Onderzoeker vindt beveiligingslek in versleutelde backups van afbeeldingen

De Duitse beveiligingsexpert Bernd Roellgen heeft een manier gevonden om de encryptiesleutel te vinden van een geëncrypte verzameling afbeeldingen door deze te vergelijken met een versie waaraan nieuwe zijn toegevoegd.

De hack van Roellgen, beveiligingsexpert bij PMC Ciphers, gaat uit van het feit dat bitmaps vaak lage entropieniveaus vertonen. Hierdoor kan bij het vergelijken van twee versleutelde beeldverzamelingen, waarvan de één een kopie is van de ander waaraan enkele afbeeldingen zijn toegevoegd, overeenkomsten en verschillen herleid worden die gebruikt kunnen worden om de originele informatie bloot te leggen.

Volgens de paper, waarin Roellgen zijn methode beschrijft, zijn de meeste on-the-fly-encryptiesoftwarepakketten gevoelig voor de hack. Bij de laatste versies van Turbocrypt van PMC Ciphers zou het theoretische beveiligingslek niet meer optreden, omdat voor elke encryptie van een kopie van een bestand een andere sleutel wordt gebruikt.

Voor de politie zou de methode een uitkomst kunnen zijn om beeldbestanden op in beslag genomen computers te kunnen achterhalen. Te denken valt aan inzet bij bijvoorbeeld kinderpornozaken. Volgens Roellgen is er geen patent aangevraagd op de methode en kunnen andere ontwikkelaars van encryptiesoftware er ook gebruik van maken.

IT-banen

Reacties (48)

brompot758 5 oktober 2008 18:21

Dit is problematiek die al langer bekend is. Als je een afbeelding versleutelt en voor elk blok dezelfde sleutel gebruikt (bekend als ECB encoding) dan kun je een deel van de afbeelding terug zien. Dat is ook de reden dat er voor streams doorgaans een techniek als CBC gebruikt wordt. Dat is overigens al sinds de jaren 80 bekend, dus niet zo'n hele schokkende ontdekking van meneer Roellgen dus. Voor de geinteresseerden:

http://en.wikipedia.org/wiki/Block_cipher_modes_of_operation

Met encryptie op een harde schijf zou je hetzelfde kunnen krijgen, daarom wordt daar een techniek gebruikt die ESSIV heet:

http://en.wikipedia.org/wiki/ESSIV

Edit: Ik heb de paper nog even in detail doorgelezen. Om de aanval succesvol uit te kunnen voeren moet je een kopie hebben van een encrypted volume op twee verschillende tijdstippen. Je kunt dan alleen de delta bekijken, niet de data in de oudste kopie. Bovendien moet het volume initieel gevuld zijn met encrypted blokken waarvan de plaintext uit alleen nullen bestaat (of een andere bekende vulling).

De meeste encryptie software laat de data zoals hij is. Er staan dus in ciphertext nullen op of oude data, en in plaintext rotzooi. Als alle sectoren al beschreven worden dan gaat daar (pseudo) random data in.

Bovendien werkt de aanval alleen voor data waar een hoge mate van herhaling in zit. In het voorbeeld wordt een 2 bits (4 kleur) bmp gebruikt en zelfs daarin is de data maar nauwelijks herkenbaar. Met een 24 bits bmp wordt het al veel moeilijker en met een JPG, GIF, word document of excel sheet kun je het gewoon schudden. En 1 keer defragmenteren en deze aanval is ook helemaal los.

Dit white paper is gewoon een reclame boodschap voor een nieuwe versie van software waarmee men een probleem zegt op te lossen dat in de praktijk niet bestaat.

Als gewoon je truecrypt versleutelde laptop gejat wordt dan doet deze aanval niets. En als iemand twee keer achter elkaar je volledige harde schijf staat te kopieren dan valt dat vast wel op.

