyses, insights, and 
  13. commentaries on computer security and cryptography.
  14.  
  15. Back issues are available at http://www.counterpane.com.  To subscribe or 
  16. unsubscribe, see below.
  17.  
  18.  
  19. Copyright (c) 2000 by Counterpane Internet Security, Inc.
  20.  
  21.  
  22. ** *** ***** ******* *********** *************
  23.  
  24. In this issue:
  25.       AES News
  26.       The French Banking Card Hack
  27.       Counterpane -- Featured Research
  28.       News
  29.       Counterpane Internet Security News
  30.       The Doghouse: Cyber Security Information Act
  31.       Microsoft Active Setup "Backdoor"
  32.       The Uniform Computer Information Transactions Act (UCITA)
  33.       Comments from Readers
  34.  
  35.  
  36. ** *** ***** ******* *********** *************
  37.  
  38.          AES News
  39.  
  40. The Advanced Encryption Standard (AES) is the forthcoming encryption 
  41. standard that will replace the aging DES.  In 1996, the National Institute 
  42. of Standards and Technology (NIST) initiated this program.  In 1997, they 
  43. sent out a call for algorithms.  Fifteen candidates were accepted in 1998, 
  44. whittled down to five in 1999.  This past week was the Third AES Candidate 
  45. Conference in New York.  Attendees presented 23 papers (in addition to the 
  46. 7 AES-related papers presented at Fast Software Encryption earlier in the 
  47. week) and 12 informal talks (more papers are on the AES website), as NIST 
  48. prepares to make a final decision later this year.
  49.  
  50. Several of the algorithms took a beating cryptographically.  RC6 was 
  51. wounded most seriously: two groups were able to break 15 out of 20 rounds 
  52. faster than brute force.  Rijndael fared somewhat better: 7 rounds broken 
  53. out of 10/12/14 rounds.  Several attacks were presented against MARS, the 
  54. most interesting breaking 11 of 16 rounds of the cryptographic 
  55. core.  Serpent and Twofish did best: the most severe Serpent attack broke 9 
  56. of 32 rounds, and no new Twofish attacks were presented.  (Lars Knudsen 
  57. presented an attack at the FSE rump session, which he retracted as 
  58. unworkable two days later.  Our team also showed that an attack on 
  59. reduced-round Twofish we presented earlier did not actually work.)
  60.  
  61. It's important to look at these results in context.  None of these attacks 
  62. against reduced-round variants of the algorithms are realistic, in that 
  63. they could be used to recover plaintext in any reasonable amount of 
  64. time.  They are all "academic" attacks, since they all show design 
  65. weaknesses of the ciphers.  If you were using these algorithms to keep 
  66. secrets, none of these attacks would cause you to lose sleep at night.  If 
  67. you're trying to select one of five algorithms as a standard, all of these 
  68. attacks are very interesting.
  69.  
  70. As the NSA saying goes: "Attacks always get better; they never get 
  71. worse."  When choosing between different algorithms, it's smarter to pick 
  72. the one that has the fewest and least severe attacks.  (This assumes, of 
  73. course, that all other considerations are equal.)  The worry isn't that 
  74. someone else discovers another unrealistic attack against one of the 
  75. ciphers, but that someone turns one of those unrealistic attacks into a 
  76. realistic one.  It's smart to give yourself as large a security margin as 
  77. possible.
  78.  
  79. Many papers discussed performance of the various algorithms.  If there's 
  80. anything I learned, it's that you can define "performance" in all sorts of 
  81. ways to prove all sorts of things.  This is what the trends were:
  82.  
  83.       In software, Rijndael and Twofish are fastest.  RC6 and MARS are also 
  84. fast, on the few platforms that have fast multiplies and data-dependent 
  85. rotates.  They're slow on smart cards, ARM chips, and the new Intel chips 
  86. (Itanium and beyond).  They're fast on Pentium Pro, Pentium II, and Pentium 
  87. III.  Serpent is very slow everywere.
  88.  
  89.       In hardware, Rijndael and Serpent are fastest.  Twofish is good.  RC6 
  90. is poor, and MARS is terrible.
  91.  
  92. The only two algorithms that had such implementation problems that I would 
  93. categorically eliminate them were Mars and RC6.  MARS is so bad in hardware 
  94. that it would be a disaster for Internet applications, and RC6 is 
  95. close.  And both algorithms just don't fit on small smart cards.  (The RC6 
  96. team made a comment about being suitable for cheap--$5--smart cards.  I am 
  97. talking about $0.25 smart cards.)
  98.  
  99. I would increase the number of rounds in Rijndael to give it a safety 
  100. margin similar to the others.  Either Serpent, Twofish, and 18-round 
  101. Rijndael would make a good standard, but I think that Twofish gives the 
  102. best security to performance trade-off of the three, and has the most 
  103. implementation flexibility.  So I support Twofish for AES.
  104.  
  105. The deadline for comments is May 15.  I urge you to comment.  As many of 
  106. the papers and comments indicate, this decision is more about suitability 
  107. than security.  NIST needs to know what is important to you: efficiency on 
  108. cheap 8-bit smart cards, key agility in hardware, bulk encryption speed, 
  109. gate count in hardware, etc.  If you like the idea of multiple algorithms, 
  110. tell them.  If you don't, tell them.  Once NIST chooses an AES we're all 
  111. going to be stuck with it; customers will demand that products be "AES 
  112. compatible."  Now's your chance to influence how onerous that demand will be.
