home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / E-zine / Magazines / crypto-gram / crypto-gram-0010.txt < prev    next >
Encoding:
Text File  |  2002-05-27  |  33.9 KB  |  793 lines
  1.                   CRYPTO-GRAM
  2.  
  3.                 October 15, 2000
  4.  
  5.                by Bruce Schneier
  6.                 Founder and CTO
  7.        Counterpane Internet Security, Inc.
  8.             schneier@counterpane.com
  9.           <http://www.counterpane.com>
  10.  
  11.  
  12. A free monthly newsletter providing summaries, analyses, insights, and 
  13. commentaries on computer security and cryptography.
  14.  
  15. Back issues are available at <http://www.counterpane.com>.  To subscribe or 
  16. unsubscribe, see below.
  17.  
  18.  
  19. Copyright (c) 2000 by Counterpane Internet Security, Inc.
  20.  
  21.  
  22. ** *** ***** ******* *********** *************
  23.  
  24. In this issue:
  25.       Semantic Attacks: The Third Wave of Network Attacks
  26.       Crypto-Gram Reprints
  27.       News
  28.       Counterpane Internet Security News
  29.       Council of Europe Cybercrime Treaty -- Draft
  30.       The Doghouse: HSBC
  31.       NSA on Security
  32.       AES Announced
  33.       NSA on AES
  34.       Privacy Tools Handbook
  35.       Comments from Readers
  36.  
  37.  
  38. ** *** ***** ******* *********** *************
  39.  
  40.    Semantic Attacks: The Third Wave of Network Attacks
  41.  
  42.  
  43.  
  44. On 25 August 2000, the press release distribution service Internet Wire 
  45. received a forged e-mail that appeared to come from Emulex Corp. and said 
  46. that the CEO had resigned and the company's earnings would be 
  47. restated.  Internet Wire posted the press release, not bothering to verify 
  48. either its origin or contents.  Several financial news services and Web 
  49. sites further distributed the false information, and the stock dropped 61% 
  50. (from $113 to $43) before the hoax was exposed.
  51.  
  52. This is a devastating network attack.  Despite its amateurish execution 
  53. (the perpetrator, trying to make money on the stock movements, was caught 
  54. in less than 24 hours), $2.54 billion in market capitalization disappeared, 
  55. only to reappear hours later.  With better planning, a similar attack could 
  56. do more damage and be more difficult to detect.  It's an illustration of 
  57. what I see as the third wave of network attacks -- which will be much more 
  58. serious and harder to defend against than the first two waves.
  59.  
  60. The first wave of attacks was physical: attacks against the computers, 
  61. wires, and electronics.  These were the first kinds of attacks the Internet 
  62. defended itself against.  Distributed protocols reduce the dependency on 
  63. any one computer.  Redundancy removes single points of failure.  We've seen 
  64. many cases where physical outages -- power, data, or otherwise -- have 
  65. caused problems, but largely these are problems we know how to solve.
  66.  
  67. Over the past several decades, computer security has focused around 
  68. syntactic attacks: attacks against the operating logic of computers and 
  69. networks.  This second wave of attacks targets vulnerabilities in software 
  70. products, problems with cryptographic algorithms and protocols, and 
  71. denial-of-service vulnerabilities -- pretty much every security alert from 
  72. the past decade.
  73.  
  74. It would be a lie to say that we know how to protect ourselves against 
  75. these kinds of attacks, but I hope that detection and response processes 
  76. will give us some measure of security in the coming years.  At least we 
  77. know what the problem is.
  78.  
  79. The third wave of network attacks is semantic attacks: attacks that target 
  80. the way we, as humans, assign meaning to content.  In our society, people 
  81. tend to believe what they read.  How often have you needed the answer to a 
  82. question and searched for it on the Web?  How often have you taken the time 
  83. to corroborate the veracity of that information, by examining the 
  84. credentials of the site, finding alternate opinions, and so on?  Even if 
  85. you did, how often do you think writers make things up, blindly accept 
  86. "facts" from other writers, or make mistakes in translation?  On the 
  87. political scene we've seen many examples of false information being 
  88. reported, getting amplified by other reporters, and eventually being 
  89. believed as true.  Someone with malicious intent can do the same thing.
  90.  
  91. In the book _How to Play With Your Food_, Penn and Teller included a fake 
  92. recipe for "Swedish Lemon Angels," with ingredients such as five teaspoons 
  93. of baking soda and a cup of fresh lemon juice, designed to erupt all over 
  94. the kitchen.  They spent considerable time explaining how you should leave 
  95. their book open to the one fake page, or photocopy it and sneak it into 
  96. friends' kitchens.  It's much easier to put it up on www.cookinclub.com and 
  97. wait for search engines to index it.
  98.  