De in de paper gesuggereerde backup methode door het maken van een image van het encrypted volume is er een die ik nog niet tegengekomen ben. Normaal mount je het encrypted volume en maakt een backup op een ander encrypted volume dat uiteraard een andere sleutel heeft. Of je versleutelt de backup stream in CBC of een andere veilige mode. Het grootste voordeel is daarbij dat je het deel van je schijf dat nog leeg is niet naar de backup schrijft. Dat geeft, zeker met encryptie, een flink performance voordeel. Er hoeft immers minder data naar je backup. Oh ja, en altijd comprimeren voor je versleutelt.

[Reactie gewijzigd door brompot758 op 27 juli 2024 07:29]

Rukapul @brompot758 • 6 oktober 2008 09:35

* Rukapul approves this message (op enkele details na

)

Dit is met recht een prutspaper welke op geen enkele serieuze security workshop geaccepteerd zou worden.

Zoals hierboven al gezegd wordt is het gebruik van CBC mode met IV (initialization vector) voldoende om de zwakheden te addresseren.

Janoz Moderator PRG/SEA @Rukapul • 6 oktober 2008 10:43

Niet alleen dat. Het hele idee is gebaseerd op lage entropie. Het eerste dat compressie software doet is de entropie verhogen (onder die software valt ook de software die van een raw bitmap een jpeg bestand maakt). Zolang pedofielen hun content niet raw opslaan zal het dus nooit bruikbaar worden voor het aangehaalde kinderporno onderzoek.

Verwijderd @brompot758 • 6 oktober 2008 12:27

Quote: "Oh ja, en altijd comprimeren voor je versleutelt."

Comprimeren verminderd de redundantie in de source data welke je versleuteld. Daarmee neemt de zogenaamde unicity distance toe. Deze attack is een speciaal geval van een attack methode welke gebruik maakt van redundantie in de source data. Doordat deze redundantie met een vast patroon herhaald terugkomt in de versteutelde data is de versleutelde data te kraken, gegeven het encryptie algoritme. De hoeveelheid versleutelde data welke je hiervoor nodig hebt kan uitgerekend worden met de hierboven gegeven Unicity Distance. Deze algemene methode om cipher text only attacks uit te voeren op versleutelde data werkt op alle computational secure versleutelings methoden, dus vrijwel alle hedendaags gebruikte security methoden, inclusief pseudo random generatoren. Wil je dit type attacks onmogelijk maken, dan moet je gebruik maken van unconditional securiy. De presentatie van een operationeel research systeem dat unconditional security ondersteund is te vinden op deze link door te zoeken naar het keyword "quantum".

brompot758 @Verwijderd • 6 oktober 2008 19:52

Bijna dezelfde reactie heb je hieronder ook al gegeven. Niet zo heel erg nuttig om twee keer bijna hetzelfde verhaal te vertellen.

Dima_2005 5 oktober 2008 18:05

Ik vind dit toch een groot gebeuren, vooral omdat er inderdaad zoals gezegd, dit zou de uitkomst bieden voor kinderpornozaken.

Maar wat ik vooral wou zeggen is dat de encryptiesleutels de laatste tijd veel te zacht zijn. Er is nog altijd een wet geldig dat zegt dat er een maximale encryptie van 128-bit toegelaten is, maar tegenwoordig is een 128-bit sleutel veel makkelijker en sneller te kraken dan van wanneer de wet afkomstig is.

Maar het hangt ook af van hoe je encrypteerd. Als je gewoon een WinRar archief gebruikt om je afbeeldingen te beveiligen of in totaal gewoon bestanden gebruikt, dan zou het zeker niet veilig zijn.
Ook dus wat de lek is dat een reeks bestanden eenzelfde password beveiging hebben, dan heb je het risico dat er inderdaad makkelijker een sleutel terug te vinden is. Maar het is ook bijna onmogelijk om voor elke bestand een andere password te gebruiken.

Hiervoor is er dus software ontwikkeld, dus is deze nieuwsbericht een soort reclame, want het biedt de oplossing voor de lek, er moet elke keer een andere sleutel gebruikt worden. Ik denk nu ook aan andere oplossingen, zoals de eID, daar wordt de sleutel gegenereerd door een combinatie van jouw signature en de tijd (tot op de milliseconde), dus dit zorgt ook voor een oplossing. Ook als je juiste encryptie hebt voor vingerafdrukken, als die ook een combinatie van jouw vinger en tijd gebruikt, zou het veel minder makkelijk te kraken zijn.

