home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / mail / misc / 4503 < prev    next >
Encoding:
Text File  |  1993-01-25  |  8.4 KB  |  169 lines
  1. Xref: sparky comp.mail.misc:4503 sci.crypt:7135 alt.security:5364 comp.security.misc:2595 alt.security.ripem:141 comp.answers:14 news.answers:5438
  2. Newsgroups: comp.mail.misc,sci.crypt,alt.security,comp.security.misc,alt.security.ripem,comp.answers,news.answers
  3. Path: sparky!uunet!usc!sol.ctr.columbia.edu!usenet.ucs.indiana.edu!silver.ucs.indiana.edu!mvanheyn
  4. From: Marc VanHeyningen <mvanheyn@whale.cs.indiana.edu>
  5. Subject: RIPEM Frequently Noted Vulnerabilities
  6. Message-ID: <C1F53s.77w@usenet.ucs.indiana.edu>
  7. Followup-To: alt.security.ripem
  8. Originator: mvanheyn@silver.ucs.indiana.edu
  9. Sender: news@usenet.ucs.indiana.edu (USENET News System)
  10. Supersedes: <C0E2L0.Euw@usenet.ucs.indiana.edu>
  11. Nntp-Posting-Host: silver.ucs.indiana.edu
  12. Organization: Indiana University
  13. Date: Mon, 25 Jan 1993 16:43:03 GMT
  14. Approved: news-answers-request@MIT.EDU
  15. Expires: Sat, 20 Mar 1993 00:00:00 GMT
  16. Lines: 151
  17.  
  18. Archive-name: ripem/attacks
  19. Last-update: Mon, 25 Jan 93 11:00:00 -0500
  20.  
  21. SOME POSSIBLE ATTACKS ON RIPEM
  22.  
  23. This is a living list of potential weaknesses to keep your eyes open
  24. for when using RIPEM for secure electronic mail.  It does not go into
  25. great detail, and is almost certainly not exhaustive.  Obviously, many
  26. of the weaknesses are weaknesses of cryptographically secured mail in
  27. general, and will pertain to secure mail programs other than RIPEM.
  28. It is maintained by Marc VanHeyningen <mvanheyn@whale.cs.indiana.edu>.
  29. It is posted monthly to a variety of news groups; followups pertaining
  30. specifically to RIPEM should go to alt.security.ripem.
  31.  
  32. CRYPTANALYSIS ATTACKS
  33.  
  34. - Breaking RSA would allow an attacker to find out your private key,
  35.   in which case he could read any mail encrypted to you and sign
  36.   messages with your private key.
  37.  
  38.   RSA is generally believed to be resistant to all standard
  39.   cryptanalytic techniques.  Even a standard key (about 516 bits with
  40.   RIPEM) is long enough to render this impractical, barring a
  41.   quite substantial investment in hardware.
  42.  
  43. - Breaking DES would allow an attacker to read any given message,
  44.   since the message itself is encrypted with DES.  It would not allow
  45.   an attacker to claim to be you.
  46.  
  47.   DES has only 56 bits in its key, and thus could conceivably be
  48.   compromised by brute force with sufficient hardware, but few agencies
  49.   have such money to devote to simply read one message.  Since each
  50.   message has a different DES key, the work for each message would
  51.   remain high.
  52.  
  53. KEY MANAGEMENT ATTACKS
  54.  
  55. - Stealing your private key would allow the same benefits as breaking
  56.   RSA.  To safeguard it, it is encrypted with a DES key which is derived
  57.   from a passphrase you type in.  However, if an attacker can get a copy
  58.   of your private keyfile and your passphrase (by snooping network
  59.   packets, tapping lines, or whatever) he could break the whole scheme.
  60.  
  61.   The main risk is that of transferring either the passphrase or the
  62.   private key file across an untrusted link.  So don't do that.  Run 
  63.   RIPEM on a trusted machine, preferably one sitting right in front of
  64.   you.  Ideally, your own machine in your own home (or maybe office)
  65.   which nobody else has physical access to.
  66.  
  67. - Fooling you into accepting a bogus public key for someone else could 
  68.   allow an opponent to deceive you into sending secret messages to him
  69.   rather than to the real recipient.  If the enemy can fool your
  70.   intended recipient as well, he could re-encrypt the messages with
  71.   the other bogus public key and pass them along.
  72.  
  73.   It is important to get the proper public keys of other people.
  74.   The most common mechanism for this is finger; assuming the opponent
  75.   has not compromised routers or daemons or such, finger can be 
  76.   given a fair amount of trust.  The strongest method of key
  77.   authentication is to exchange keys in person; however, this is
  78.   not always practical.  Having other people "vouch for you" by
  79.   signing a statement containing your key is possible, although 
  80.   RIPEM doesn't have features for doing this as automatically as
  81.   does PGP.
