Keeloq oslabeny
Jan Waclawek
wek@evona.sk
Pondělí Září 17 09:22:00 CEST 2007
Petr Zahradnik wrote:
> Puvodni zprava ze dne 14.9.2007 od Jiri Bezstarosti:
>
>
>>Nakonec nejlepsi ochrana je ta, ke ktere vubec nikdo nevi, jak je
>>udelana a nebo nemuze nikdy tusit ani vypocitat, jak to dale
>>pokracuje ;). Nejhorsi k prorazeni cehokoli je stav, kdy ma clovek
>>treba nejaky kus proudu dat, ale ma velice malo informaci o tom, o
>>co ze to vlastne jde a jak to cele funguje.
>
>
> To je velmi mylna predstava. Muze se sice zdat, ze v pripade utajeni
> algoritmu ma utocnik o jeden problem navic, ale to je jen laicky
> nazor. Casem se prislo na to, ze daleko lepsi je verejny algoritmus
> poradne overeny kryptografy a kryptoanalytiky, kdy pak je to opravdu o
> slozitosti vypoctu a/nebo o sile dane sifry, klice apod.
>
Presne tak. Napokon TOTO je presne ukazka algoritmu ktoreho sila
spocivala najma v utajeni. Ta kryptoanalyza zacala az vtedy, ked sa ten
dokument ktory Microchip daval len oproti NDA podpisanemu krvou objavil
na jednom ruskom serveri.
Presne tak isto dopadol aj algoritmus pouzivany v SIM kartach - od
okamihu ked sa prevalil algoritmus po krabicky na klonovanie SIMiek
uplynulo pomerna malo casu - a napokon problem nebol v klonovani SIMiek,
to nikomu neublizi; ale v moznosti v relativne kratkom case dekodovat
odpocuty hovor.
Ono najvacsi problem celej kryptologie nie je dnes vobec v algoritmoch a
ich efektivnej implementacii, to sa uz odsunulo na vedlajsiu kolaj;
problemom su najma ludia (inaksie povedane, sposob pouzitia, so vsetkym
co k tomu patri).
Petr Zahradnik wrote:
> Vyhodou reseni typu KEELOQ je to, ze je to jeden maly svabek vysilaci
> a jeden maly svabek prijimaci. Ma to jednoduchou implementaci,
> jednoduchou obsluhu a je to velmi bezpecne. Ze to lze napadnout se
> stovkami pocitacu s procesory Dual Core, to nepovazuji jako vazne
> bezpecnostni riziko v tomto pripade. Jinak, KEELOQ umoznuje vice
> moznych modifikaci a navic muze pracovat treba take v RFID rezimu na
> zaklade obousmerne komunikace.
Niekolko stoviek pocitacov sa da - ako DES cruncher ukazal - velmi
efektivne (cenovo aj casovo) nahradit niekolkymi FPGAckami.
Ale ovela podstatnejsie je, ze do podobne maleho a lacneho svabku
(citaj: mcu) sa da dnes bez problemov (citaj: moze to urobit takmer
akykolvek priemerny programator mcu) dat ktorykolvek z verejne znamych a
serioznej kryptoanalyze podrobenych algoritmov; a samozrejme nie je
problem ich pouzit ci uz ako "hopping code" (co nie je nic ine ako
prudova sifra plus to "akceptovacie okno"), obojsmerne (mimochodom RFID
nie je dobry vyraz pre obojsmernost lebo RFID nie su nevyhnutne
obojsmerne), akokolvek si len zmyslis. Cena za to iste riesenie je
porovnatelna, bezpecnost vyssia. Niet o com debatovat.
Petr Zahradnik wrote:
>>Inak, co sa tyka bezpecnosti kluceniek v autach, nerobil by som z
>>toho taku vedu; tie sa daju totiz obist niekolkymi sposobmi vratane
>>starej dobrej bejzbalky :-) ; ale tie svaby by som ja odteraz v
>>ziadnom novom produkte uz nepouzil.
>
>
> Jako proc? Myslis, ze ti Keeloq dekoder v trabantu budou atakovat se
> stovkami pocitacu hrubou silou?
Nie - ved pisem ze co sa MOJHO trabantu tyka, je to takmer jedno, kedze
existuje X rieseni daneho problemu vratane tej bejzbalky. Ale v NOVOM
produkte by som ho nepouzil preto, lebo a.) existuje lepsie riesenie
(vid hore); b.) Microchip dostal od Bihama&spol sancu (i.e. nezverejnili
detaily a kedze Biham je tazke eso a belgicania tiez nie su becka - vid
mena Rijmen a Daemen - tak amateri to asi tak lahko nezreprodukuju) a
kedze ocividne znacka Keeloq ma este stale dobre meno, rychlo ho
nahradia niecim podobnym ale na inom, kvalitnom algoritme (a stavim sa,
ze ho nazvu Keeloq2(TM) :-) ). Ten NLFSR algoritmus je na hardware
nenarocny a mal zmysel pred tymi X rokmi ked sa kazde hradlo na cipe
ratalo; ale dnes to uz nie celkom plati.
wek
Další informace o konferenci Hw-list