Chiasmus encryptie

YellowOnline schreef op dinsdag 16 maart 2010 @ 18:33:
Wij zijn op zoek naar een manier om documenten te encrypteren volgens de classificatie "EU Restricted". Om dat te kaderen: de volgorde van de EU is "EU Top Secret", "EU Secret", "EU Confidential", "EU Restricted" en "EU Council".

Amerikaanse software valt uit de boot aangezien daar per definitie toegang voor de NSA voorzien is. Dat is geen complottheorie maar een voldongen feit.

Grootste kanshebber is Chiasmus van de Duitse Bundesamt für Sicherheit in der Informationstechnik. In afwachting van mijn testlicenties: heeft iemand op T.net hier ervaring mee? De kans is klein aangezien dit geen commerciële software is, maar misschien gebruikt een of andere Tweaker die voor de overheid of een supranationale instelling werkt dit.

Amerikaanse software valt uit de boot aangezien daar per definitie toegang voor de NSA voorzien is. Dat is geen complottheorie maar een voldongen feit.

heb je hier bewijs voor want dit is echt de grootste onzin. Encryptie methode zoals RSA enz zijn niet voor niks openbaar gemaakt zodat iedereen de zongenaamde backdoors kan vinden.
En ik kan zeggen dat iedere overheid RSA gebruikt ook jij namelijk in ssl verbindingen.

Ik heb meer vetrouwen in RSA dan een of andere vage encryptie methode die niet openbaar

Ik zou per definitie nooit vertrouwen hebben in software pakketten die:
1. Hun eigen algoritme verzonnen hebben. Hier zijn specialisten voor welke over de gehele wereld jaren zitten te puzzulen op dingen als AES.
2. Een algoritme welke niet opensource is.

De overheid maakt geen gebruik van dat soort encryptie methoden (en ik kan het weten ) die maken alleen gebruik van encryptie standaarden.

YellowOnline schreef op dinsdag 16 maart 2010 @ 18:33:
Wij zijn op zoek naar een manier om documenten te encrypteren volgens de classificatie "EU Restricted". Om dat te kaderen: de volgorde van de EU is "EU Top Secret", "EU Secret", "EU Confidential", "EU Restricted" en "EU Council".

Grootste kanshebber is Chiasmus van de Duitse Bundesamt für Sicherheit in der Informationstechnik.

Dan ben ik benieuwd hoe jullie een eventuele keuze voor dit pakket eventueel zouden willen motiveren? Op basis waarvan beschouw je het onderliggende algoritme als veilig? Praatjes van de fabrikant?

Geen flauw idee wat de gangbare standaarden zijn binnen de EU, maar een reviewed standaard als AES klinkt me een stuk veiliger in de oren...

YellowOnline schreef op dinsdag 16 maart 2010 @ 19:22:
[...]


Euh, de Duitse overheid wel. En de Franse heeft haar eigen standaard encryptie. Wij (= deel Belgische overheid) twijfelen tussen de Franse en de Duitse.

Ik weet dat in nederland gewoon de standaarden worden gebruikt en ook vertrouwd. dus ik snap ook niet waarom men voor een niet standaard uniek encryptie algorithme zou kiezen.
Gaat de fabrikant failliet of stopt die met het maken van het rpoduct ben je pas echt ver van huis.

Om even aan te geven hoe enorm goed dit getest is:

Bugfix der Windows-Version

* Bis Version 1.2 kommt es in seltenen Fällen (ca. 0,2 % der Verschlüsselungen) vor, dass die Chiffratdatei nicht mehr zu entschlüsseln ist. Dieser Fehler betrifft nicht die Sicherheit des Produkts und ist ab Version 1.3 behoben.

Oftewel, als je versie 1.2 draait heb je ~0.2% kans dat je de data gewoon kwijt bent.

