<div dir="ltr"><div class="gmail_quote">Reminder for our BUSEC morning tomorrow. &nbsp;First, Rafael Pass from Cornell will talk about cryptography with tamperable randomness. Following that, Andrea Bittau from Stanford will give a CS colloquium on software security.&nbsp; Following that, we&#39;ll have lunch at 12:15 in the BUsec lab.&nbsp; Abstracts below.<div dir="ltr">


<p>Note the unusual time of the talk and lunch! We start at 9:30 and lunch is at 12:15. See you there!</p><p>Sharon</p><p>&nbsp;BUsec Calendar:&nbsp; <a href="http://www.bu.edu/cs/busec/" target="_blank">http://www.bu.edu/cs/busec/</a><br>

&nbsp;BUsec Mailing list: <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" target="_blank">http://cs-mailman.bu.edu/mailman/listinfo/busec</a><br>
&nbsp;How to get to BU from MIT: The CT2 bus or MIT&#39;s &quot;Boston Daytime Shuttle&quot; <a href="http://web.mit.edu/facilities/transportation/shuttles/daytime_boston.html" target="_blank">http://web.mit.edu/facilities/transportation/shuttles/daytime_boston.html</a></p>


<p><br>****</p><div>On the Impossibility of Cryptography with Tamperable Randomness<br></div><div>Rafael Pass, Cornell</div><div>Wed, March 19, 9:30am &ndash; 11:00am<br>MCS137</div><p>We initiate a study of the security of cryptographic primitives in the presence of efficient tampering attacks to the randomness of honest parties. More precisely, we consider p-tampering attackers that may efficiently tamper with each bit of the honest parties&rsquo; random tape with probability p, but have to do so in an &ldquo;online&rdquo; fashion. Our main result is a strong negative result: We show that any secure encryption scheme, bit commitment scheme, or zero-knowledge protocol can be &ldquo;broken&rdquo; with probability O(p) by a p-tampering attacker. The core of this result is a new Fourier analytic technique for biasing the output of bounded-value functions, which may be of independent interest.</p>


<p>We also show that this result cannot be extended to primitives such as signature schemes and identification protocols: assuming the existence of one-way functions, such primitives can be made resilient to 1/poly-tampering attacks where n is the security parameter.</p>


<p>Joint work with Per Austrin, Kai-Min Chung, Mohammad Mahmoody, Karn Seth</p><div><br>Practical and Principled Security</div><div>Andrea Bittau.Stanford.<br>Wednesday, March 19, 2014 11:00-12:15 <br>Location: Hariri Institute</div>


<p>Most deployed defenses in software security are point solutions to specific attacks, leading to an arms race. Unfortunately many principled solutions remain undeployed partly due to complexity, but possibly also because of the false sense of security people perceive from point solutions. So are deployed solutions really good enough in practice? If not, how can we make principled solutions more practical and deployable? Modern deployed protection mechanisms can in fact be defeated, as we show with our new Blind Return Oriented Programming (BROP) attack. Using BROP we exploited a recent vulnerability in the nginx web server, running on 64-bit Linux with ASLR, NX and canaries enabled. BROP also shows that hackers can sometimes exploit proprietary services for which the source and binary are unknown. While there are established security principles that could have prevented BROP, unfortunately they are not deployed. For example, privilege separation suggests to split high-privilege applications into multiple lesser-privilege components. How to achieve this ideal in practice is not obvious: how do we split existing code, and how do we make the resulting decomposed system run fast? I&#39;ll briefly present Wedge, a privilege separation system that helps splitting existing code, and then focus on Dune, a generic platform that makes principled security practical: Dune leverages modern CPU hardware to make systems like Wedge run fast. Dune enables practical performance improvements in a range of applications beyond security, as well.</p>


<p>Host: Rich West.</p><p><br>CPSA: An Accessible Protocol Analysis and Design Tool<br>Moses Liskov. MITRE. <br>Wed, March 26, 10am &ndash; 11am<br>MCS137</p><p>The Cryptographic Protocol Shapes Analyzer (CPSA) is an open-source tool that attempts to enumerate all essentially different possible executions of a protocol given some initial assumptions.&nbsp; We call such executions the &ldquo;shapes&rdquo; of the protocol.&nbsp; Many naturally occurring protocols have only finitely many, indeed very few shapes.&nbsp; Flaws in a protocol&rsquo;s design can be observed clearly in the shapes.&nbsp; This allows a protocol designer to obtain frequent feedback during the design process, even without a rigorous articulation of the protocol&rsquo;s security goals. <br>


</p></div>
</div><br><br clear="all"><div><br></div>-- <br>Sharon Goldberg<br>Computer Science, Boston University<br><a href="http://www.cs.bu.edu/~goldbe" target="_blank">http://www.cs.bu.edu/~goldbe</a>
</div>