  113.  
  114. NIST AES website:
  115. <http://www.nist.gov/aes>
  116.  
  117. For the record, I am one of the creators of Twofish:
  118. <http://www.counterpane.com/twofish.html>
  119.  
  120.  
  121. ** *** ***** ******* *********** *************
  122.  
  123.          The French Banking Card Hack
  124.  
  125.  
  126.  
  127. This is a cool security story, filled with interesting twists and 
  128. turns.  Many of the morals are things that I have been preaching about for 
  129. a long time.  Read about it.
  130.  
  131. The story in the Irish Times is the best:
  132. <http://www.ireland.com:80/newspaper/finance/2000/0315/fin18.htm>
  133.  
  134. There's a Reuters story:
  135. <http://abcnews.go.com:80/sections/tech/DailyNews/smartcard000315.html>
  136.  
  137. And two earlier stories about Humpich:
  138. <http://www.zdnet.com/zdnn/stories/news/0,4586,2428429,00.html>
  139. <http://www.zdnet.com/zdnn/stories/bursts/0,7407,2452848,00.html>
  140.  
  141. More coverage of the story:
  142. <http://interactive.wsj.com/articles/SB953062647293931073.htm> 
  143. (subscription required)
  144. <http://www.currents.net/newstoday/00/03/11/news4.html>
  145. <http://www.wired.com/news/technology/0,1282,34897,00.html>
  146.  
  147.  
  148. ** *** ***** ******* *********** *************
  149.  
  150.         Counterpane -- Featured Research
  151.  
  152.  
  153.  
  154. "MARS Attacks! Preliminary Cryptanalysis of Reduced-Round MARS Variants"
  155.  
  156. J. Kelsey and B. Schneier, Third AES Candidate Conference, 2000, to appear
  157.  
  158. In this paper, we discuss ways to attack various reduced-round variants of 
  159. MARS.  We consider cryptanalysis of two reduced-round variants of MARS: 
  160. MARS with the full mixing layers but fewer core rounds, and MARS with each 
  161. of the four kinds of rounds reduced by the same amount.  We develop some 
  162. new techniques for attacking both of these MARS variants.  Our best attacks 
  163. break MARS with full mixing and five core rounds (21 rounds total), and 
  164. MARS symmetrically reduced to twelve rounds (3 of each kind of round).
  165.  
  166. <http://www.counterpane.com/mars-attacks.html>
  167.  
  168.  
  169. ** *** ***** ******* *********** *************
  170.  
  171.                      News
  172.  
  173.  
  174.  
  175. Some enterprising hackers broke the security in Cyber Patrol.  For their 
  176. good work, they were sued by the software publisher for illegal reverse 
  177. engineering under the Digital Millennium Copyright Act (DMCA):
  178. <http://www.wired.com/news/politics/0,1283,35038,00.html>
  179. Then they agreed to give up their rights to their hack and to never speak 
  180. of it again:
  181. <http://www.computerworld.com/home/print.nsf/all/000331D072>
  182. <http://www.zdnet.com/zdnn/stories/news/0,4586,2487024,00.html>
  183. The judge ruled that anyone who mirrored the hack needs to remove the 
  184. information from their site:
  185. <http://www.wired.com/news/politics/0,1283,35244,00.html>
  186. <http://www.wired.com/news/business/0,1367,35258,00.html>
  187. <http://www.politechbot.com/cyberpatrol/final-injunction.html>
  188. ACLU appeals:
  189. <http://www.wired.com/news/business/0,1367,35464,00.html>
  190. Prof. Lawrence Lessig of Harvard Law School discusses the issues:
  191. <http://www.thestandard.com/article/display/0,1151,13533,00.html>
  192.  
  193. The E.U. is investigating ECHELON.
  194. <http://www.wired.com/news/politics/0,1283,35048,00.html>
  195.  
  196. If you have ever wondered how the special anti-shoplifting tags you see on 
  197. merchandise work, this article is a real eye-opener!
  198. <http://www.howstuffworks.com/anti-shoplifting-device.htm>
  199.  
  200.  >>From the Department of People Who Just Don't Get It: an article that 
  201. claims that Linux is insecure because it is open source.  The funniest line 
  202. is:  "Security needs to be built into the architecture of the operating 
  203. system.  This cannot happen if your source code is publicly available."
  204. <http://www.silicon.com/public/door?REQUNIQ=953519311&6004REQEVENT=&REQINT1= 
  205. 36413&REQSTR1=newsnow>
  206.  
  207. A more balanced article on open-source security vs. closed-source:
  208. <http://www.zdnet.com/pcweek/stories/news/0,4153,2473335,00.html>
  209.  
  210. L0phtcrack as a burglary tool?  Commentary from Jennifer Granick, someone 
  211. who is actually qualified to have an opinion on the matter:
  212. <http://www.securityfocus.com/commentary/7>
  213.  
  214. Free cookie-cutting browser plug-in:
  215. <http://www.cnn.com/2000/TECH/computing/03/21/idcide/index.html>
  216.  