  99. People are already taking advantage of others' naivete.  Many old scams 
  100. have been adapted to e-mail and the Web.  Unscrupulous stockbrokers use the 
  101. Internet to fuel their "pump and dump" strategies.  On 6 September, the 
  102. Securities and Exchange Commission charged 33 companies and individuals 
  103. with Internet semantic attacks (they called it fraud) such as posting false 
  104. information on message boards.
  105.  
  106. It's not only posting false information; changing old information can also 
  107. have serious consequences.  I don't know of any instance of someone 
  108. breaking into a newspaper's article database and rewriting history, but I 
  109. don't know of any newspaper that checks, either.
  110.  
  111. Against computers, semantic attacks become even more serious.  Computer 
  112. processes are much more rigid in the type of input they accept; generally 
  113. this input is much less than a human making the same decision would 
  114. get.  Falsifying input into a computer process can be much more 
  115. devastating, simply because the computer cannot demand all the 
  116. corroborating input that people have instinctively come to rely 
  117. on.  Indeed, computers are often incapable of deciding what the 
  118. "corroborating input" would be, or how to go about using it in any 
  119. meaningful way.  Despite what you see in movies, real-world software is 
  120. incredibly primitive when it comes to what we call "simple common 
  121. sense."  For example, consider how incredibly stupid most Web filtering 
  122. software is at deriving meaning from human-targeted content.
  123.  
  124. Can airplanes be delayed, or rerouted, by feeding bad information into the 
  125. air traffic control system?  Can process control computers be fooled by 
  126. falsifying inputs?  What happens when smart cars steer themselves on smart 
  127. highways?  It used to be that you had to actually buy piles of books to 
  128. fake your way onto the New York Times best-seller list; it's a lot easier 
  129. to just change a few numbers in booksellers' databases.  What about a 
  130. successful semantic attack against the NASDAQ or Dow Jones databases?  The 
  131. people who lost the most in the Emulex hoax were the ones with 
  132. preprogrammed sell orders.
  133.  
  134. None of these attacks is new; people have long been the victims of bad 
  135. statistics, urban legends, and hoaxes.  Any communications medium can be 
  136. used to exploit credulity and stupidity, and people have been doing that 
  137. for eons.  Computer networks make it easier to start attacks and speed 
  138. their dissemination, or for one anonymous individual to reach vast numbers 
  139. of people at virtually no cost.
  140.  
  141. In the near future, I predict that semantic attacks will be more serious 
  142. than physical or even syntactic attacks.  It's not enough to dismiss them 
  143. with the cryptographic magic wands of "digital signatures," 
  144. "authentication," or "integrity."  Semantic attacks directly target the 
  145. human/computer interface, the most insecure interface on the 
  146. Internet.  Only amateurs attack machines; professionals target people.  And 
  147. any solutions will have to target the people problem, not the math problem.
  148.  
  149.  
  150. The conceptualization of physical, syntactic, and semantic attacks is from 
  151. an essay by Martin Libicki on the future of warfare.
  152. <http://www.ndu.edu/ndu/inss/macnair/mcnair28/m028cont.html>
  153.  
  154. PFIR Statement on Internet hoaxes:
  155. <http://www.pfir.org/statements/hoaxes>
  156.  
  157. Swedish Lemon Angels recipe:
  158. <http://www.rkey.demon.co.uk/Lemon_Angels.htm>
  159. A version of it hidden among normal recipes (I didn't do it, honest):
  160. <http://www.cookinclub.com/cookbook/desserts/zestlem.html>
  161. Mediocre photos of people making them (note the gunk all over the counter 
  162. by the end):
  163. <http://students.washington.edu/aferrel/pnt/lemangl.html>
  164.  
  165. SatireWire:  How to Spot a Fake Press Release
  166. <http://www.satirewire.com/features/fake_press_release.shtml>
  167.  
  168. Taking over the air-traffic-control radio:
  169. <http://abcnews.go.com/sections/us/DailyNews/FakeAirTraffic000829.html>
  170.  
  171. A version of this essay appeared on ZDnet:
  172. <http://www.zdnet.com/zdnn/stories/comment/0,5859,2635895,00.html>
  173. SlashDot commentary on it:
  174. <http://slashdot.org/articles/00/10/06/055232.shtml>
  175.  
  176.  
  177. ** *** ***** ******* *********** *************
  178.  
  179.              Crypto-Gram Reprints
  180.  
  181.  
  182.  
  183. Steganography: Truths and Fictions:
  184. <http://www.counterpane.com/crypto-gram-9810.html#steganography>
  185.  
  186. Memo to the Amateur Cipher Designer:
  187. <http://www.counterpane.com/crypto-gram-9810.html#cipherdesign>
  188.  
  189. So, You Want to be a Cryptographer:
  190. <http://www.counterpane.com/crypto-gram-9910.html#SoYouWanttobeaCryptographer>
  191.  
  192. Key Length and Security:
  193. <http://www.counterpane.com/crypto-gram-9910.html#KeyLengthandSecurity>
  194.  
