solidot此次改版内容包括服务器更新、编程语言、网站后台管理的优化、页面和操作流程的优化等。
加密技术
pigsrollaroundinthem(39396)
发表于2017年05月17日 17时23分 星期三
来自来自以色列的信息
美国参议院变得更安全了些。参议院警卫部门最近通知工作人员,加密通讯应用 Signal 已被批准使用。Signal 默认启用端对端加密,被安全研究人员和专家认为是最安全的加密消息应用。自去年民主党全国委员会在选举期间遭到入侵后,美国政界日益注重安全。虽然加密消息应用被认为与记录保存法律相冲突,但大部分议会成员被允许在手机上使用加密消息应用,只要他们的记录不具有历史价值。
加密技术
pigsrollaroundinthem(39396)
发表于2017年05月16日 17时52分 星期二
来自拖死它们
数学很难,今天的大部分安全通信设施是建立在数学因式分解的困难之上。因式分解小的整数十分简单,但大数则需要耗费大量时间,无法在比较短的时间内成功分解。RSA 加密系统就是基于大数因式分解。研究人员认为,擅长并行计算的量子计算机将能快速分解大数,使得 RSA 加密算法失去用武之地。但研究人员发布了一篇预印本,认为现有的加密系统仍然可以通过增加位数去加大分解难度,让量子计算机也束手无策。现有的 RSA 算法多使用几千位长的整数作为密钥,但如果将密钥增加到 TB 字节长度?论文作者估计,在量子计算机上使用 Shor 算法也需要 2 100 次操作,因此即使量子计算机变得切实可行 RSA 也不会死亡。量子计算机专家 Scott Aaronson 认为,如此长的密钥,对于大多数应用来说加密和解密的成本会变得难以忍受。
加密技术
pigsrollaroundinthem(39396)
发表于2017年05月14日 16时27分 星期日
来自晚做总比不做好
在本周释出的例行安全更新中,微软向 Edge 和 Internet Explorer 浏览器推送了新的安全策略,停止支持 SHA-1 证书,不再加载使用 SHA-1 证书的网站。微软是第四家停止支持 SHA-1 签名证书的浏览器开发商,在这之前,Chrome 于今年一月、 Firefox 于今年二月,苹果于今年三月都停止了对 SHA-1 证书的支持。今年早些时候,Google  和 CWI Amsterdam 合作演示了对 SHA-1 的碰撞攻击,公布了两个 SHA-1 哈希值相同但内容不同的 PDF 文件。在微软操作系统安装最新的更新之后,浏览器加载 SHA-1 证书网站时将会显示出错信息。
加密技术
pigsrollaroundinthem(39396)
发表于2017年04月30日 22时37分 星期日
来自可能只是拿了手机看了一下存档
3 月 22 日,英国出生的穆斯林 Khalid Masood 在英国议会大厦外杀死四个人前发送了一段加密消息。他使用的消息应用是 WhatsApp,而 WhatsApp 采用了端对端加密,这意味着即使 WhatsApp 也不知道用户发送的信息。英国内政大臣 Amber Rudd 曾表示科技公司应该配合执法机构,停止向恐怖分子提供秘密通信的加密消息应用。但现在,英国安全机构设法破解了 Masood 的加密 WhatsApp 信息,出于安全理由破解的技术细节没有披露,这一技术将可以用于未来的加密信息破解。
加密技术
pigsrollaroundinthem(39396)
发表于2017年03月26日 21时48分 星期日
来自英社想要时刻看着你
英国内政大臣 Amber Rudd 周日表示科技公司应该配合执法机构,应该停止向恐怖分子提供秘密通信的加密消息应用。当地媒体报道,英国出生的 Khalid Masood 在英国议会大厦外杀死四个人前发送了一段加密消息。今天的科技公司普遍提供了端对端加密消息应用,Rudd 对此表示这是完全不可接受的,恐怖分子不应该有地方可以躲避,WhatsApp 等科技公司不应该向恐怖分子提供可以彼此通信的秘密场所。她说,应该确保情报机构有能力渗透进入类似加密 WhatsApp 消息等不同情况。