  217. Using Firewall-1 as an intrusion-detection system:
  218. <http://www.enteract.com/~lspitz/intrusion.html>
  219.  
  220. The Computer Security Institute has released their "Issues and Trends: 2000 
  221. CSI/FBI Computer Crime and Security Survey."  It's worth reading; get 
  222. yourself a copy.
  223. <http://www.gocsi.com/prelea_000321.htm>
  224.  
  225. Someone's built a 7-qubit quantum computer.  Any RSA moduli less than three 
  226. bits should watch out.
  227. <http://www.wired.com/news/technology/0,1282,35121,00.html>
  228.  
  229. An HTML virus that plagues WebTV:
  230. <http://www.zdnet.com/enterprise/stories/security/news/0,7922,2470827,00.html>
  231. <http://www.wired.com/news/technology/0,1282,35045,00.html>
  232.  
  233. MI5 laptop stolen (with government secrets):
  234. <http://www.zdnet.co.uk/news/2000/11/ns-14318.html>
  235. And a few days later...MI6 laptop stolen (also with government secrets):
  236. <http://news2.thls.bbc.co.uk/hi/english/uk/newsid_693000/693011.stm>
  237. What is it with the British Intelligence?  I hope, at the very least, that 
  238. they encrypt their hard drives.
  239.  
  240. Stephen King published his latest novella electronically.  The security 
  241. protections were broken within two days, and unprotected copies were 
  242. available on the Internet.  This should not surprise anyone.  (The other 
  243. interesting factoid is that apparently despite the widespread piracy, the 
  244. experiment can was a rousing success.  He could have expected to make about 
  245. $10,000 selling it to Playboy; early reports are that he made about 
  246. $450,000 in e-book sales.)
  247. <http://www.ebooknet.com/story.jsp?id=1671>
  248. <http://www.computerworld.com/home/print.nsf/all/000331D076>
  249. <http://www.zdnet.com/zdnn/stories/news/0,4586,2487101,00.html>
  250.  
  251. Hacking tools for Palm Pilots from the L0pht:
  252. <http://www.l0pht.com/~kingpin/pilot.html>
  253.  
  254. Invisible Ink:
  255. <http://ruddick.com/tim/RAP/rap.html>
  256.  
  257. A nice overview of Sarah Flannery and the Cayley-Purser algorithm's rise 
  258. and fall, including her reactions to its demise and what she's doing now.
  259. <http://www.ireland.com/newspaper/features/2000/0318/fea13.htm>
  260.  
  261. The FBI says that cybercrime has doubled.  My guess is that the reporting 
  262. of it has doubled, as network administrators are more aware of the 
  263. dangers.  It looks like the FBI is jockeying for more money and more power.
  264. <http://www.zdnet.com/zdnn/stories/news/0,4586,2486464,00.html>
  265.  
  266. The effects of complexity on security:  This is a good example of hidden 
  267. interactions between systems.  It seems that the security in Internet 
  268. Explorer 5.0 can interact with Windows 2000 to completely lock up the system.
  269. <http://www.zdnet.com/zdnn/stories/news/0,4586,2462008,00.html?chkpt=zdnntop>
  270.  
  271. The demand for round-the-clock security services:
  272. <http://www.zdnet.com/pcweek/stories/news/0,4153,2471184,00.html>
  273.  
  274. An elliptic-curve public-key challenge is broken.  Certicom is crowing 
  275. about how this shows that elliptic curves are much stronger than 
  276. RSA.  Honestly, I'm not sure how it shows that.
  277. <http://cristal.inria.fr/~harley/ecdl/>
  278.  
  279. Risks of Digital Signatures:
  280. <http://www.zdnet.com/zdnn/stories/news/0,4586,2523596,00.htm>
  281.  
  282. The Sixth Circuit Court of Appeals reverses the Junger decision, affirming 
  283. that source code is speech.  Now we have two circuit courts saying this.
  284. <http://www.wired.com/news/politics/0,1283,35425,00.html>
  285. <http://dailynews.yahoo.com/h/ap/20000404/tc/encryption_lawsuit_1.html>
  286. Actual opinion:
  287. <http://pacer.ca6.uscourts.gov/cgi-bin/getopn.pl?OPINION=00a0117p.06>
  288.  
  289. Enigma machine is stolen:
  290. <http://www.wired.com/news/politics/0,1283,35409,00.html>
  291. <http://www.wired.com/news/politics/0,1283,35433,00.html>
  292. Some news reports claimed it was one of three in the world.  This is wrong; 
  293. it was one of three at Bletchley Park.
  294.  
  295. Canada is thinking about tightening its crypto export controls, to bring it 
  296. more in line with the U.S.
  297. <http://www.ottawacitizen.com/national/000405/3877481.html>
  298.  
  299. Tools and methodologies of script kiddies.  Good article on the importance 
  300. of reading and interpreting audit logs.
  301. <http://rootprompt.org/article.php3?article=159>
  302. <http://rootprompt.org/article.php3?article=167>
  303. <http://rootprompt.org/article.php3?article=186>
  304. <http://rootprompt.org/article.php3?article=210>
  305.  
  306. Good commentary by David Banisar on the FBI's plans to watch us all:
  307. <http://www.securityfocus.com/templates/article.html?id=13>
  308.  