Heel opmerkelijk aan deze bericht vind ik dat er geen patent op aangevraagd werd, langs ene kant is dat heel goed, dit is een stap in de beveiliging, maar langs de andere kant lopen ze veel winst mis.

The Zep Man

Encryptie
Netwerk en systeembeheer
Beveiliging

@Dima_2005 • 5 oktober 2008 18:34

Ik vind dit toch een groot gebeuren, vooral omdat er inderdaad zoals gezegd, dit zou de uitkomst bieden voor kinderpornozaken.

Dit is niet echt de oplossing tegen kinderpornozaken. Er is namelijk een makkelijke methode om te voorkomen dat ze met deze 'aanval' je Truecrypt-volume kunnen decoderen.

Archiveer (7z, ZIP, RAR...) meuk op de Truecrypt volume. Zo valt er niets meer te herkennen. Maak de archieven zelf (pak dus iets uit in het geheugen en pak het daarna weer in) zodat het archief uniek is en niet beschikbaar op internet.

Of nog een andere oplossing: Truecrypt volume (file) in een Truecrypt volume (partitie). In de 'nested' volume zit de gevoelige informatie.

[Reactie gewijzigd door The Zep Man op 27 juli 2024 07:29]

TtL8e7ay @The Zep Man • 5 oktober 2008 23:30

Het archiveren op je truecrypt volume gaat niet helpen, omdat de entropie van de data daar niet significant mee afneemt. Wat wel helpt is om geen bitmap bestanden te gebruiken.

Het is overigens nog steeds een 'gevaar' , want een datadief kan je volume stelen op zaterdag, een dagje wachten en dan op zondag weer. Als er dan bestanden aan toegevoegd zijn heeft de datadief een ingang. Maar het blijft dan nodig dat hij weet welke bestanden er toegevoegd zijn EN dat dat bitmap bestanden zijn.

In andere woorden; doorlopen mensen, niets te zien hier behalve een storm in een glas water.

The Zep Man

Encryptie
Netwerk en systeembeheer
Beveiliging

@TtL8e7ay • 6 oktober 2008 07:36

Het archiveren op je truecrypt volume gaat niet helpen, omdat de entropie van de data daar niet significant mee afneemt. Wat wel helpt is om geen bitmap bestanden te gebruiken.

Entropie van een data veranderd juist significant wanneer je er een compressie tegenaan smijt, al helemaal al praten we over ongecomprimeerde bitmaps. Al combineer je dit met een wachtwoordbeveiliging van 1 letter op het archief dan is er helemaal geen bekende overeenkomst meer vanaf buitenaf.

Het is overigens nog steeds een 'gevaar' , want een datadief kan je volume stelen op zaterdag, een dagje wachten en dan op zondag weer. Als er dan bestanden aan toegevoegd zijn heeft de datadief een ingang. Maar het blijft dan nodig dat hij weet welke bestanden er toegevoegd zijn EN dat dat bitmap bestanden zijn.

In andere woorden; doorlopen mensen, niets te zien hier behalve een storm in een glas water.

Klopt. Dit is dezelfde situatie als een (deel van een) bestand hebben waarvan je weet dat het ook in het Truecrypt-volume zit.

Ortep

@Dima_2005 • 5 oktober 2008 18:09

Ik vind dit toch een groot gebeuren, vooral omdat er inderdaad zoals gezegd, dit zou de uitkomst bieden voor kinderpornozaken.

Je vergat de andere hype te vermelden: Terrorisme.

Moeten deze twee werkelijk overal worden bijgehaald? Het lijkt wel of er niets anders meer in de wereld gebeurt.

Toontje_78 @Ortep • 5 oktober 2008 19:56

Het helpt om moreel verwerpelijke* zaken te gebruiken als illustratief wat voorkomen/genezen zou kunnen worden. Dat helpt in acceptatie van het middel, wat het middel ook moge zijn.