  195.  
  196. ** *** ***** ******* *********** *************
  197.  
  198.                      News
  199.  
  200.  
  201.  
  202. Three phases of computer security.  Very interesting essay by Marcus Ranum:
  203. <http://pubweb.nfr.net/~mjr/usenix/ranum_4.pdf>
  204.  
  205. Mudge and the other side of the story:
  206. <http://www.zdnet.com/intweek/stories/columns/0,4164,2634819,00.html>
  207.  
  208. How one anti-virus company trades on fear, uncertainty, and doubt:
  209. <http://www.zdnet.com/enterprise/stories/main/0,10228,2626255,00.html>
  210.  
  211. Soon hackers will be able to cause highway pileups in California:
  212. <http://www.halt2000.com/legislate.html>
  213.  
  214. Will we ever learn?  Someone hacked 168 Web sites, using the exact same 
  215. vulnerability that others have used to hack high-profile Web sites weeks 
  216. and months earlier.
  217. <http://www.vnunet.com/News/1110938>
  218.  
  219. The threat of espionage over networks is real.  Or, at least, someone 
  220. thinks so.
  221. <http://www.zdnet.com/zdnn/stories/news/0,4586,2626931,00.html?chkpt=zdhpnew 
  222. s01>
  223.  
  224. Hacking the CueCat barcode scanner.  This looks like a trend: company does 
  225. a really bad job at security, and then attempts to use lawyers to "solve" 
  226. their problem.
  227. <http://www.securityfocus.com/news/89>
  228. And there's a security advisor on how the CueCat is tracking users:
  229. <http://www.privacyfoundation.org/advisories/advCueCat.html>
  230. Hacking the CueCat (this URL is often busy...keep trying):
  231. <http://www.flyingbuttmonkeys.com/useofthingsyouownisnowillegal/>
  232. Disabling the serial-number on the unit:
  233. <http://4.19.114.140/~cuecat/>
  234. A list of freely available alternative drivers:
  235. <http://blort.org/cuecat/>
  236. How to disable the weak cryptography used by the unit:
  237. <http://www.flyingbuttmonkeys.com/useofthingsyouownisnowillegal/cue-decrypt/>
  238.  
  239. Why reverse-engineering is good for society:
  240. <http://www.zdnet.com/zdnn/stories/comment/0,5859,2636304,00.html>
  241.  
  242. Article on the futility of protecting digital content:
  243. <http://www.msnbc.com/news/462894.asp?cp1=1>
  244.  
  245. The downside of Linux's popularity: now the operating system is more likely 
  246. to be insecure by default.
  247. <http://www.osopinion.net/Opinions/JoeriSebrechts/JoeriSebrechts5.html>
  248.  
  249. This article estimates the cost of lost passwords to businesses: $850K a 
  250. year for a business with 2500 computers.
  251. <http://www.nytimes.com/library/tech/99/08/circuits/articles/05pass.html>
  252.  
  253. Short-term browser surveillance: tracking users with HTTP cache headers.
  254. <http://www.linuxcare.com.au/mbp/meantime/>
  255.  
  256. An e-mail worm spies on home banking data (in German).
  257. <http://www.heise.de/newsticker/data/pab-15.09.00-000/>
  258.  
  259. Amazingly stupid results from Web content filtering software:
  260. <http://dfn.org/Alerts/contest.htm>
  261.  
  262. A portal for spies (in Russian):
  263. <www.agentura.ru>
  264. News article on the topic:
  265. <http://www.themoscowtimes.com/stories/2000/09/14/010.html>
  266.  
  267. A virus for the Palm Pilot:
  268. <http://vil.nai.com/villib/dispvirus.asp?virus_k=98836>
  269. <http://www.zdnet.co.uk/news/2000/37/ns-18042.html>
  270.  
  271. Digital signatures could lead to tracing of online activity and identity theft.
  272. <http://www.zdnet.com/zdnn/stories/news/0,4586,2633544,00.html>
  273.  
  274. Will people ever learn that redacting PDF files doesn't work the same way 
  275. as redacting paper?
  276. <http://www.wired.com/news/politics/0,1283,39102,00.html>
  277.  
  278. Jon Carroll on social engineering:
  279. <http://www.sfgate.com/cgi-bin/article.cgi?file=/chronicle/archive/2000/09/2 
  280. 8/DD56668.DTL>
  281.  
  282. Kevin Mitnick sez: security means educating everybody.
  283. <http://cgi.zdnet.com/slink?56512:8469234>
  284.  
  285. California gets a new computer crime law:
  286. <http://news.cnet.com/news/0-1005-200-2883141.html>
  287.  
  288. Embarrassing Palm Pilot cryptography:
  289. <http://www.securiteam.com/securitynews/PalmOS_Password_Retrieval_and_Decodi 
  290. ng.html>
  291.  