加密技术
pigsrollaroundinthem(39396)
发表于2017年03月08日 20时07分 星期三
来自系统安全和密码工程一样重要
某个盖子 写道 "正如之前本站报道,Wikileaks 开始披露代号为 Vault 7 CIA 黑客工具。下面就来浏览一下具体内容:

一. CIA 能入侵 Android 和 iOS 移动设备,也拥有入侵几乎任何计算机的能力。文件表明,该情报机构曾参与一项行动,旨在编写运行在不同平台上的多种恶意程序,在人们使用的几乎任何电子设备上收集谍报,这包括 iPhone、Android,以及 Windows、macOS 和 Linux 计算机。

二. 假如系统已经被入侵了,那么 Signal、Telegram 和 WhatsApp 就完全没有意义了。加密应用不可能比运行他们的设备更安全,如果操作系统被入侵了,那么在消息被加密发送之前就已经可以被窃取了。主要注意的是,这并不意味着破解加密本身。

三. CIA 可将智能电视升级为 “电幕”,窃听周围的谈话。文件中,描述了一个名为 Weeping Angel 的项目,相当引人注目。情报机构可以把恶意程序 “推送” 到智能电视机上,将电视变为窃听装置,同时可将电视伪装为关机状态。

四. 该情报机构正在探索入侵汽车,引发撞车事故的方法,试图让 “无法被发现的暗杀” 成为可能。许多文档中描述的项目用途未知,但看起来十分危险。其中一份文档表明了 CIA 正在研究远程入侵汽车并使其撞车的方法。

五. CIA 隐瞒漏洞,同样的漏洞也能被其他入侵者使用。文件中涉及的漏洞涉及到 Apple、Google 和 Microsoft 等大型厂商的产品,但由于 CIA 将安全漏洞保密,这些漏洞无法被修复。

六. 更多机密文件还在路上。本次泄密的文件共有 8,378 份。其中许多已经被阅读和分析,但还有大量文件无人过目,更有甚者,阿桑奇表示,Vault 7 仅仅是 Year Zero 泄密计划的第一弹,更多其他的机密文件尚未发布。 你可以在维基解密的网站上阅读第一批机密文件。《The Intercept》则进行了《CIA 如何将智能电视变成窃听器》的深入报道,值得一读。"上面这张图也值得一看...

加密技术
pigsrollaroundinthem(39396)
发表于2017年03月06日 16时27分 星期一
来自广告公司需要了解你
Google 在 Github 上开源了 Chrome 的实验性加密邮件扩展 E2EMail。根据 Google 一贯的做法,开源意味着这个项目进展不利。在 NSA 告密者 Edward Snowden 曝光 NSA 的大规模监视活动之后,Google 宣布将为 Gmail 提供端对端加密支持。三年后的今天端对端加密支持并没有变为现实,而 E2EMail 扩展就是设计用于加密和解密 Gmail 邮件,开源意味着 Google 要将端对端加密的开发工作交给社区开发者。Google 的官方博客坚决否认它放弃了电子邮件加密工具的开发。但加密专家和隐私社区的成员视 Google 此举为确认搁置端对端加密的努力。霍普金斯大学的 Matthew Green 教授说,Google 发出的真正信息是它不再作为一个 Google 项目活跃开发了。
加密技术
pigsrollaroundinthem(39396)
发表于2017年02月24日 15时34分 星期五
来自国家级攻击者