Het openbaar maken van deze methode staat daar weer haaks op, doordat dit een potentieel lek kan dichten. De meeste vondsten van verboden gegevens zullen sowieso hier niets aan hebben, doordat versleutelen/herkennen van versleutelen toch een beetje inzicht vraagt wat veel mensen (zoals de normale agent/douanier) ontbeert. De gemiddelde overtreder ontbeert de kennis om adequaat te versleutelen sowieso eveneens, de gemiddelde mens is niet zo'n licht. Degene die weet hoe encryptie werkt, loopt in de meeste gevallen niet tegen de lamp als cyberkrimineel.

Slechts in geval een verdenking bestaat en afluisteren begint kunnen verschillende versies van het versleutelde bestand(en) afgevangen worden en naast elkaar gelegt worden; verwacht het gebruik meer in (industriele) spionagegevallen, waar het de moeite loont ipv een simpel krimineeltje.

De belangrijkste vondst is het ontkrachten van een beveiliging (die schijnbaar al als niet veilig genoeg meer werd gezien), en waarom de methode niet werkt.

* verwerpelijk afhankelijk van de beschaving, in de middeleeuwen was de leeftijd waarop het eerste kind gekregen werd door boeren iets van 15? Valt volgens mij nu onder kinderen. Tijden veranderen. Daar komt bij, de een zijn terrorisme is de ander zijn weg naar overwinning.

Ortep

@Toontje_78 • 5 oktober 2008 21:00

* verwerpelijk afhankelijk van de beschaving, in de middeleeuwen was de leeftijd waarop het eerste kind gekregen werd door boeren iets van 15? Valt volgens mij nu onder kinderen. Tijden veranderen. Daar komt bij, de een zijn terrorisme is de ander zijn weg naar overwinning.

Het ging mij meer om die hysterische reacties altijd. Extreem overdreven en uit zijn verband gerukt. Je kan overal geld voor krijgen, of iedere regel er door drukken als je het het "T" woord en het "KP" woord gebruikt.
Om iets wat meer in perspectief te plaatsen: In een niet echt rustig land als Israel gaan nog steeds veel meer mensen dood in het verkeer dan bij terroristische aanslagen. Maar je hoort niets over: 5 fietsers plat gereden door bus waarvan de remmen faalden, maar je hoort wel: 3 raketten afgevuurd en in een maisveld geland. Eén gewonde (Man been gebroken toen hij van schrik van een ladder viel. Maar dat zetten ze er meestal niet bij)

Bij deze ontdekking wordt ook onmiddellijk KP geroepen en niemand heeft het over bedrijfs spionage, het leeg lepelen van databases van Telecom bedrijven of het kraken van bank databases. Niet dat dat direct hier mee kan, maar het is wel een stap op weg. En dat zijn dingen die veel vaker voorkomen

[Reactie gewijzigd door Ortep op 27 juli 2024 07:29]

Verwijderd @Ortep • 6 oktober 2008 09:09

Ik ben het met je eens dat er vaak geschermd wordt met dit soort termen en word ook vaak moe van het politieke gekonkel waarmee de massa steeds onnodig banggemaakt wordt. Het werkt echter zeer doelmatig, kijk maar hoe effectief de dreiging van zonde en hel door bijvoorbeeld het katholieke geloof de menigte in bedwang houdt. Ofschoon het na 2000 jaar wat begint af te nemen nu.
Wilders maakt van deze techniek dankbaar gebruik, maar laten we wel wezen, uiteindelijk maakt iedere politieke partij zich hier schuldig aan.

Ik vind echter dat je redenering niet helemaal klopt. Ten eerste vraag ik me af of jij werkelijk de cijfers kent omtrent het aantal verkeersdoden in Israël of dat je maar een veronderstelling gebruikt. In dat laatste geval doe je eigenlijk het omgekeerde van hetzelfde als die mensen die gelijk KP en T woorden erbij halen.
Ten tweede vind ik, en dat vind ik nog veel belangerijker, het nogal een verschil of er iemand om het leven komt door een verkeersongeluk of door een afgevuurde raket. Het grote verschil is (uitzonderingen daargelaten) de intentie. Ik ga ervanuit dat in het verkeer geen opzet in het spel is, bij het afvuren van wapens is dit meestal wel het geval.