  292. Heavily redacted Carnivore documentation online:
  293. <http://www.epic.org/privacy/carnivore/foia_documents.html>
  294. <http://www.computerworld.com/cwi/story/0,1199,NAV47_STO51829,00.html>
  295. Carnivore does more than the FBI admitted:
  296. <http://www.theregister.co.uk/content/1/13767.html>
  297. <http://www.securityfocus.com/news/97>
  298. And the review group doesn't seem very impartial:
  299. <http://www.computerworld.com/cwi/story/0,1199,NAV47_STO51991,00.html>
  300. Open-source Carnivore clone released.
  301. <http://www.networkice.com/altivore/>
  302. <http://www.zdnet.com/zdnn/stories/news/0,4586,2630674,00.html>
  303. <http://www.cnn.com/2000/TECH/computing/09/19/email.surveillance.ap/index.html>
  304.  
  305. Good article of how government officials at all levels routinely and 
  306. knowingly commit security violations with laptops and sensitive data.  Most 
  307. troubling quote:  "Even when officials are cited for security infractions, 
  308. they rarely are subjected to punishment. Infractions do go in personnel 
  309. records. But, unless there is a clear pattern of repeated violations, they 
  310. generally are ignored, security officials said."
  311. <http://www.latimes.com/business/cutting/20001003/t000093746.html>
  312.  
  313. News on the stolen Enigma machine.  The story keeps getting weirder.
  314. <http://news.bbc.co.uk/hi/english/uk/newsid_958000/958062.stm>
  315.  
  316. The war on teen hackers:
  317. <http://www.zdnet.com/zdnn/stories/comment/0,5859,2637321,00.html>
  318.  
  319. CERT has finally endorsed the policy of full-disclosure of security 
  320. flaws.  They will disclose flaws after 45 days.
  321. <http://www.zdnet.com/zdnn/stories/news/0,4586,2637904,00.html>
  322. CERT's new policy:
  323. <http://www.cert.org/faq/vuldisclosurepolicy.html>
  324.  
  325. NIST has defined SHA (Secure Hash Algorithm) for longer bit lengths: 
  326. SHA-256, SHA-384, and SHA-512.
  327. <http://csrc.nist.gov/cryptval/shs.html>
  328.  
  329. SDMI hacked?
  330. <http://salon.com/tech/log/2000/10/12/sdmi_hacked/index.html>
  331.  
  332.  
  333. ** *** ***** ******* *********** *************
  334.  
  335.        Counterpane Internet Security News
  336.  
  337.  
  338.  
  339. A reporter spent 24 hours in one of Counterpane's Secure Operations Centers 
  340. (SOCs), and wrote this article:
  341. <http://www.thestandard.com/article/display/0,1151,19119,00.html>
  342.  
  343. Counterpane's announces its Technical Advisory Board (TAB):
  344. <http://www.counterpane.com/pr-adv.html>
  345.  
  346. Bruce Schneier is speaking and signing copies of Secrets and Lies at 
  347. bookstores in Seattle, Portland, New York, Boston, and Washington DC in 
  348. October.
  349. <http://www.counterpane.com/sandltour.html>
  350.  
  351. Bruce Schneier is speaking at the Compsec conference in London (1-3 
  352. November), and the CSI conference in Chicago (13-15 November).
  353. <http://www.elsevier.nl/homepage/sag/compsec99/2000.htm>
  354. <http://www.gocsi.com/#Annual>
  355.  
  356.  
  357. ** *** ***** ******* *********** *************
  358.  
  359.   Council of Europe Cybercrime Treaty -- Draft
  360.  
  361. The Council of Europe has released a new draft of their cybercrime treaty. 
  362. Some highlights:
  363.  
  364. Two new sections on interception of communications have been included.  All 
  365. service providers must either technically conduct surveillance on demand, 
  366. or technically assist law enforcement (i.e. Carnivore).
  367.  
  368. The section outlawing security tools remains unchanged, except for a 
  369. footnote that says that an explanatory report will take care of the problem 
  370. of legitimate users.
  371.  
  372. The section that seems to require releasing crypto keys remains 
  373. unchanged.  A new section proposes that people be forced to process the 
  374. information for the police, and an amusing footnote describes how this will 
  375. be better for privacy.
  376.  
  377. The intellectual property section has been slightly modified, but appears 
  378. to still be so broad that it will require criminal penalties for putting 
  379. anything on the net that would violate copyrights.
  380.  
  381. An analysis of the treaty:
  382. <http://www.securityfocus.com/commentary/98>
  383.  
  384. The treaty:
  385. <http://conventions.coe.int/treaty/EN/projets/projets.htm>
  386.  
  387. My comments on the previous draft:
  388. <http://www.counterpane.com/crypto-gram-0008.html#6>
  389.  
  390.  
  391. ** *** ***** ******* *********** *************
  392.  
