Föreläsning hos företaget Tutus om diverse olika säkerhetsrelaterade buggar i kryptografiska applikationer och system som varit i nyheterna senaste åren. Reflektioner hur man kan förhindra att buggar liknande dessa uppstår igen och hur vi kan bli bättre på att granska kryptografiska system samt applikationer.

1. Kryptorelaterade
säkerhetsbrister
Jonas Lejon
Triop AB
Dec 2017
Tutus

2. Om Jonas Lejon
• Konsult och driver Triop AB sedan 2014
– Säkerhetsgranskningar
• Styrelseledamot IIS (tidigare .SE)
• Advisory board Holm Security
• Bloggar på kryptera.se

3. Generella trender cybersäkerhet
Living of the land
Supply chain attacks

6. Nya kryptosårbarheter
• WPA2 KRACK - Key Reinstallation Attacks
– 10 st CVE:er
• ROCA - Return of the Coppersmith Attack
– RSALib av Infineon
• DUHK - ANSI X9.31
• macOS APFS – Lösenordstips för krypterad disk
• Outlook S/MIME

7. Trender krypto
• Homomorfisk kryptering
• Blockchain
– RIPEMD-160
– Secp256k
– SHA-256
• End-to-end
• Post-quantum cryptography

8. Trender säker utveckling
• Isolera mjukvaran
– Docker, med seccomp
• Smartare fuzzers
– American Fuzzy Lop
• Control Flow Guard (CFG)
• Reproducerbar mjukvara

9. Twitter: @jonasl
jonas@triop.se