Het feit dat er meer mensen in het verkeer omkomen dan door aanslagen, maakt voor mij nog steeds niet dat de intentie die achter een aanslag zit niet zeer serieus genomen moet worden.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 07:29]

Toontje_78 @Remco Kramer • 6 oktober 2008 17:40

Credit card fraude telt hier ook mee neem ik aan, en de nigeriaanse mafia heeft niet voor niets zoveel phishing mailtjes de deur uit gedaan de laatste jaren voor bankgegevens. Gelekte gegevens kunnen voor miljarden winst/verlies geven, en regeringen eenvoudig omver laten vallen.

Op aantallen gevallen is geld zeker vaker voorkomend dan kindermisbruik. Nu komt dan natuurlijk erbij dat ieder misbruikt kind toch wel opweegt tegen een aantal gevallen van financiele kriminaliteit.

Toch geeft een betere manier om financiele misdaad aan te pakken direkter resultaat wat dan ook gelijk cashen is, waar terugdringen van kindermisbruik geen eenvoudig in geld uit te drukken winst geeft. Uiteindleijk draait de hele wereld om de flappen.

Cheetah_777 @Dima_2005 • 5 oktober 2008 18:10

wat voor wet zegt dat er een maximale encryptie van 128-bit toegelaten is?

brompot758 @Cheetah_777 • 5 oktober 2008 18:14

Vanuit amerika zijn er resticties op het maximale aantal sleutel bits van export software.

Dat betekent bijvoorbeeld dat een HTTPS sessie met IE maximaal 128 bits versleutelt, terwijl een Firefox sessie naar een apache toe 256 bits gebruikt.

servies @brompot758 • 5 oktober 2008 19:06

Die is al een flink aantal jaren geleden voor het grootste gedeelte afgeschaft. Mede omdat deze inderdaad volledig achterhaald was...

Verwijderd @Dima_2005 • 5 oktober 2008 19:38

Ik lees iets van eID, waarom niet via een One Time Pad Generator, daar kun je werkelijk alles mee instellen en dan je sleutel maken, dan hoeft er ook geen ID kaart of wat voor overheidsideeën gebruikt te worden.

http://www.fourmilab.ch/onetime/otpjs.html

Bacchus @Verwijderd • 5 oktober 2008 20:56

Omdat OTP entropie slurpt bij het leven.

Il Duce @Dima_2005 • 6 oktober 2008 09:57

1) Een 128 bits sleutel is nog steeds niet te kraken in een redelijke tijd
2) Winrar gebruikt 128 bits AES, en is voor zover ik weet ook niet te kraken via een betere methode dan brute-force

Verwijderd 6 oktober 2008 09:39

In aanvulling op deze methode is het wellicht informatief dit artikel te bekijken. Vrijwel alle huidige security systemen welke op dit moment operationeel zijn, zijn gebaseerd op computational security, inclusief alle gebruikte pseuso random generatoren. Gegeven het encryptie en decryptie algorithme is met geautomatiseerde deterministische programma inversie waarvoor een methode in het bovenstaande artikel wordt beschreven van elk computational security mechanisme een algoritme af te leiden dat gegegen de eerste n bits van een beveiligde string bits, de rest deterministisch kan afleiden. De waarde van n wordt de "unicity distance" genoemd en hangt sterk af van de mate van redundantie in de source welke encrypt is. De redundantie is in de hack van roelggen het simpele feit dat meerdere keren dezelfde plaatjes worden encrypt.