  393.               The Doghouse: HSBC
  394.  
  395.  
  396.  
  397. How to blame the victim:
  398.  
  399. According to HSBC's terms and conditions for its banking service:  "You 
  400. must not access the Internet Banking Service from any computer connected to 
  401. a local area network (LAN) or any public internet access device or access 
  402. point without first making sure that no-one else will be able to observe or 
  403. copy your access or get access to the Internet Banking Service pretending 
  404. to be you."
  405.  
  406. Even worse, the same document states that the customer will be liable for 
  407. any losses that are the result of gross negligence.  And gross negligence 
  408. is defined as non-compliance with the terms and conditions.  So HSBC is now 
  409. free to penalize the customer if they screw up security.
  410.  
  411. For a while I've made the case that the person who should be concerned 
  412. about computer and network security is the person who holds the liability 
  413. for problems.  Credit cards are a good example; the limits on customer 
  414. liability put the onus on the banks and credit card companies to clean up 
  415. security.  Here we see a bank deliberately trying to pass the liability off 
  416. for its own security lapses onto its customers.
  417.  
  418. Pretty sneaky.
  419.  
  420. Based on this negative publicity, HSBC will "review the wording of its 
  421. terms and conditions."  It's a first step.
  422.  
  423. <http://www.theregister.co.uk/content/archive/12741.html>
  424.  
  425.  
  426. ** *** ***** ******* *********** *************
  427.  
  428.                  NSA on Security
  429.  
  430.  
  431.  
  432. "A lot of you are making security products that are an attractive 
  433. nuisance....  Shame on you.  [...]  I want you to grow up.  I want 
  434. functions and assurances in security devices.  We do not beta test on 
  435. customers.  If my product fails, someone might die."  --Brian Snow, INFOSEC 
  436. Technical Director at the National Security Agency, speaking to commercial 
  437. security product vendors and users at the Black Hat Briefings security 
  438. conference.
  439.  
  440. I find this quote (and Snow's entire talk) fascinating, because it speaks 
  441. directly to the different worlds inside and outside the NSA.  Snow is 
  442. campaigning for increased assurance in software products: assurance that 
  443. the products work as advertised, and assurance that they don't do anything 
  444. that is not advertised.  Inside the NSA, assurance is everything.  As Snow 
  445. says, people die if security fails.  Millions of dollars can be spent on 
  446. assurance, because it's that serious.
  447.  
  448. Outside the NSA, assurance is worth very little.  The market rewards better 
  449. capabilities, new features, and faster performance.  The market does not 
  450. reward reliability, bug fixes, or regression testing.  The market has its 
  451. attention firmly fixed on the next big idea, not on making the last big 
  452. idea more reliable.
  453.  
  454. Certainly, assurance is important to security.  I argued as much in 
  455. _Secrets and Lies_.  I also argued that assurance is not something we're 
  456. likely to see anytime soon, and that the smart thing to do is to recognize 
  457. that fact and move on.
  458.  
  459. In the real world, there's little assurance.  When you buy a lock for your 
  460. front door, you're not given any assurances about how well it functions or 
  461. how secure your house will be as a result.  When a city builds a prison, 
  462. there are no assurances that it will reduce crime.  Safety is easier than 
  463. security -- there is some assurance that buildings won't collapse, fire 
  464. doors will work, and restaurant food will be disease-free -- but it's 
  465. nowhere near perfect.
  466.  
  467. Business security is all about risk management.  Visa knows that there is 
  468. no assurance against credit card fraud, and designs their fee structures so 
  469. that the risks are manageable.  Retailers know that there are no assurances 
  470. against shoplifting, and set their prices to account for 
  471. "shrinkage."  Computer and network security is no different:  Implement 
  472. preventive countermeasures to make attacks harder, implement detection and 
  473. response countermeasures to reduce risk, and buy enough business insurance 
  474. to make the rest of the problem go away.  And build your business model 
  475. accordingly.
  476.  
  477. Those are tools that the military cannot take advantage of.  The military 
  478. can't buy insurance to protect itself if security fails.  The military 
  479. can't revise its "business model"; it's not a business.  If military 
  480. security doesn't work, secrets might be exposed, foreign policy might fail, 
  481. and people might die.
  482.  
  483. Assurance is a great idea, and I'm sure the military needs more of it.  But 
  484. they are as likely to get it out of the commercial sector as they are 
  485. likely to find EMP-hardened, TEMPEST-shielded, and MIL-SPEC electronics 
  486. down at the local Radio Shack.
  487.  
  488.  
  489. Snow's quote appeared in:
  490. <http://www.infoworld.com/articles/hn/xml/00/07/28/000728hnnsa.xml?0802wepm>
  491.  
  492.  
  493. ** *** ***** ******* *********** *************
  494.  
  495.                   AES Announced
  496.  
  497.  
  498.  
