<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jun 23, 2020 at 2:58 AM John Gilmore <<a href="mailto:gnu@toad.com" target="_blank">gnu@toad.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Phillip Hallam-Baker <<a href="mailto:phill@hallambaker.com" target="_blank">phill@hallambaker.com</a>> wrote:<br>
> The first, I am calling 'leakage' where an unintended side channel leaks<br>
> information to an attacker. Timing attacks, power etc come under this<br>
> heading.<br>
> <br>
> The second I am calling 'exfiltration' in which the system designer<br>
> intentionally leaks information. For example, Dual EX RNG, or Moti<br>
> Yung's smuggling the RSA seed in the top bits of an RSA modulus.<br>
> <br>
> In between there are induced side channel attacks such as hitting a chip<br>
> with radiation while it is operating, smartcard in microwave, etc.<br>
<br>
NSA's job is to do the second while convincing you that it's the first.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">That is one of their jobs.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">In the wake of the Snowden breach coming out, I was at a meeting of governmenty types where it was being discussed and the general opinion was Alexander should not resign because PRISM etc was doing his job. I pointed out that the NSA was responsible for protecting the nation's secrets and had just suffered a catastrophic breach. it was shameful Alexander hadn't resigned already. Shocked faces all round. Two weeks later he was gone and that was now seen as inevitable.</div></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Another major change in the NSA mission is going to come from the outcome of the 2016 election. The policy of disrupting attempts to deploy strong crypto has to end. It was the lack of end-to-end encryption that allowed Putin to hack the DNC and collude with a traitor to install him in the Whitehouse.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
They approached Sun in the 1990s to subvert their network encryption<br>
system, suggesting that rather than using a product of two large primes,<br>
they should use a product of three primes (one small enough to factor<br>
out).  I don't know what Sun would have done in other circumstances, but<br>
they turned down that offer on the grounds that once the back door was<br>
later discovered, it would be obvious from external examination that it<br>
was "exfiltration" and not mere "poor design".  In other words, it<br>
lacked deniability.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">It also violates the NOBUS principle. Anyone who reverse engineers the code can use the backdoor. Dual-EC-RNG only allows the party that knows the private key to work out the sequence.</div></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Since the only difference between first and second is the motivation<br>
of the designer, which is unknown and unknowable, is there really a<br>
worthwhile distinction?<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">I think it is very useful because even if you control the entire process and still do things in a trusted fab etc. the laws of physics still means you face risks from leakage.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Threshold allows for separation of duties which can in turn address some of the exfiltration attacks. And some algorithms are much more vulnerable to exfiltration than others. RSA has the huge modulus with 1000 bits that can be used as a side channel. ECC doesn't offer anything remotely similar.</div><br></div><div><br></div><div> </div></div></div>