Om deze attacks onmogelijk te maken moet er gebruik gemaakt worden van unconditional information-theoretic provable security. Een presentatie van een operationeel research systeem dat unconditional information-theoretic provable security ondersteund is te vinden op de link http://www.SwissItPro.ch door te zoeken naar het keyword "quantum". Dit systeem kent verschillende classificaties van confidentiele niveau's te weten, computational-, provable- en perfect secure. De laatste 2 veiligheidsniveau's zijn unconditional secure gebaseerd op wiskundige informatie-theorie en natuurkundige quantum wetten. Deze laatste 2 veiligheidsniveau's zijn dus universeel en tijdsonafhankelijk. Op dit operationeel systeem zijn de aanvallen welke in dit artikel geschetst worden onmogelijk op het provable en perfect secure veiligheidsniveau.

Verwijderd @Pixeltje • 6 oktober 2008 12:09

Bedankt voor de tip. Ik zal er in volgende reacties proberen op te letten.

Electrowolf Moderator Aboforum

6 oktober 2008 00:18

[Digital Image Processing Engineer mode]

Waar is Len(n)a!?!?

Of is decrypten met haar het eerste wat een standaart decrypter doet?

[/Digital Image Processing Engineer mode]

[Reactie gewijzigd door Electrowolf op 27 juli 2024 07:29]

Janoz Moderator PRG/SEA @Electrowolf • 6 oktober 2008 09:08

Als ik Lena vergelijk met dit plaatje dan is het enige wat ik zou kunnen bedenken dat Lena een hogere entropie heeft waardoor het lastiger is om deze te gebruiken. Het is niet voor niks dat dat specifieke plaatje vaak wordt gebruikt bij beeldbewerkingsonderzoeken. Naast dat het waarschijnlijk een hogere entropie heeft (Niet heel veel grote egale stukken) heeft het ook hoogfrequent (veren bij de hoed), ronde edges (spiegel), rechte edges (balken achter), wel een klein beetje vlakke stukjes en een gezicht, waardoor veel technieken op dit plaatje kunnen worden gedemonstreerd.

(Gezien het naar beneden modden van bovenstaande reactie vermoed ik dat er nogal wat 'algemene kennis' op het gebied van beeldbewerkings onderzoek mist

)

[Reactie gewijzigd door Janoz op 27 juli 2024 07:29]

stijn1989 6 oktober 2008 02:12

Wat ik niet snap is wat zijn die encrypted images? Kunnen die enkel bekeken worden met een speciaal programma of hoe gaat dit in zijn werk? Je neemt een image en je versleutelt die met een sleutel. Kom je dan nog steeds een image uit dan? Vind het wel interessant om eens te weten.

RiDo78 @stijn1989 • 6 oktober 2008 06:02

Wat jij waarschijnlijk bedoelt is het verstoppen van data in een plaatje. Daarbij worden gewoon de lagere (minder belangrijke) bits gebruikt voor de extra data. Dat resulteert in zulke subtiele kleurverschillen dat het voor het menselijk oog niet waarneembaar is. En het is ook voor computerprogramma's lastig te detecteren omdat die kleurverschillen best legitiem kunnen zijn.

Daarbij komt ook nog dat de data versleuteld wordt en niet als zodanig te herkennen is. Pas als je met de juiste software en decodeersleutel naar het plaatje gaat kijken, zul je het oorspronkelijke ingevoegde bestand weer uit het plaatje halen.

Ik moet wel zeggen dat het *ietsje* gecompliceerder in elkaar steekt, maar in grote lijnen werkt het wel zo.

Kaasje123 5 oktober 2008 17:57

Dus als ik het goed begrijp kunnen ze van 2 verschillende containers elk met verschillende foto's erin met elkaar te vergelijken en daardoor achterhalen hoe de foto's eruit zien?

Maar geld dat ook als je twee verschillende containers gebruikt die elk met hun eigen key zijn encrypted en niet gekopieerd zijn van elkaar via copy-paste? Want dat is hoe ik het doe namelijk. Vervolgens mount ik beide containers in truecrypt en synchroniseer die met elkaar en daar komen ook afbeeldingen bij kijken en daarna unmount ik ze weer.

Want sowieso wordt in de truecrypt handleiding afgeraden dezelfde container te copy-pasten juist al vanwege dit soort problemen volgens mij.