  499. Rijndael has been selected as AES.  Well, NIST has proposed Rijndael for 
  500. AES.  There is a three-month public review, and then the Secretary of 
  501. Commerce will sign a Federal Information Processing Standard (FIPS) 
  502. formalizing the Advanced Encryption Standard.  But the choice of algorithms 
  503. has been narrowed to one: Rijndael.
  504.  
  505. Of course I am disappointed that Twofish didn't win.  But I have nothing 
  506. but good things to say about NIST and the AES process.  Participating in 
  507. AES is about the most fun a block-cipher cryptographer could possibly have, 
  508. and the Twofish team certainly did have a lot of fun.  We would do it all 
  509. over again, given half the chance.
  510.  
  511. And given their resources, I think NIST did an outstanding job 
  512. refereeing.  They were honest, open, and fair.  They had the very difficult 
  513. job of balancing the pros and cons of the ciphers, and taking into account 
  514. all the comments they received.  They completed this job in an open way, 
  515. and they stuck to the schedule they outlined back in 1996.
  516.  
  517. While some people may take issue with the decision NIST made -- the 
  518. relative importance NIST gave to any particular criterion -- I don't think 
  519. anyone can fault the process or the result.  There was no one clear AES 
  520. winner of the five semi-finalists; NIST took an impossible job and 
  521. completed it fairly.
  522.  
  523. Rijndael was not my first choice, but it was one of the three algorithms I 
  524. thought suitable for the standard.  The Twofish team performed extensive 
  525. cryptanalysis of Rijndael, and will continue to do so.  While it was not 
  526. the most secure choice (NIST said as much in their report), I do not 
  527. believe there is any risk in using Rijndael to encrypt data.
  528.  
  529. There is a significant difference between an academic break of a cipher and 
  530. a break that will allow someone to read encrypted traffic.  (Imagine an 
  531. attack against Rijndael that requires 2^100 steps.  That is an academic 
  532. break of the cipher, even though it is a completely useless result to 
  533. anyone trying to read encrypted traffic.)  I believe that within the next 
  534. five years someone will discover an academic attack against Rijndael.  I do 
  535. not believe that anyone will ever discover an attack that will allow 
  536. someone to read Rijndael traffic.  So while I have serious academic 
  537. reservations about Rijndael, I do not have any engineering reservations 
  538. about Rijndael.
  539.  
  540. Nor do I have any reservations about NIST and their decision process.  It 
  541. was a pleasure working with them, and the entire Twofish team is pleases to 
  542. have been part of the AES process.  Congratulations Rijndael, 
  543. congratulations NIST, and congratulations to us all.
  544.  
  545. News stories:
  546. <http://www.wired.com/news/politics/0,1283,39194,00.html>
  547. <http://www.zdnet.com/zdnn/stories/news/0,4586,2635864,00.html>
  548.  
  549. NIST AES Web site:
  550. <http://csrc.nist.gov/encryption/aes/>
  551.  
  552. NIST coverage:
  553. <http://www.nist.gov/public_affairs/releases/g00-176.htm>
  554.  
  555. NIST's final AES report:
  556. <http://csrc.nist.gov/encryption/aes/round2/r2report.pdf>
  557.  
  558. The Twofish team's final AES comments:
  559. <http://www.counterpane.com/twofish-final.html>
  560.  
  561. The Twofish team's Rijndael cryptanalysis:
  562. <http://www.counterpane.com/rijndael.html>
  563.  
  564. This AES hardware survey was completed too late to be on the NIST site:
  565. <http://ece.gmu.edu/crypto/AES_survey.pdf>
  566.  
  567.  
  568. ** *** ***** ******* *********** *************
  569.  
  570.                  NSA on AES
  571.  
  572.  
  573.  
  574. The NSA's non-endorsement of AES was very carefully worded:  "The National 
  575. Security Agency (NSA) wishes to congratulate the National Institute of 
  576. Standards and Technology on the successful selection of an Advanced 
  577. Encryption Standard (AES).  It should serve the nation well.  In 
  578. particular, NSA intends to use the AES where appropriate in meeting the 
  579. national security information protection needs of the United States 
  580. government."
  581.  
  582. The quote is attributed to Michael J. Jacobs, Deputy Director for 
  583. Information Systems Security at the National Security Agency.
  584.  
  585. Note the last sentence.  The NSA has not stated that it will use AES to 
  586. protect classified information.  The NSA has not stated that it will use 
  587. AES widely.  It has simply stated that, "where appropriate," it will use 
  588. AES to meet its "national security information protection needs."
  589.  
  590. In the past, the NSA has, on occasion, used DES to protect what was known 
  591. as "sensitive but unclassified" information -- personnel records, 
  592. unclassified messages, etc. -- and we all know how secure DES is.  My guess 
  593. is that they will use AES to protect a similar level of information, in 
  594. instances where buying commercial products that implement AES is a cheaper 
  595. alternative to whatever custom alternatives there are.