  309. Cartoon:
  310. <http://metalab.unc.edu/Dave/Dr-Fun/df200004/df20000411.jpg>
  311.  
  312. Intel is open-sourcing their CDSA (Common Data Security Architecture) software:
  313. <http://www.zdnet.com/enterprise/stories/main/0,10228,2523586,00.html>
  314.  
  315.  
  316. ** *** ***** ******* *********** *************
  317.  
  318.  
  319.        The Doghouse:  Cyber Security Information Act
  320.  
  321. This bill--HR 4246--shields information about network insecurities, 
  322. transferred from industry to the government, from Freedom of Information 
  323. Act requests.  This kind of thinking flies in the face of the 
  324. full-disclosure movement that has resulted in thousands of security bugs 
  325. being fixed over the past several years, and moves us back to a world of 
  326. manufacturers keeping vulernabilities secret and not bothering to fix 
  327. them.  It also facilitates a government database of security 
  328. vulnerabilities, that they can use to invade citizens' privacy.  It also 
  329. will make it much harder to design open security standards; government 
  330. agencies will be much more likely to say things like: "You should design it 
  331. this way, but we can't tell you why."  Historically, public disclosure has 
  332. proven to be the best way to increase security.  Laws that reverse that 
  333. trend are a bad idea.
  334.  
  335. Essay on the topic:
  336. <http://www.securityfocus.com/news/17>
  337.  
  338. The bill itself:
  339. <http://www.cdt.org/legislation/106th/access/daviva_058.pdf>
  340.  
  341.  
  342. ** *** ***** ******* *********** *************
  343.  
  344.        Microsoft Active Setup "Backdoor"
  345.  
  346.  
  347.  
  348. When you install the Microsoft Internet Explorer browser 4.0 or higher on 
  349. Windows, you automatically get something called "Active Setup," a 
  350. Microsoft-signed ActiveX control.  This control is designed to 
  351. automatically install and update software, including IE.  It does so by 
  352. reading installation instructions and installable parts from a signed CAB 
  353. (archive) file.  A user-configurable setting in MSIE determines if a user 
  354. confirmation dialog occurs for each remotely initiated Active Setup 
  355. install.  In other words, if you choose, you are always warned before 
  356. Active Setup does something.
  357.  
  358. This is somewhat scary, but straightforward.  However, Juan Carlos Garcia 
  359. Cuartango discovered something strange.  If the CAB is signed by Microsoft 
  360. itself, rather than a third-party Microsoft-certified signer, then the 
  361. user-confirmation setting is ignored.  Such CABs elicit no confirmation 
  362. dialog -- the software is ALWAYS installed.  That is, Microsoft-signed 
  363. Active Setup installs can't be declined or confirmed, and they can occur 
  364. silently and secretly.
  365.  
  366. This is very scary, but it gets worse.  Any signer can instruct Active 
  367. Setup to install parts from valid Microsoft-signed CABs, and it will 
  368. happily comply, regardless of where those instructions come from.  Anyone 
  369. can instruct Active Setup to mix parts (data, executable, even DLLs) from 
  370. any CAB previously signed by Microsoft.  Active Setup will comply, acting 
  371. quietly and without confirmation, just as if the instructions came from 
  372. Microsoft.  It only seems to matter that the parts and the 
  373. install-instructions are signed, not that they are from different origins 
  374. or are signed by different signers.  It's as if you made a new message by 
  375. piecing together words and phrases from a series of signed messages, and 
  376. the result appeared to be signed because all its original parts were 
  377. signed.  Given the research on Java applets that demonstrate how 
  378. individually secure applets can interact to yield insecure results, this is 
  379. a problem.
  380.  
  381. Fixes:  It's not enough for the installed parts to be signed.  It's not 
  382. even enough for the instructions driving the install to be signed.  It's 
  383. the combination that counts, so it's the combination that must be 
  384. signed.  But even that isn't enough.  The Active Setup Control should only 
  385. install things that it has signed permission for FROM THE ORIGIN.  For 
  386. example, if some signer wants to install a Microsoft component from another 
  387. CAB, then that signer must have a signed statement from Microsoft that the 
  388. component can be independently installed by that specific signer for that 
  389. specific purpose.  In short, to install any component from another CAB 
  390. requires the explicit permission of that CAB's signer.
  391.  
  392. Juan Carlos Garcia Cuartango's Web page:
  393. <http://www.angelfire.com/ab/juan123/iengine.html>
  394.  
  395. News articles about Cuartango's discovery:
  396. <http://www.wired.com/news/print/0,1294,34474,00.html>
  397. <http://www.zdnet.com/pcweek/stories/news/0,4153,2448411,00.html>
  398. <http://www.computerworld.com/home/print.nsf/all/000224EF5A>
  399.  
  400. A November 1999 fix to Microsoft's Active Setup Control:
  401. <http://www.microsoft.com/technet/security/bulletin/ms99-048.asp>
  402. <http://www.microsoft.com/technet/security/bulletin/fq99-048.asp>
  403.  
  404. A little on Active Setup, some of it outdated:
  405. <http://msdn.microsoft.com/library/periodic/period98/vbpj0798.htm>
  406. <http://msdn.microsoft.com/workshop/components/downcode.asp>
  407. <http://msdn.microsoft.com/library/techart/msdn_signmark.htm>
  408. My favorite quote is from the third URL:  "If security is set to none, 
  409. everything just works."  That's good to know.
  410.  
  411. How to Create a Silent, Minimal Install of Microsoft IE5:
  412. <http://www.helpfulsolutions.com/Silent_IE5_Install.htm>
  413.  
  414.  
  415. This article was written with Gregory Guerin.
  416.  
  417.  
  418. ** *** ***** ******* *********** *************
  419.  
  420.        Counterpane Internet Security News
  421.  
  422.  
  423.  
  424. Bruce Schneier is speaking at TISC (The Internet Security Conference) in 
  425. San Jose, CA on 27 April 2000:
  426. http://tisc.corecom.com/
  427.  
  428. Bruce Schneier is "speaking" at the on-line ForBusiness 2000 conference:
  429. http://www.forbusiness2000.com/
  430.  
  431. Bruce Schneier is speaking at Network World + Interop in Las Vegas on 9 May 
  432. 2000:
  433. http://www.zdevents.com/interop/
  434.  
  435. Counterpane is hiring; see our job listings at:
  436. http://www.counterpane.com/jobs.html
  437.  
  438.  
  439. ** *** ***** ******* *********** *************
  440.  
  441.    The Uniform Computer Information Transactions Act (UCITA)
  442.  
  443.  
  444.  
  445. Virginia Gov. James S. Gilmore III signed the UCITA, and it is now law in 
  446. Virginia.  The Maryland legislature overwhelmingly passed the bill, and it 
  447. is on its way to become law in that state.
  448.  
  449. I put this horrible piece of legislation in the Doghouse last month, but 
  450. it's worth revisiting one portion of the act that particularly affects 
  451. computer security.
  452.  
  453. As part of the UCITA, software manufacturers have the right to remotely 
  454. disable software if the users do not abide by the license agreement.  (If 
  455. they don't pay for the software, for example.)  As a computer-security 
  456. professional, I think this is insane.
  457.  
  458. What it means is that manufacturers can put a back door into their 
  459. products.  By sending some kind of code over the Internet, they can 
  460. remotely turn off their products (or, presumably, certain features of their 
  461. products).  The naive conceit here is that only the manufacturer will ever 
  462. know this disable code, and that hackers will never figure the codes out 
  463. and post them on the Internet.
  464.  
  465. This is, of course, ridiculous.  Such tools will be written and will be 
  466. disseminated.
  467.  
  468. Once these tools are, it will be easy for malicious hackers to disable 
  469. peoples' computers, just for fun.  This kind of hacking will make Back 
  470. Orifice look mild.
  471.  
  472. Cryptography can protect against this kind of attack -- the codes could be 
  473. digitally signed by the manufacturer, and the software wouldn't contain the 
  474. signature key -- but in order for this to work the entire system has to be 
  475. implemented perfectly.  Given the industry's track record at implementing 
  476. cryptography, I don't have high hopes.  Putting a back door in software 
  477. products is just asking for trouble, no matter what kinds of controls you 
  478. try to put into place.
  479.  
  480. The UCITA is a bad law, and this is just the most egregious 
  481. provision.  It's wandering around the legislatures of most states.  I urge 
  482. everyone to urge everyone involved not to pass it.
  483.  
  484. Virginia:
  485. <http://www.washingtonpost.com/wp-dyn/articles/A6866-2000Mar14.html>
  486.  
  487. Maryland:
  488. <http://www.idg.net/idgns/2000/03/29/UCITAPassesMarylandHouse.shtml>
  489.  
  490.  
  491. ** *** ***** ******* *********** *************
  492.  
  493.               Comments from Readers
  494.  
  495.  
  496.  
  497. From: "John J. Adelsberger III" <jja@wallace.lusars.net>
  498. Subject: Security and complexity
  499.  
  500.  > Real systems show no signs of becoming less complex.
  501.  > complex.  In fact, they are becoming more complex
  502.  > faster and faster.  Microsoft Windows is a poster
  503.  > child for this trend to complexity.
  504.  
  505. It is common to pick on Microsoft, but it would be fairer to pick on the 
  506. entire commercial world.  Security, to a company that is trying to make 
  507. money, is a PR issue, and only becomes a technical issue if and when bad PR 
  508. is the alternative.  The reason is obvious; security costs lots of money to 
  509. do right, and to most customers, the appearance is as good as the genuine 
  510. article, not because they really don't care, but because they have no way 
  511. of knowing the difference.  I cannot blame the companies for doing what 
  512. they are meant to do; the fact that so many people refuse to admit the 
  513. facts to themselves is more troubling.
  514.  
  515.  > The other choice is to slow down, to simplify,
  516.  > and to try to add security.
  517.  
  518. OpenBSD does this.  I am unaware of any other group whose workings are 
  519. publicly viewable that does so, which is regrettable, because I would 
  520. prefer not to have this appear as an OpenBSD plug; rather, my purpose is to 
  521. point out that not only is this approach feasible, but it is being done.
  522.  