Q: Is it secure to create a new container by cloning an existing container?

A: You should always use the Volume Creation Wizard to create a new TrueCrypt volume. If you copy a container and then start using both this container and its clone in a way that both eventually contain different data, then you might aid cryptanalysis (both volumes would share a single key set).

Daarnaast is truecrypt toch opensource en niet van PMC Ciphers?

[Reactie gewijzigd door Kaasje123 op 27 juli 2024 07:29]

Ch3cker Teamlead Testlab @Kaasje123 • 5 oktober 2008 18:01

Volgens mij is het zo dat er 2 containers met eenzelfde bestand zijn, alleen in de ene zijn nog een paar andere foto's toegevoegd. Dan vergelijken ze de data en kijken ze naar overeenkomsten.

Hierdoor kan bij het vergelijken van twee versleutelde beeldverzamelingen, waarvan de één een kopie is van de ander waaraan enkele afbeeldingen zijn toegevoegd, overeenkomsten en verschillen herleid worden die gebruikt kunnen worden om de originele informatie bloot te leggen.

[Reactie gewijzigd door Ch3cker op 27 juli 2024 07:29]

Kaasje123 @Ch3cker • 5 oktober 2008 18:19

Ok. Ik lees overigens ook zojuist in hun documentatie dat zodra je in LRW of beter zelfs nog in XTS mode draait dat het al niet eens meer te achterhalen is of toe te passen is deze "hack".

Laat truecrypt nou net alleen nog maar in XTS mode draaien in de nieuwste versie. Volgens mij dus een storm in een glas water. ECB mode was al jaren geleden uit truecrypt gesloopt omdat het al niet meer aan de ontwikkelaars eisen voldeed en toen al overgestapt waren op het veiligere LRW en nu dus volledig op XTS sinds Truecrypt 5.0.

Pixeltje

@Kaasje123 • 6 oktober 2008 11:50

Nee, ik denk dat Hacks nooit een storm in een glas water zijn. Simpelweg omdat mensen ervan kunnen leren, en bij het (door)ontwikkelen van een applicatie kunnen leren van fouten uit het verleden.

het melden, uitleggen en uitwerken van een hack als deze, is een bijdragen aan toekomstige encryptiesoftware etc.

dat het voor een programma nu niet meer gevaarlijk is, is een ander verhaal. Kennelijk heeft Truecrypt al bedacht dat dit mogelijk was, of hebben ze om een andere reden gekozen voor het 'draaien in XTS mode'

Ibex @Kaasje123 • 5 oktober 2008 18:00

Twee containers met geencrypteerde afbeeldingen. Echter verschillen maar een paar fotos onderling. Een groot deel van de afbeeldingen is dus identiek, en door deze data te vergelijken kan ben blijkbaar de sleutel overhouden

Verwijderd @Ibex • 5 oktober 2008 20:01

Ja maar er wordt wel met een beperkt kleurpalet en hws ook met ongecomprimeerd tif of PNG gewerkt. Daarin zul je weinig pron aantreffen. Bij 24-bit jpegs is het volgens mij al niet meer mogelijk als ik het zo lees.

Verwijderd @Kaasje123 • 5 oktober 2008 18:03

Daarnaast is truecrypt toch opensource en niet van PMC Ciphers?

Hoewel Open Source zijn en van een bepaald bedrijf zijn elkaar niet uitsluiten is het in dit geval niet juist: het programma van PMC Ciphers heet TurboCrypt.

Kaasje123 @Verwijderd • 5 oktober 2008 18:20

Je hebt gelijk. Ik had het een beetje ongelukkig verwoord maar ik heb dus toch gelijk dat dit artikel turbocrypt had moeten noemen en niet truecrypt.

RiDo78 6 oktober 2008 05:57

Oud nieuws...

Als je het mij vraagt is dat hele onderzoek niets meer of minder dan een reclame-artikel hoe goed hun nieuwe 'uitvinding' wel niet is.