Google 宣布了对 SHA-1 哈希算法的首个成功碰撞攻击。所谓碰撞攻击是指两个不同的信息产生了相同的哈希值。作为碰撞成功的证明,Google 发布了两个 PDF 文件,SHA-1 哈希值相同但内容不同。这一成果是 Google 与阿姆斯特丹的 CWI Institute 合作实现的。现在,只要攻击者有充足的计算资源,SHA-1 的碰撞攻击将成为可能。在这项研究中,攻击所需的计算量十分惊人,用 Google 说法,它用了 6,500 年的 CPU 计算时间去完成了碰撞的第一阶段,然后用了110 年的 GPU 计算时间完成第二阶段。Google 督促仍然使用 SHA-1 的用户迁移到更新的哈希算法如 SHA-256 和 SHA-3。好消息是,目前还没有方法同时找到 MD5和 SHA-1 的碰撞。
加密技术
pigsrollaroundinthem(39396)
发表于2017年02月14日 17时18分 星期二
来自抛弃PGP
在网络大炮的时代,Let's Encrypt CA 正致力于推动 HTTPS 的普及;而在后 Snowden 时代,加密电子邮件也日益引起用户的关注。但如果你想自己加密电子邮件,即使你精通技术,整个过程也未必是一件令人愉快的事情。软件开发者 James Stanley 发表了一篇引起广泛关注的博客文章,他称加密电子邮件在 2017  年仍然是一件痛苦的事情。他尝试使用了邮件客户端 Thundebird 的一个加密扩展 Enigmail,结果在一开始生成密钥的时就遭遇了一个挑战:Enigmail 包含了一个 bug,会在执行生成密钥操作时挂起。他说,PGP 是在 26 年前发布的,加密电子邮件从来不是一件新鲜事,但对不熟悉的用户来说加密电子邮件仍然有着巨大的门槛。
加密技术
pigsrollaroundinthem(39396)
发表于2017年02月13日 13时19分 星期一
来自我们这里是用头罩蒙住用轮椅带走
前费城警官 Francis Rawls 已被费城联邦拘留中心关押了 16 个月,他的罪行是拒绝按照法官命令解密两个被怀疑有儿童色情的硬盘。在理论上,在他遵守法庭命令前能被无限期的拘留。Rawls 使用了苹果的 FileVault 软件加密了两个硬盘,政府以 1789 年的 All Writs Act 要求他解密被认为包含儿童色情的加密硬盘,但遭到拒绝。美国宪法第五修正案是否能保护公众免于解密数字财产?在这个问题得到解决前,这位前警官可能会被一直关押下去。
加密技术
pigsrollaroundinthem(39396)
发表于2017年01月19日 21时09分 星期四
来自中国网站
主要浏览器开发商正在竞相推动网站用SHA-2替代SHA-1算法签名证书。从1月24日发布的Firefox 51起,Mozilla将成为第一家对SHA-1证书发出警告的主要浏览器开发商。SHA-1算法签名的证书已经不再安全,它容易受到碰撞攻击(collision attacks)和伪造证书。主要浏览器开发商都制定了淘汰SHA-1证书的计划。研究人员扫描了Alexa Top 100万网站的SHA-2合规情况,发现只有536家网站不合规。
加密技术
pigsrollaroundinthem(39396)
发表于2017年01月13日 20时22分 星期五
来自巴西表示将加大罚款
Facebook旗下的移动消息应用WhatsApp启用了端对端加密,社交巨人声称没有人能拦截WhatsApp消息,即使它自己也不能。但最新研究显示,WhatsApp实现端对端加密的方式让它实际上能阅读加密消息。WhatsApp的端对端加密是基于Signal协议,通过生成独一无二的密钥加密消息。然而WhatsApp能强行为离线用户——在发送者和接收者未察觉的情况下——生成新的密钥,用新密钥重新加密消息,发送任何没被标记接收到的消息。这种重新加密和重新发送的方法事实上能让WhatsApp拦截和阅读用户的消息。这一后门是加州伯克利的安全研究员Tobias Boelter发现的。Signal协议不存在该后门。
加密技术
pigsrollaroundinthem(39396)
发表于2017年01月07日 23时49分 星期六
来自一起加密 一起解密