YellowOnline schreef op dinsdag 16 maart 2010 @ 19:15:
Voor de duidelijkheid: ik vroeg om ervaringen met Chiasmus, ik wou geen discussie starten over soorten encryptie

Daar ontkom je niet aan en dat zou je ook moeten weten. Er word altijd breed geantwoord. Niet alleen ervaringen met Chiasmus zijn interessant (ook niet voor jou) maar ook de redenen erachter en de alternatieven. Wees blij dat mensen meedenken in plaats van als domme schapen gewoon mee te lullen met elk verhaal

RolfLobker schreef op dinsdag 16 maart 2010 @ 19:42:
[...]


Daar ontkom je niet aan en dat zou je ook moeten weten. Er word altijd breed geantwoord. Niet alleen ervaringen met Chiasmus zijn interessant (ook niet voor jou) maar ook de redenen erachter en de alternatieven. Wees blij dat mensen meedenken in plaats van als domme schapen gewoon mee te lullen met elk verhaal

Op zich wel, maar ik denk dat PussyLover niet op de plek zit om dat uit te maken

Ik had er in ieder geval nog nooit van gehoord. Ik vraag me ook af of alleen die encryptie genoeg is om de classificatie van de gegevens te krijgen...

Zoiezo vraag ik me af want zover ik weet zijn er gewoon regels met omgaan van dat soort data inclusief de verplichte encryptie en welke encryptie nodig is.

Wij zijn op zoek naar een manier om documenten te encrypteren volgens de classificatie "EU Restricted". Om dat te kaderen: de volgorde van de EU is "EU Top Secret", "EU Secret", "EU Confidential", "EU Restricted" en "EU Council".

Als je met zo'n opening begint kan dit topic eigenlijk wel op slot.

Het is namelijk zo dat wanneer je een document wil encrypten zodat deze voldoet aan een classificatie, dan zal er ook gespecificeerd zijn hoe deze geencrypt zal moeten zijn.

Dus zoeken naar een methode is dan niet aan jouw, maar staat in je classificatie.
kortom: vraag het eens aan een collega (gok ik) die wel ervaring heeft ipv op een publiek forum.

trouwens is het in dit soort gevallen wel handig om iets meer achtergrondinfo te geven. Dingen als wie 'we' zijn, en met welk doel er geencrypt moet worden.

Het is namelijk zo dat wanneer je een document wil encrypten zodat deze voldoet aan een classificatie, dan zal er ook gespecificeerd zijn hoe deze geencrypt zal moeten zijn.

Niet persee. In dergelijke richtlijnen kan slechts staan dat er een voldoende sterk versleutelings algoritme gebruikt moet worden.

@Topicstarter: Ik ken het programma niet, maar ik kom wel regelmatig met producten in aanraking die het approval van de BSI hebben. Op zich zijn ze bij de BSI vrij goed in het beslissen of een stukje software voldoende sterk is. Dus geen slechte punten op dat vlak voor de BSI
Wat ik echter niet begrijp is dat je niet naar de Nederlandse tegenhanger de NBV hebt gekeken. Ben je werkzaam in een overheidsinstantie of niet? Laat maar, ik weet genoeg.
Heeft België geen dergelijke tegenhanger?

Als je een dergelijk product gaat implementeren moet je iig goed letten op beheerbaarheid, sleutelbeheer en disaster recovery situaties.

Nogmaals: Ik ken het product niet, maar als ik kijk naar de cryptografische specs

Kern des Programms ist der BSI-eigene symmetrische Blockchiffrieralgorithmus Chiasmus. Chiasmus wurde speziell für Software-Implementierungen entwickelt. Chiasmus verschlüsselt 64-Bit-Blöcke in Abhängigkeit eines 160-Bit-Schlüssels in 64-Bit-Blöcke. Das Programm verwendet Chiasmus im CBC-Modus (cipher block chaining). Die effektive Schlüssellänge beträgt 128 Bit, die restlichen 32 Bit bilden eine Checksumme.

Een 64bit blockcypher met een effectieve sleutellengte van 128bit in CBC-mode. De 32bits checksum lijkt mij te veel op een MD5 hash, dus ik krijg het er niet heel warm van.