Feit is dat als je delen bekende data bezit en je weet waar die ongeveer is opgeslagen op het versleutelde volume dan kun je vaak achter de oorspronkelijke sleutel komen. En daarmee kun je de rest open trekken. Het enige wat ze hier doen is om vlakken van een bepaalde kleur in een bitmap met een beperkt aantal kleuren boven water te halen.

Dat doen ze dan ook nog eens door het gehele versleutelde volume te kopieeren en in een van de kopieen afbeeldingen toe te voegen. Op die manier weet je namelijk al wat de standaard waarden is van de random-bagger die op die sector stond en weet je dus ook welke bytes opnieuw beschreven is.

Ik zou het pas indrukwekkend vinden als het ze lukt met een gecomprimeerd bestand (bijvoorbeeld een jpeg) met 32-bits kleurwaarden, zonder gebruik te maken van verschillende versies van het versleutelde volume.

Overigens is het backuppen van een versleuteld volume sowieso niet handig, dat wordt zelfs in Truecrypt al heel duidelijk gemaakt als je even de handleiding erbij pakt. Daar staat zelfs letterlijk beschreven hoe je een wachtwoord kunt resetten als je het na de laatste keer wijzigen bent vergeten, maar nog wel beschikt over een backup waar je het wachtwoord nog wel van weet.

Ulysses @RiDo78 • 6 oktober 2008 06:43

Reclame heeft verkoop tot doel ... dit zou dan hooguit naamsbekendheid zijn ... nahja, hij heeft er toch serieus onderzoek naar gedaan en serieus de moeite genomen om een technisch onderbouwde publicatie te doen ... dan mag je ook wel naamsbekendheid krijgen.

Volgens Roellgen is er geen patent aangevraagd op de methode en kunnen andere ontwikkelaars van encryptiesoftware er ook gebruik van maken.

miw @Ulysses • 6 oktober 2008 09:25

Vooral op beveiligingsgebied zijn er nogal wat "Haarlemmerolie" verkopers. Elk modern encryptie algorithme is bestand tegen chosen plaintext aanvallen, waarbiji de aanvaller de plaintext mag kiezen en de ciphertext en het algorithme zelf kent. Een bedrijf dat een eigen algorithme heeft dat kennelijk niet van deze kwaliteit is, diskwalificeert zichzelf in mijn ogen.
Verder is het aanvragen van een ooctrooi geen enkele garantie dat het ook daadwerkelijk verleend zal worden.

Snake 5 oktober 2008 18:09

Kan ie niet beter een patent erop nemen dan en beschikbaar stellen als public domain? Dadelijk gaat er iemand mee lopen?

Ortep

@Snake • 5 oktober 2008 18:12

Dat kan niet meer. Gepubliceerd is gepubliceerd. Niemand kan er meer patent op krijgen. Kortom: Iedereen mag er mee gaan lopen

Verwijderd @Ortep • 6 oktober 2008 00:29

In de EU niet nee. In de USA kun je nog steeds een patent krijgen op zaken die al gepubliceerd zijn (ik meen dat dat zelfs mag tot een half jaar na publicatie maar dat weet ik niet zeker).

Mike-RaWare 5 oktober 2008 18:12

Nou, nou... Als ik de PDF zo lees lijkt deze aanval alleen te werken als je afbeeldingen opsla in een ongecomprimeerde vorm, dus een simpele oplossing is om porno afbeeldingen te bewaren als JPEG of PNG.

IStealYourGun @Mike-RaWare • 5 oktober 2008 19:29

Om te beginnen, hetgeen wat ik doe als ik een backup van mijn USB of folder naar mijn geincripteerde schijf kopieer is ze eerst rar'en, zorgt ervoor dat alles overzichtelijk blijft. :-)

chaser 5 oktober 2008 20:10

het valt me op dat deze beveiligingsexpert werkt bij het bedrijf waarvan hij de nieuwste software zit te promoten

Beetje eigenbelang namelijk

Op dit item kan niet meer gereageerd worden.

Onderzoeker vindt beveiligingslek in versleutelde backups van afbeeldingen

Lees meer

IT-banen

Reacties (48)

Sorteer op:

Weergave: