MEGA: Malleable Encryption Goes Awry

MEGA is a leading cloud storage platform with more than 250 million users and 1000 Petabytes of stored data. MEGA claims to offer user-controlled, end-to-end security. This is achieved by having all data encryption and decryption operations done on MEGA clients, under the control of keys that are only available to those clients. This is intended to protect MEGA users from attacks by MEGA itself, or by adversaries who have taken control of MEGA’s infrastructure. We provide a detailed analysis of MEGA’s use of cryptography in such a malicious server setting. We present five distinct attacks against MEGA, which together allow for a full compromise of the confidentiality of user files. Additionally, the integrity of user data is damaged to the extent that an attacker can insert malicious files of their choice which pass all authenticity checks of the client. We built proof-of-concept versions of all the attacks. Four of the five attacks are eminently practical. They have all been responsibly disclosed to MEGA and remediation is underway. Taken together, our attacks highlight significant shortcomings in MEGA’s cryptographic architecture. We present immediately deployable countermeasures, as well as longer-term recommendations. We also provide a broader discussion of the challenges of cryptographic deployment at massive scale under strong threat models

Puncturable Key Wrapping and Its Applications

We introduce puncturable key wrapping (PKW), a new cryptographic primitive that supports fine-grained forward security properties in symmetric key hierarchies. We develop syntax and security definitions, along with provably secure constructions for PKW from simpler components (AEAD schemes and puncturable PRFs). We show how PKW can be applied in two distinct scenarios. First, we show how to use PKW to achieve forward security for TLS 1.3 0-RTT session resumption, even when the server\u27s long-term key for generating session tickets gets compromised. This extends and corrects a recent work of Aviram, Gellert, and Jager (Journal of Cryptology, 2021). Second, we show how to use PKW to build a protected file storage system with file shredding, wherein a client can outsource encrypted files to a potentially malicious or corrupted cloud server whilst achieving strong forward-security guarantees, relying only on local key updates

When Messages are Keys: Is HMAC a dual-PRF?

In Internet security protocols including TLS 1.3, KEMTLS, MLS and Noise, HMAC is being assumed to be a dual-PRF, meaning a PRF not only when keyed conventionally (through its first input), but also when swapped and keyed (unconventionally) through its second (message) input. We give the first in-depth analysis of the dual-PRF assumption on HMAC. For the swap case, we note that security does not hold in general, but completely characterize when it does; we show that HMAC is swap-PRF secure if and only if keys are restricted to sets satisfying a condition called feasibility, that we give, and that holds in applications. The sufficiency is shown by proof and the necessity by attacks. For the conventional PRF case, we fill a gap in the literature by proving PRF security of HMAC for keys of arbitrary length. Our proofs are in the standard model, make assumptions only on the compression function underlying the hash function, and give good bounds in the multi-user setting. The positive results are strengthened through achieving a new notion of variable key-length PRF security that guarantees security even if different users use keys of different lengths, as happens in practice

Puncturable Symmetric KEMs for Forward-Secret 0-RTT Key Exchange

The latest version of the Transport Layer Security protocol (TLS 1.3) introduces a pre-shared key zero round-trip time (0-RTT) mode. This enables session resumption with no latency before the first application data can be sent, at the cost of losing forward secrecy and replay protection. There is high demand from Internet companies for this performance-enhancing feature, and some service providers have chosen to already enable it by default despite the security compromise currently associated to it. In this work we explore the possibility to achieve forward secrecy for resumed sessions in 0-RTT mode, mitigating the security risks presently adherent to it. To abstract the key exchange in TLS 0-RTT mode, we introduce a new primitive which we call symmetric-key key encapsulation mechanisms (S-KEMs). Forward secrecy is attained through ``puncturing'' of the secret key, which we capture formally by puncturable S-KEMs (PS-KEMs). Furthermore, to enable optimizations that leverage ordering and to achieve the greatest possible generality of our model, we also introduce stateful versions of S-KEMs and PS-KEMs. We examine the relationship between these new primitives, give game-based functionality and security notions and show how pseudorandom functions (specifically based on the Goldreich-Goldwasser-Micali construction) can be used to build instantiations which meet the security goals.I den senaste versionen av kommunikationsprotokollet Transport Layer Security (TLS 1.3), introducerades en funktion som möjliggör att sessioner återupptas i ``zero round-trip time'' (översatt: noll tur- och returtid, förkortat 0-RTT) vilket innebär att snabbare uppkoppling är möjlig eftersom krypterad applikationsdata kan skickas redan med det första dataflödet från klient till server. För att uppnå detta används krypteringsnycklar som har förhandlats fram i tidigare sessioner, så kallade ``pre-shared keys'' (översatt: tidigare delade nycklar). Tyvärr innebär den nya funktionen att kommunikationen inte längre är säker mot framtida korruption av dessa långlivade nycklar. Detta kallas för avsaknad av ``forward secrecy'' (översatt: framåtsäkerhet). Trots de lägre säkerhetsgarantierna är efterfrågan på 0-RTT-funktionen stor bland internetleverantörer eftersom den ger en markant hastighetsökning, framförallt för mobila nätverk där latensen är hög. I det här arbetet undersöker vi möjligheten att behålla den snabba återuppkoppling, men samtidigt uppnå samma säkerhet som vid en vanlig anslutning. Detta görs genom en abstraktion av nyckelutbytet i en TLS-session, vilket vi modellerar med ett nytt kryptografiskt objekt som vi har döpt till ``symmetriska nyckelinkapslingsmekanismer'' (S-KEMs). Forward secrecy uppnås genom införandet av ``nyckelpunktering'', vilket vi modellerar med s.k. punkterbara S-KEMs (PS-KEMs). Vi formaliserar funktionalitet- och säkerhetsmålen med hjälp av spelbaserade definitioner för S-KEMs och PS-KEMs. Vi ger även exempel på hur algoritmer kan konstrueras för att uppnå målen, samt utvidgar modellen till att även innefatta ordningsföljden av återanslutna sessioner för att möjliggöra optimeringar.Integritet på nätet eller snabb uppkoppling? Med dagens krypteringsmetoder är det antingen eller, men i framtiden behöver vi kanske inte kompromissa. ------------------------------------------------------------------- I takt med att samhället digitaliseras flyttas alltmer kommunikation till internet, vilket i många fall gör livet smidigare. Samtidigt blir vi mer sårbara då data som skickas över nätet eller lagras online riskerar att läcka ut och bli allmänt känd. För att värna om vår integritet och säkerhet vidtas åtgärder för att dölja information som skickas via nätet, men dessa insatser är tidskrävande och innebär extra överföringar vilket gör uppkopplingen långsammare. Mer specifikt skyddas internetanslutningar till webbadresser som inleds med 'https' idag av kryptering som gör kommunikationen oläslig för alla utomstående. Utan tillgång till nycklar som "låser upp" och dechiffrerar de krypterade meddelandena är de inget mer än rappakalja. För att de kommunicerande parterna ska kunna ta del av innehållet krävs därför att de utbyter krypteringsnycklar. Detta sker i början av uppkopplingen för att se till att krypteringen i varje anslutning är oberoende av tidigare sessioner. Man kan säga att nycklarna är som engångsartiklar. De förhandlas fram, används i en session och slängs sedan. Själva utbytet, när parterna kommer överens om nycklarna, bromsar uppkopplingen och gör att anslutningen upplevs som långsam. Men det finns snabbare sätt. Nyligen lanserades en snabbuppkopplingsfunktion som gör det möjligt att återansluta utan det inledande nyckelutbytet. Förenklat kan man säga att om de kommunicerande parterna har varit i kontakt tidigare och redan delar nycklar från en tidigare session, så kan dessa återanvändas för att kryptera även framtida anslutningar. Effekten blir en markant prestandaökning. Tyvärr ger den nya funktionen lägre säkerhetsgarantier än vid ett fullt nyckelutbyte. Detta eftersom återanvändningen av kryptografiskt material potentiellt leder till att alla sessioner där samma nycklar har använts blir oskyddade om nycklarna läcker ut. Det finns naturligtvis alltid en risk att någon knäcker krypteringen eller kommer över de nycklar som används, men då engångsnycklar används leder det bara till att kommunikationen i den pågående sessionen blir synlig för förövaren. Om nycklarna däremot har använts till flera sessioner, riskerar alla dessa att bli oskyddade. I det här arbetet undersöks möjligheten att behålla den snabba uppkopplingen som den nya funktionen ger, men utan att behöva kompromissa om säkerheten. Idén bygger på ett smart sätt att återanvända nycklar. Istället för att använda exakt samma nyckel till flera sessioner uppdateras nyckeln mellan varven, så att tidigare sessioners kommunikation inte går att dekryptera om den nya, förändrade nyckeln läcker ut. Operationen kallas för punktering, och man kan föreställa sig att förmågan att dekryptera vissa meddelanden försvinner när nyckeln punkteras, ungefär som när en biljett klipps efter användning. Den går fortfarande att använda till framtida sessioner, men avslutad kommunikation som nyckeln har "punkterats på" är lika oläsbar med den punkterade nyckeln som utan den. Det här projektet har gått ut på att skapa en modell som visar hur punkterade nycklar skulle kunna användas för att ge både snabb uppkoppling och den önskade säkerheten. Modellen består av en ny matematisk abstraktion som fångar hur den nya funktionen tillåter snabba uppkopplingar. Den innehåller också en påbyggnad som beskriver hur punktering kan användas för högre säkerhetsgarantier. Modellen visar att det i teorin är möjligt att genom punktering uppnå både hög säkerhet och prestanda, men att det finns vissa nackdelar med tillvägagångssättet. Framförallt är det problematiskt att de punkterade nycklarna kräver mer lagringsutrymme än vanliga nycklar, vilket i vissa fall kan vara ett hinder. I arbetet har det därför också undersökts hur ordningsföljden av återanslutna sessioner skulle kunna utnyttjas för att hålla ned storleken på de punkterade nycklarna. Detta genom att designa algoritmer så att det vid normal användning skapas platseffektiva "punkteringsmönster". Studien visar att det finns potential hos förslaget. För att avgöra om idén med punkterbara nycklar är värd att lansera i stor skala krävs dock fortsatta undersökningar där konstruktioner implementeras och testas på verkliga scenarion