  596.  
  597. It is possible that they will eventually use AES for classified 
  598. information.  This would be a good thing.  But my guess is that many more 
  599. years of internal cryptanalysis are required first.
  600.  
  601. You can read the quote here:
  602. <http://www.nist.gov/public_affairs/releases/aescomments.htm>
  603.  
  604.  
  605. ** *** ***** ******* *********** *************
  606.  
  607.              Privacy Tools Handbook
  608.  
  609.  
  610.  
  611. Senate Judiciary Committee Chairman Orrin Hatch has released a consumer 
  612. guide to online privacy tools.  His stated hope is that consumers will 
  613. demand adequate privacy from e-retailers and avoid legislated privacy 
  614. regulation.  Really, it's a piece of propaganda against government 
  615. regulation of privacy, though nicely buzzword compliant with "anonymizers" 
  616. and "infomediaries" among the technological superheros who can save the day.
  617.  
  618. Some observations:
  619.  
  620.          a) Companies who post privacy policies online are not legally 
  621. obligated to follow those policies, nor are they prohibited from changing 
  622. them arbitrarily.  That is, there are essentially no legal consequences for 
  623. cheating (breaking the policy), probably not even "false advertising" 
  624. claims.  And that completely ignores companies who don't even post their 
  625. policies.
  626.  
  627.          b) Consumers cannot even begin to make "informed decisions" about 
  628. sharing their personal data if they are unaware of all the ways that data 
  629. can be aggregated, cross-correlated, and otherwise manipulated.  The whole 
  630. point of regulation is to protect customers from corporate manipulation.
  631.  
  632.          c) The whole debate is built on the tacit premise that you don't 
  633. own information about yourself, regardless of how that information was 
  634. collected (including being collected under false pretenses).  Contrast that 
  635. to EU personal-data laws, which are based on a very different premise.
  636.  
  637.          d) As long as there is a profit to be made, and no consequences 
  638. for cheaters, industry self-regulation is a paper tiger.  The "bad actors" 
  639. will simply stay one jump ahead of the law and legal jurisdiction, and 
  640. there are precious few federal laws that can be applied effectively, anyway.
  641.  
  642.          e) In the document, government regulation is always characterized 
  643. as either "ill-advised," "burdensome," "excessive," or 
  644. "heavy-handed."  Industry self-regulation is always characterized as 
  645. "meaningful," "commend[able]," or "effective."  Whatever happened to simple 
  646. effective federal legislation?  And while the current federal fair-trade 
  647. and food-purity laws are far from simple, is anyone seriously advocating 
  648. that they be totally rescinded?  Reformed, yes, but not demolished.
  649.  
  650. By the way, as long as we're on the subject of unintentional privacy 
  651. leaks...  Examining the PDF file, we can learn:
  652.  
  653.          1) The document's author is listed as "AlR" (lower-case L in the 
  654. middle).
  655.          2) It was created with PageMaker 6.5.
  656.          3) The PDF file was made by PDFWriter 3.0.1 for Power Macintosh.
  657.  
  658. It probably wouldn't be all that hard to find out exactly who "AlR" is; how 
  659. rare are phone directories for the Judiciary Committee and Orrin Hatch's staff?
  660.  
  661. <http://www.zdnet.com/zdnn/stories/news/0,4586,2630778,00.html>
  662. <http://www.mercurycenter.com/svtech/news/breaking/merc/docs/080131.htm>
  663.  
  664. Hatch's guide may be found at:
  665. <http://judiciary.senate.gov/privacy.htm>
  666.  
  667. Official Senate Judiciary Committee PDF document:
  668. <http://judiciary.senate.gov/privacy.pdf>
  669.  
  670.  
  671. Thanks to Greg Guerin, who had more of a stomach to read through this 
  672. document than I did.
  673.  
  674.  
  675. ** *** ***** ******* *********** *************
  676.  
  677.              Comments from Readers
  678.  
  679.  
  680.  
  681. From:  Anonymous
  682. Subj:  People Security
  683.  
  684. This is a true account of what happened to me a couple of weeks 
  685. ago.  (Passwords have been changed and names have been deleted.)  I have an 
  686. "Internet banking" arrangement with a local bank.  I recently wanted to add 
  687. another account to their system, so I rang their help desk to do so, the 
  688. conversation going along the following lines:
  689.  
  690. Me: "Hello.  I want to make some changes to my Internet banking account."
  691. Operator: "Yes sir.  What is your account number?"
  692.  
  693. Me: "1234-5678"
  694. Operator: "Ah yes, Mr. Anonymous.  Now, your account has some passwords on it."
  695.  
  696. Me: <getting prepared to divulge them, but before I can speak> Operator: 
  697. "There are three passwords, two are women's names, and one isn't.  The 
  698. women's names start with 'D' and 'M'."