旨在让每个网站都启用HTTPS加密的Let's Encrypt CA公布了它的2016年总结报告:过去一年,Let's Encrypt从支持大约24万活跃证书大幅增长到每天支持超过2000万活跃证书。它最近一天内要签发超过100万个证书,平均每秒响应 6,700个OCSP。2016年,Let's Encrypt被Mozilla, 苹果和Google接受为root CA,微软有望将在不久之后接纳它。根据 Firefox的遥测数据,过去一年浏览器加载的 HTTPS网页比率从39%增长到了49%,加密Web的比例即将超过非加密Web。
加密技术
pigsrollaroundinthem(39396)
发表于2016年12月25日 22时43分 星期日
来自你能用其他人也能用
美国国会加密工作组(Congressional Encryption Working Group)发表报告(PDF)称,任何削弱加密工作的措施都违反美国的国家利益。反对加密后门的报告肯定不会让执法机构FBI感到高兴。国会加密工作组认为国会不应该削弱至关重要的加密技术。密码学专家和信息安全专业人士都认为加密后门是非常困难和不切实际的,设计和实现加密系统后门,让执法机构能例外的访问加密数据,同时还能防御黑客、工业间谍和其他恶意人士,几乎是不可能的任务。
加密技术
pigsrollaroundinthem(39396)
发表于2016年12月25日 19时02分 星期日
来自请黑客帮忙就行了
2016年12月19日,俄罗斯驻土耳其大使 Andrei Karlov 在安卡拉出席画展活动时遇刺身亡。枪手为一位22岁的未值班警察 Mevlüt Mert Altıntaş,他使用自己的警察证件通过了安检。枪手在交火中被杀死,他的身上发现了一部旧的 iPhone 4s 手机,被4位密码锁住。土耳其警方和俄罗斯当局都试图破解密码访问手机中储存的内容。iPhone 4s运行旧版本的iOS系统,被认为没有新版本安全,破解难度并不高。但破解密码的尝试未获得成功,俄罗斯向土耳其派遣了一支技术团队帮助破解手机,据报道手机仍然没有被破解,但俄罗斯团队已经能从手机上提取到部分信息。土耳其也已经向苹果公司发出了帮助解锁的请求。
加密技术
pigsrollaroundinthem(39396)
发表于2016年12月20日 16时36分 星期二
来自椭圆曲线
Google官方博客宣布发布了一组测试工具Project Wycheproof去检查加密库是否包含已知的弱点,源代码在 Apache v2许可证下发布在Github上。Google称它开发了80多个测试用例,发现了40多个安全Bug,如从广泛使用的 DSAECDHC实现中提取私钥。Project Wycheproof以世界最小的 Wycheproof 山的名字命名,意思是山越小越容易攀登,它设计帮助开发者在对加密技术了解不多的情况下实现更安全的加密库。
加密技术
pigsrollaroundinthem(39396)
发表于2016年11月04日 18时50分 星期五
来自交出密钥
今天的互联网暗潮涌动,陷阱无数,HTTPS 可以帮助你抵御部分陷阱。然而 HTTPS 的生态系统严重依赖于CA,而 CA 有着多个令人诟病的问题:证书昂贵;不透明;安全问题严重,比如被入侵签发假证书或错误签发了被用于中间人攻击的证书。Certificate Transparency 政策和 Let’s Encrypt 的出现对 HTTPS 生态系统产生了革命性的影响。卡内基梅隆大学的计算机科学家在预印本网站发表论文,分析了Let’s Encrypt的影响和普及(PDF)。Let’s Encrypt旨在普及 HTTPS,证书免费配置自动,它如今一天要签发5.5万个证书。研究人员分析了从2015年9月17日到2016年5月15日之间的Certificate Transparency日志和使用Let’s Encrypt证书的域名分布,以及这些域名的Alexa排名。