SlideShare Explore Search You

Kryptorelaterade
säkerhetsbrister
Jonas Lejon
Triop AB
Dec 2017
Tutus

Om Jonas Lejon
• Konsult och driver Triop AB sedan 2014
– Säkerhetsgranskningar
• Styrelseledamot IIS (tidigare .SE)
• Adv...

Generella trender cybersäkerhet
Living of the land
Supply chain attacks

Nya kryptosårbarheter
• WPA2 KRACK - Key Reinstallation Attacks
– 10 st CVE:er
• ROCA - Return of the Coppersmith Attack
–...

Trender krypto
• Homomorfisk kryptering
• Blockchain
– RIPEMD-160
– Secp256k
– SHA-256
• End-to-end
• Post-quantum cryptog...

Trender säker utveckling
• Isolera mjukvaran
– Docker, med seccomp
• Smartare fuzzers
– American Fuzzy Lop
• Control Flow ...

Upcoming SlideShare

Loading in …5

Kryptobuggar 2017 12-01

480 views

Jonas Lejon

, Senior Cyber Security Specialist 🔒

Published on Dec 2, 2017

Föreläsning hos företaget Tutus om diverse olika säkerhetsrelaterade buggar i kryptografiska applikationer och system som varit i nyheterna senaste åren.

Reflektioner hur man kan förhindra att buggar liknande dessa uppstår igen och hur vi kan bli bättre på att granska kryptografiska system samt applikationer.

Published in: Software

Be the first to comment

Antonio N. , Global Fraud Expert på Nordea at Fraud Investigator
2 years ago

Views

Total views

480

On SlideShare

From Embeds

Number of Embeds

Actions

Downloads

Comments

Likes

Embeds 0

No embeds

No notes for slide

Inte

buffer over-read bugg. The Heartbeat Extension for the Transport Layer Security (TLS) and Datagram Transport Layer Security.

Cirka 17% av samtliga webbservrar var sårbara när buggen

Apple goto-fail bugg i SecureTransport. Gör att andra goto fail lltid exekveras och gör att en kontroll nedanför ej genomförs och returvärdet blir alltid 0

GCC la till -Wmisleading-indentation efter detta

Clang har -Wunreachable-code som varnar för detta

Kryptobuggar 2017 12-01

1. Kryptorelaterade säkerhetsbrister Jonas Lejon Triop AB Dec 2017 Tutus
2. Om Jonas Lejon • Konsult och driver Triop AB sedan 2014 – Säkerhetsgranskningar • Styrelseledamot IIS (tidigare .SE) • Advisory board Holm Security • Bloggar på kryptera.se
3. Generella trender cybersäkerhet Living of the land Supply chain attacks
4. Nya kryptosårbarheter • WPA2 KRACK - Key Reinstallation Attacks – 10 st CVE:er • ROCA - Return of the Coppersmith Attack – RSALib av Infineon • DUHK - ANSI X9.31 • macOS APFS – Lösenordstips för krypterad disk • Outlook S/MIME
5. Trender krypto • Homomorfisk kryptering • Blockchain – RIPEMD-160 – Secp256k – SHA-256 • End-to-end • Post-quantum cryptography
6. Trender säker utveckling • Isolera mjukvaran – Docker, med seccomp • Smartare fuzzers – American Fuzzy Lop • Control Flow Guard (CFG) • Reproducerbar mjukvara
7. Twitter: @jonasl jonas@triop.se