  699.  
  700. Me: <rather astonished at his 'help'> "Dorothy and Margaret."
  701. Operator: "That's right."
  702.  
  703. Me: "and the third one is ..."
  704. Operator: "Yes, I know.  It's 'swordfish'.  Now, what changes do you want 
  705. to make to your account?"
  706.  
  707. When you look at this behavior, you can see that the bank can hire security 
  708. experts, encrypt their data), and all this comes to naught if the operators 
  709. divulge the passwords over the phone.  It makes you wonder how far I would 
  710. have got if I had actually said "I can't remember the password -- can you 
  711. give me a hint".
  712.  
  713. Clearly there are some design problems with their system, on top of the 
  714. obvious training problems.  The operator *should not* be presented with the 
  715. passwords on his screen, thus he cannot divulge them even if he wanted 
  716. to.  Rather, he should have to type in the word(s) the customer supplies, 
  717. with the computer merely saying "right" or "wrong" (and locking him out 
  718. after 3 or so attempts).
  719.  
  720. The fact that he did so, so readily, suggests that every second customer 
  721. has forgotten his password, and he was just trying to be helpful.  This 
  722. being the case, it makes you wonder whether expecting customers to remember 
  723. lots of passwords is really the solution to improved security.  The 
  724. evidence suggest not.
  725.  
  726.  
  727. From: "Gary Hinson" <Gary.Hinson@CCCL.net>
  728. Subject: Non-disclosure as a marketing tool
  729.  
  730. See if this company announcement looks familiar:  "We acknowledge that 
  731. product X has a serious security flaw (which, for security reasons, we 
  732. cannot describe in too much detail), but don't worry -- we have fixed 
  733. it.  Registered users click here to upgrade to the latest secure version..."
  734.  
  735. Call me a cynic, but this strikes me as a marvelous sales booster.  Users 
  736. are told there is a known security problem in their software, but have 
  737. insufficient information to conduct a realistic risk assessment, to 
  738. determine whether they are really exposed.  Therefore they are compelled to 
  739. upgrade or face unknown risks.  Meanwhile the newsletters and security 
  740. sites discuss the gravity of the flaw and describe (often theoretical) 
  741. exploits and eventually the mass media catch on.  At this point, we've 
  742. reached the stage at which it no longer matters whether an individual 
  743. user/system manager is actually at risk.  He's now facing serious pressure 
  744. from peers and management to upgrade and can't argue strongly that there's 
  745. no need.
  746.  
  747. Even if the product upgrade in question is offered as a "free patch," one 
  748. often needs to upgrade associated programs at cost (especially if, say, the 
  749. insecure product is an operating system).  There's no such thing as a free 
  750. lunch!
  751.  
  752. Just one more cynical thought.  Suppose that the latest version has ANOTHER 
  753. security flaw that is mysteriously revealed in, say, 6 months time, 
  754. re-starting the upgrade cycle.  Now, without access to the original source 
  755. and associated materials, who can say whether or not the flaw was 
  756. intentionally inserted by the vendor?
  757.  
  758. You can see where I'm heading here.  Users' fears about security may be 
  759. being used deliberately by the vendors to drive up product sales, when the 
  760. traditional means (facelifts, releasing new product features etc.) are 
  761. becoming less effective due to the software market maturing.
  762.  
  763.  
  764. ** *** ***** ******* *********** *************
  765.  
  766. CRYPTO-GRAM is a free monthly newsletter providing summaries, analyses, 
  767. insights, and commentaries on computer security and cryptography.
  768.  
  769. To subscribe, visit <http://www.counterpane.com/crypto-gram.html> or send a 
  770. blank message to crypto-gram-subscribe@chaparraltree.com.  To unsubscribe, 
  771. visit <http://www.counterpane.com/unsubform.html>.  Back issues are 
  772. available on <http://www.counterpane.com>.
  773.  
  774. Please feel free to forward CRYPTO-GRAM to colleagues and friends who will 
  775. find it valuable.  Permission is granted to reprint CRYPTO-GRAM, as long as 
  776. it is reprinted in its entirety.
  777.  
  778. CRYPTO-GRAM is written by Bruce Schneier.  Schneier is founder and CTO of 
  779. Counterpane Internet Security Inc., the author of "Applied Cryptography," 
  780. and an inventor of the Blowfish, Twofish, and Yarrow algorithms.  He served 
  781. on the board of the International Association for Cryptologic Research, 
  782. EPIC, and VTW.  He is a frequent writer and lecturer on computer security 
  783. and cryptography.
  784.  
  785. Counterpane Internet Security, Inc. is a venture-funded company bringing 
  786. innovative managed security solutions to the enterprise.
  787.  
  788. <http://www.counterpane.com/>
  789.  
  790. Copyright (c) 2000 by Counterpane Internet Security, Inc.
  791.  
  792.  
  793.