  523. Note also that the attitude is much more mainstream than the skills or the 
  524. stamina to act on it in practice.  There are security groups associated 
  525. with every product of any significance, but most of them, well intentioned 
  526. and eager as they may be, talk a lot and don't do much.  This is too bad, 
  527. because if more of them did, it wouldn't be too long before consumers began 
  528. to understand the value this can provide, albeit without any real 
  529. understanding of the means by which it is accomplished.
  530.  
  531. By the way, consumer understanding is not one big thing.  Understanding a 
  532. product is different from understanding what it does, how, and how 
  533. well.  Consumers do not have to be experts on security or reliability; what 
  534. is needed is reasonably objective third party information on these 
  535. subjects, such as people like yourself can provide.  Notice that cars known 
  536. for safety, reliability, and fuel economy are the best sellers, despite the 
  537. fact that most customers don't pay too much attention to the actual mileage 
  538. they get and have no real way to evaluate for themselves the safety or 
  539. reliability of such a complex product.  Of course, the dissemination 
  540. infrastructure takes time to develop and more time to rid itself of bozo 
  541. wannabes, but this is the direction in which to head.
  542.  
  543.  
  544. From: "Andrew D. Fernandes" <andrew@cryptonym.com>
  545. Subject: Simple vs Complex
  546.  
  547. My mathematical background is in the area of "dynamical systems", more 
  548. popularly known as "chaos theory".  One of the tenets of research in 
  549. dynamical systems is that "simple systems can have very complex 
  550. dynamics".  How does that tenet affect the conclusions of your essay?
  551.  
  552. Simply put, you are confusing a 'simple' system (a system that is easy to 
  553. describe), with the 'simple' dynamical behaviour of the system.  In other 
  554. words, the system may be easy to describe, but the behaviour may be very 
  555. difficult to describe.  The converse is also true: a system with a very 
  556. complex description may have very simple dynamical behaviour.
  557.  
  558. For instance, the usual example is the iterative map x[n+1] = 
  559. -alpha*x[n]*(x[n]-1), for 0 <= x <= 1, 0 <= alpha <= 4.  This is a "simple" 
  560. system, in that it is easy to describe.  But the dynamics of the system are 
  561. very complex.  Hundreds of research papers have been written to describe 
  562. and understand the sequence of x[0], x[1], x[2], ... and more come every 
  563. day.  In fact, the behaviour of this quadratic map is complicated enough to 
  564. be the cornerstone of modern "chaos theory"!
  565.  
  566. In the context of security, our "system" is a Java applet, an ActiveX 
  567. control, a Word macro, an SSL setup, or an IPSec session.  Then our 
  568. "dynamical behaviour" is a measure of the security of the system.  We can 
  569. simplify the security properties of the system as much as we like, but the 
  570. overall dynamics of the security can be, and probably will be, very complex.
  571.  
  572. So, although I agree that only simple systems can be secure, I disagree 
  573. that you can build systems with simple behaviour by using systems that are 
  574. easy to describe.  You're fooling yourself: the tiniest change to a simple 
  575. system can make its dynamics hideously complicated.  In the quadratic map, 
  576. very small changes to alpha make enormous changes on how the system behaves.
  577.  
  578. In reality, you can build secure complex systems by ensuring that the 
  579. dynamics of the security properties of the system remain simple.  That goal 
  580. is related, but definitely not identical, to the goal of building a system 
  581. with a simple description.  To build complex systems with simple behaviour, 
  582. you need to modularize not just the system, but the system's behaviour... 
  583. but discussing how to do that, in either an abstract mathematical or 
  584. pragmatic programming point of view, is beyond the scope of this note.
  585.  
  586.  
  587. From: Clifford Neuman <bcn@isi.edu>
  588. Subject: Microsoft Kerberos
  589.  
  590. There have been many articles and much commentary faulting Microsoft for 
  591. extending the Kerberos standard in ways that are purportedly incompatible 
  592. with existing implementations.  Such commentary also attributes to 
  593. Microsoft the motives of forcing the use of their Kerberos implementations 
  594. by anyone wanting to inter-operate with Win2K.  Though Microsoft has been 
  595. dragging its feet publishing the details of the contents of the 
  596. authorization data and how they are using it, in my opinion, their 
  597. extensions are consistent with the Kerberos Internet draft, and their use 
  598. of the authorization data field is consistent with its original intent.
  599.  
  600. There is not currently a standard for representing group information in the 
  601. authorization data field of Kerberos tickets, so I can't fault Microsoft 
  602. for developing their own.  As part of the design and release of the 
  603. authorization components of Win2K, they registered identifiers for their 
  604. authorization data elements, and discussed the high level architectural 
  605. issues of their use with myself and others in the Kerberos community.  This 
  606. is highlighted by the fact that their early design called for an 
  607. interpretation of the authorization data field that was inconsistent with 
  608. its defined use and intent.  After discussion (and before they 
  609. implemented), we worked out an extension that 1) preserved the original 
  610. intent, 2) significantly improved the usability of the authorization data 
  611. field for authorization by anybody, not just Microsoft, and 3) is specified 
  612. in the current Internet draft revising the Kerberos specification.
  613.  