Kijk voor de gein eens naar Sophos/Utimaco LANcrypt. Die gebruikt gewoon 256bit AES en het sleutelbeheer is ook goed ingeregeld. Dit product heeft ook een stempel van de BSI btw

Update:
Ik heb net even in mijn naslagwerk gekeken. (Modern Cryptanalysis) Daarin komt het hele algoritme niet voor.
Het is dus waarschijnlijk een proprietary stukje software waarvan nog nooit door anderen naar de implementatie en werking is gekeken.

[ Voor 8% gewijzigd door Equator op 18-03-2010 07:24 ]

Equator schreef op woensdag 17 maart 2010 @ 09:20:
Het is dus waarschijnlijk een proprietary stukje software waarvan nog nooit door anderen naar de implementatie en werking is gekeken.

Zo'n vermoeden had ik al, maar ik heb dan toch de mening dat je voor een niet-propritair stuk encryptie kan wil kiezen.

[Edit] Kleine subtiliteit aangepast. Thanks

[ Voor 9% gewijzigd door DiedX op 18-03-2010 16:16 ]

Tuurlijk kan je er voor kiezen.. Dat deden ze bij de OV-chip kaart ook, en de toegangspassen van 50% van alle overheidsgebouwen. De standaard gebruikte versleuteling van de Mifare chip was voldoende

Oke, je hebt de keuze, maar IMO wil je voor een dergelijk hoge eis geen proprietary versleuteling gebruiken..

quote: http://74.125.77.132/sear...nk&gl=nl&client=firefox-a

This software is already used by the General Secretariat of the European Union. At the annual meeting in Berlin, the Member States decided to have their points of contact use this software on a voluntary basis. For this purpose, these now have to be equipped with the software required and the corresponding encryption data. The General Secretariat of the Council of the European Union has been asked to make the encryption software available to the points of contact and to assume the key administration. The distribution of this software to the Member States interested is expected to be completed by mid-2008.

quote: http://www.straz.gov.pl/d...bcn_study_reportv1.00.pdf

Chiasmus and EurOpS ATLAS are used mainly by national authorities dealing with terrorism-related issues, such as Intelligence Services and Counter-Terrorism Offices of EU Member States to exchange mostly information on suspects of terrorism and arrests.

Dat gezegd gequote hebbende is het gebruik van een niet-gepubliceerd algoritme ook imho bepaald niet vanzelfsprekend. Zie inderdaad bijv. het OV-chip-/Mifare-debacle. Als je bang bent dat er drielettercode-diensten meekijken, neem dan een opensource app i.c.m. uitgemangeld algoritme. Bijv. Truecrypt. (Maar let inderdaad op key-beheer etc).

Kan is inderdaad wil En we liggen op 1 lijn

Het probleem is dat je de tooling wel functioneel kunt testen, maar dan nog niks weet over wat het belangrijkste is: of het algoritme deugt en goed geïmplementeerd is. Daar heb je peer-review door crypto-experts voor nodig.

Ik zou het dan ook liever bij bekendere algoritmes en implementaties daarvan houden.

Blijkbaar heeft YellowOnline het niet voor het zeggen bij deze keuze: Jammer

Wij moeten daar echter niet op door blijven hameren.

Hier geen ervaring met Chiasmus - maar gezien mijn quote zit er op 'fietsafstand' van jou wel een en ander. Kan je (afhankelijk van je functie) niet zien hoe ver je komt met bellen? Geen idee hoe ver je komt gezien het onderwerp maar proberen kan imho best en iig hier in NL is men best bereid mede-overheden te helpen door een uurtje te praten

YellowOnline schreef op donderdag 18 maart 2010 @ 18:37:
Zoals al gezegd door andere posters heb ik inderdaad niets te zeggen over het soort encryptie dat in gebruik genomen wordt. Ik ga binnenkort wel de boel testen. Vandaar dat mijn vraag ook was of iemand er ervaring mee heeft

Ik heb er geen ervaring mee gezien ik het, mede op basis van de reeds gegeven redenen, niet zo kiezen. Maar eh, zo moeilijk is het vinden van ervaringen toch niet? Bel de leverancier en vraag een aantal referenties zou ik zeggen. De kans dat je hier iemand tegenkomt die Chiasmus professioneel gebruikt is nihil denk ik.