  82.  
  83. PLAYBACK ATTACKS
  84.  
  85. - Even if an opponent cannot break the cryptography, an opponent could
  86.   still cause difficulties.  For example, suppose you send a message
  87.   with MIC-ONLY to Alice which says "OK, let's do that." Your opponent
  88.   intercepts it, and now resends it to Bob, who now has a message which
  89.   is authenticated as from you telling him to do that.  Of course, he
  90.   may interpret it in an entirely different context.  Or your opponent
  91.   could transmit the same message to the same recipient much later,
  92.   figuring it would be seen differently at a later time.  Or the
  93.   opponent could change the Originator-Name: to himself, register 
  94.   your public key as his, and send a message hoping the recipient
  95.   will send him return mail indicating (perhaps even quoting!) the
  96.   unknown message.
  97.  
  98.   To defeat playback attacks, the plaintext of each message should 
  99.   include some indication of the sender and recipient, and a unique
  100.   identifier (typically the date).  A good front-end script for RIPEM
  101.   should do this automatically (IMHO).  As a recipient, you should be
  102.   sure that the Originator-Name: header and the sender indicated within
  103.   the plaintext are the same, that you really are a recipient, and that
  104.   the message is not an old one.  Some this also can and should be
  105.   automated.
  106.  
  107. LOCAL ATTACKS
  108.  
  109. - Clearly, the security of RIPEM cannot be greater than the security of
  110.   the machine where the encryption is performed.  For example, under
  111.   UNIX, a super-user could manage to get at your encrypted mail,
  112.   although it would take some planning and effort to do something like
  113.   replace the RIPEM executable with a Trojan horse or to get a copy of
  114.   the plaintext, depending how it's stored.
  115.  
  116.   In addition, the link between you and the machine running RIPEM is
  117.   an extension of that.  If you decrypt with RIPEM on a remote machine
  118.   which you are connected to via network (or, worse yet, modem), an
  119.   eavesdropper could see the plaintext (and probably also your
  120.   passphrase.)
  121.  
  122.   RIPEM should only be executed on systems you trust, obviously.  In
  123.   the extreme case, RIPEM should only be used on your own machine,
  124.   which you have total control over and which nobody else has access
  125.   to, which has only carefully examined software known to be free of
  126.   viruses, and so on.  However, there's a very real trade-off between
  127.   convenience and security here.
  128.  
  129.   A more moderately cautious user might use RIPEM on a UNIX workstation
  130.   where other people have access (even root access), but increase
  131.   security by keeping private keys and the (statically linked, of
  132.   course) executable on a floppy disk.
  133.  
  134.   Some people will keep RIPEM on a multi-user system, but when dialing
  135.   in over an insecure line, they will download the message to their
  136.   own system and perform the RIPEM decryption there.  However, the
  137.   security provided by such a mechanism is somewhat illusory; since
  138.   you presumably type your cleartext password to log in, you've just
  139.   given away the store, since the attacker can now log in as you and
  140.   install traps in your account to steal your private key next time
  141.   you use it from a less insecure line.  This will likely remain the
  142.   situation as long as most systems use the rather quaint mechanism of
  143.   cleartext password authentication.
  144.  
  145.   I find it nice to put a brief statement of how carefully I manage my
  146.   security arrangement in my .plan next to my public key, so that
  147.   potential correspondents can be aware what level of precautions are
  148.   in place.  Some people use two keys, a short one which is not
  149.   carefully managed for ordinary use and a longer one which is treated
  150.   with greater care for critical correspondence.
  151.  
  152. UNTRUSTED PARTNER ATTACKS
  153.  
  154. - RIPEM's encryption will ensure that only a person with the private key
  155.   corresponding to the public key used to encrypt the data may read the
  156.   traffic.  However, once someone with that key gets the message, she
  157.   may always make whatever kind of transformations she wishes.  There 
  158.   exist no cryptographic barriers to a recipient, say, taking an
  159.   ENCRYPTED message and converting it to a MIC-ONLY message, signed by
  160.   you and readable by anyone, although RIPEM does not provide this
  161.   functionality.  Indeed, the latest PEM draft I have seen specifically
  162.   states that such transformations should be possible to allow
  163.   forwarding functions to work.
  164.  
  165.   Including the recipients in the plaintext, as mentioned above, will
  166.   make it possible for recipients of a redistributed message to be aware
  167.   of its original nature.  Naturally, the security of the cryptography
  168.   can never be greater than the security of the people using it.
  169.