  614. Regarding the security of Microsoft's Kerberos implementation, I am not 
  615. aware of any protocol changes that have been made that affect the security 
  616. of Kerberos.  I do have some concerns about the storage of KDC keying 
  617. material in active directory, but that is an implementation and not a 
  618. protocol issue, and Microsoft claims to have taken steps in the design to 
  619. prevent access to the keys by other than the KDC.  I have not looked in 
  620. detail at these steps, however.
  621.  
  622. Regarding some of the naming issues, I think that there were some 
  623. interoperability issues caused by differences in naming, but I also believe 
  624. that Microsoft issued fixes to address this incompatibility.  Similar 
  625. problems arose with interoperability between DCE and raw Kerberos, and it 
  626. doesn't surprise me that reaching full interoperability in light of the 
  627. inherent naming differences in other parts of the system might take several 
  628. revisions to work out.
  629.  
  630. Regarding name canonicalization, the changes Microsoft is making address 
  631. some security relevant limitations that Kerberos has had regarding the 
  632. mapping of server names to principal names (this is something that Kerberos 
  633. was never originally intended to address).  The Microsoft proposals in this 
  634. area have been submitted in the context of the IETF, and I am confident 
  635. that the changes will be reflected in standards track documents.
  636.  
  637. More generally on the interoperability front, Microsoft has worked closely 
  638. with CyberSafe to demonstrate interoperability for user authentication by 
  639. CyberSafe's customers using existing CyberSafe KDCs on non Win2K platforms.
  640.  
  641. I have found the individuals at Microsoft who have been working on Kerberos 
  642. have contributed positively to the standards process in the IETF.  These 
  643. individuals want true interoperability, and have acted in good faith.  The 
  644. use of the authorization data field IS consistent with both the letter and 
  645. intent Kerberos specifications, and I am happy to see some of the 
  646. authorization ideas for which the authorization data field was intended to 
  647. be gaining widespread use.  However, I do fault Microsoft for not yet 
  648. publishing the details of their use of the authorization data field as they 
  649. have repeatedly promised, and I hope that the community and the press will 
  650. continue to pressure them to publish the specification as an informational RFC.
  651.  
  652.  
  653. From: Martin Rex <martin.rex@sap-ag.de>
  654. Subject: Microsoft Kerberos
  655.  
  656. I do not agree with most of the complaints about Microsoft's Kerberos 
  657. implementation in Windows 2000.  I have been looking at and testing with 
  658. Microsoft's W2K Kerberos quite a bit and here are my findings:
  659.  
  660. - I haven't noticed interoperability problems with MIT Kerberos 5 v1.0.5. 
  661. One may not be able to access W2K file shares or services with tickets from 
  662. a non-Microsoft KDC, but that's not a problem of the authentication, but of 
  663. the ACLs which the Microsoft services use to grant access to these 
  664. resources.  Applications that rely on name-based authentication  will work 
  665. on W2K as one would expect, and W2K-based clients can access applications 
  666. on Unix that grant access via name-based authentication.
  667.  
  668. - MS W2K Kerberos IS compliant to rfc1964 (the Kerberos5 gssapi mechanism). 
  669. With a suitable SSPI-wrapper (which I've written and which my company is 
  670. going to give away for free), a portable GSS-API aware application will not 
  671. notice any differences between a Microsoft W2K Kerberos and an MIT Kerberos 
  672. 5. There may be a tiny cosmetic issue regarding "service names".  However 
  673. these are messy and non-standard across all existing Kerberi.
  674.  
  675. - the normal "name-based" authentication will work just fine with W2K 
  676. clients when talking to applications on Unix, provided that one is using 
  677. the GSS-API.  I wrote the W2K Kerberos SSP wrapper for exactly this purpose.
  678.  
  679. - the (admittedly still undocumented) extension with the authorization data 
  680. is necessary to permit the enforcement of POSIX ACLs by the TCB, which is 
  681. how applications on Microsoft Windows NT platforms should do authorization 
  682. according to Microsoft (keyword: Impersonation). Microsoft is not the first 
  683. to implement POSIX ACLs, DCE did that a while ago.  Although they used an 
  684. additional ticket (a PTGT), the effect is the same.  Both, DCE and W2K 
  685. Kerberos still support the traditional name-based authentication. 
  686. Personally, I dislike Impersonation, because that means that a 
  687. low-privileged Server will get a boost in permissions simply when an 
  688. (domain-)admin connects.  Combine that with automatic delegation (which may 
  689. have happened with W2K), then connecting to other machines on the network 
  690. becomes a serious security problem.
  691.  
  692. - the one serious problem with name-based authentication in W2K Kerberos 
  693. is, that the administrative Tools, when a user with a certain logon name 
  694. leaves, do not prevent the administrator to immediately reissue this logon 
  695. name for a new user.  This may cause problems with the ACLs of applications 
  696. that perform name-based authentication. On Microsoft Windows NT platforms, 
  697. ACLs contain UUIDs and/or SIDs, not names.  There seems to be the tradition 
  698. with POSIX ACLs that you orphan ACL entries on a regular basis and don't 
  699. care about it.
  700.  
  701.  
  702. From: Joe_Otway@ampbanking.com.a
  703. Subject: Security by obscurity
  704.  
  705. I know you are a big fan of the security by obscurity approach so I thought 
  706. you would be interested in this reference to Cisco's PIX that I came across 
  707. in http://208.201.97.5/ref/hottopics/security/firewalls.html.
  708.  
  709. The article by Brian Robinson is about Firewalls and goes on to say...
  710.  
  711. "Unlike Windows NT or Unix-based firewalls, the PIX was built from scratch, 
  712. and the source code is closely guarded," said Eric Woznysmith, a consultant 
  713. systems engineer in security network management with Cisco's federal 
  714. operations.  "Only a dozen or so people around the world have seen 
  715. it.  There have been no known break-ins through PIX firewalls."
  716.  
  717. The PIX firewall is used throughout the government, particularly in 
  718. intelligence and law enforcement agencies, Woznysmith said, and is "heavily 
  719. used" within DOD.  Given its success, he said, Cisco expects more vendors 
  720. to offer their own proprietary boxes.
  721.  
  722.  
  723. From: selune@hushmail.com
  724. Subject: Publishing exploits
  725.  
  726. In Crypto-Gram, Brian Bartholomew <bb@wv.com> wrote:
  727.  >I prefer the following approach: announce existence of
  728.  >vulnerability and promise a kiddy script in a month;
  729.  >wait a month for vendor to react; publish kiddy script.
  730.  
  731. I agree with the first part of the mail, a month seems a good delay before 
  732. publishing a kiddy script, it lets enough time for the vendor to react. 
  733. Where I can't agree is here :
  734.  
  735.  >Publishing is *very important* in these cases so the
  736.  >stakeholders know to reduce their trust in these systems.
  737.  >If air traffic control is vulnerable, tell me so I can
  738.  >stop taking airplanes!
  739.  
  740. First, there are the people who don't have the information, for different 
  741. reasons (no computer, hollidays, ...) or who are obliged to use the 
  742. airplanes (inter-continental business travel). So you will avoid airplanes, 
  743. but some won't (and not because of non disclosure) and are still at risk.
  744.  
  745. If air traffic is vulnerable, it's not about stopping all airplanes that 
  746. use this system, because this is impossible. It's about letting time to 
  747. system administrators/vendors to produce a fix. Here, you're playing with 
  748. people life, because of what YOU do. The example you told about doesn't 
  749. have anything in common with this one except for a technological failure. 
  750. But for your example, as you wrote, it's a non-life-safety version.
  751.  
  752. If I buy a car, and there is a critical problem with the braking system, I 
  753. would like to know it, because it's a life-safety problem, whether other 
  754. people know it or not. But with the air traffic system, by publishing this 
  755. vulnerability, you take the risk on other people life.
  756.  
  757. Yes, I'm for publishing vulnerabilities, but only if two conditions are here :
  758.  
  759. - It's not life-critical
  760. - I've first warned the vendor of it, and let time for him to fix it (let's 
  761. say, 2 weeks before alerting more people) and, if the vendor doesn't care, 
  762. even after publishing it, it could be ok to publish a kiddy script (let's 
  763. say after another month)
  764.  
  765. Moreover, you wrote this :
  766.  
  767.  >This is gun control: "Don't punish murder, ban the gun
  768.  >instead! Exploits are an evil instrumentality ! Exploits
  769.  >help a good boy go bad!" The right answer is: Humans are
  770.  >held responsible for their behavior. Guns, bricks, and
  771.  >exploits are just tools.
  772.  
  773. Here again, I strongly disagree. The H-bomb may be just a tool, but it's 
  774. not freely distributed. Why? Because some people are just too crazy to let 
  775. them play with it. We don't want to take the risk of these people having 
  776. it, so we try as hard as we can to ban this weapon, and so it is a criminal 
  777. offense to own one H bomb. As in the computer security field, it's about 
  778. balancing risks vs benefices.
  779.  
  780.  
  781. ** *** ***** ******* *********** *************
  782.  
  783. CRYPTO-GRAM is a free monthly newsletter providing summaries, analyses, 
  784. insights, and commentaries on computer security and cryptography.
  785.  
  786. To subscribe, visit <http://www.counterpane.com/crypto-gram.html> or send a 
  787. blank message to <crypto-gram-subscribe@chaparraltree.com>.  To 
  788. unsubscribe, visit <http://www.counterpane.com/unsubform.html>.  Back 
  789. issues are available on <http://www.counterpane.com>.
  790.  
  791. Please feel free to forward CRYPTO-GRAM to colleagues and friends who will 
  792. find it valuable.  Permission is granted to reprint CRYPTO-GRAM, as long as 
  793. it is reprinted in its entirety.
  794.  
  795. CRYPTO-GRAM is written by Bruce Schneier.  Schneier is founder and CTO of 
  796. Counterpane Internet Security Inc., the author of "Applied Cryptography," 
  797. and an inventor of the Blowfish, Twofish, and Yarrow algorithms.  He served 
  798. on the board of the International Association for Cryptologic Research, 
  799. EPIC, and VTW.  He is a frequent writer and lecturer on computer security 
  800. and cryptography.
  801.  
  802. Counterpane Internet Security, Inc. is a Managed Security Monitoring 
  803. company dedicated to providing 24x7 expert-assisted network security.
  804.  
  805. <http://www.counterpane.com>
  806.  
  807. Copyright (c) 2000 by Counterpane Internet Security, Inc.
  808.  
  809.