他们发现:西欧国家使用的Let’s Encrypt证书的比例最高,其次是北美、日本、新加坡和俄罗斯,中国没有进入前20,使用者估计不会很多;一些网站放弃了现有的证书,转而改用Let’s Encrypt证书,如图所示,流失客户最多的两个CA是 COMODO和StartCom,其中StartCom的新证书最近已被多个浏览器停止信任;使用Let’s Encrypt证书的网站绝大多数位于Alexa排名10万名以下,这一“重尾分布”现象显示 Let’s Encrypt 确实在普及HTTPS。对使用Let’s Encrypt证书的网站的病毒扫描发现,有少数网站被归类为恶意网站,网站拥有者可能是想利用HTTPS试图获得用户的信任。
人工智能
pigsrollaroundinthem(39396)
发表于2016年10月29日 22时21分 星期六
来自E应该叫evil
Google Brain团队创造了两个AI,为防止第三个AI的监听它们发明了自己的加密算法。研究论文(PDF)发表在预印本网站上。被称为 Alice、Bob和Eve的三个神经网络给予了三个特定目标:Alice必须安全的向Bob发送信息,而Bob必须尝试着解密信息,Eve则必须试图监听和破解信息。Alice和Bob相对于Eve的一个优势是它们共享了一个密钥。但最重要是AI并没有被告知如何加密,它们必须靠自己从头开始摸索。除了Alice和Bob共享密钥外,三个AI都是独立的。结果显示,在有些回合Alice和Bob完全失败了,Bob没能够重组出Alice的信息;大部分时间,Alice和Bob设法发展出一套很少犯错的系统,而且它们还能根据Eve的反应改进加密技术。研究人员称,神经网络能学习如何保护它们的通信,只要告诉Alice将保密性置于一切之上。
长城
pigsrollaroundinthem(39396)
发表于2016年10月27日 10时53分 星期四
来自十九大李上李下
由合肥中国科技大学科学家潘建伟领导的京沪量子通信线路项目预计将在今年年底完成。京沪量子通信线路长2000公里,连接北京、济南、合肥和上海四个城市。中国计划将该线路用于广域量子保密通信,使用量子密钥分发(QKD)加密和解密数据。QKD在理论上是无法被恶意第三方监听的,当然实践中总是需要有所取舍的。QKD的挑战在于它将信息编码到光子的量子态,而光子是无法在光纤或空气中无限的传输,距离越长,光子被吸收或散射的可能性越大。这一特点直接影响到量子密钥生成的速度。潘建伟说,即使使用所有最完美的技术,通过1000公里长的光纤发送1比特安全密钥也需要超过300年。为了维持理想的比特率,QKD光纤线路需要每隔100公里刷新信号。但防止量子通信被监听的相同原则也禁止量子密钥不被破坏的拷贝,中国采用的方法是使用信任节点,每个中间节点测量密钥然后用新的光子传输密钥到链路上的下一个节点。京沪量子通信线路使用了32个信任节点创造出一条长2000公里的量子通信线路。这不是理想的安全方法,因为每一个将量子信息转换到非量子信息的节点都是能被监听的薄弱点。潘建伟承认这是它的缺点,但认为其安全性仍然好于传统通信,传统通信线路上的每一个点都能被用于监听。
比特币
pigsrollaroundinthem(39396)
发表于2016年10月26日 15时38分 星期三
来自囤一些
ZCash公司将于10月28日发布同名数字货币,它在很多方面与比特币相同,都是基于数字帐薄区块链技术,但它在一个重要方面与比特币不同——它是真正的匿名的数字货币。比特币的交易都记录在区块链,虽然用户可以生成无数的地址,但并非真正匿名,而ZCash将是第一种将区块链属性和加密属性结合起来的数字货币,加密层让ZCash的交易不会在区块链中留下痕迹,外界唯一知道的事情是有交易发生了。要创造出真正不受政府控制的数字货币,匿名性至关重要。ZCash使用区块链记录和公开广播每一笔的交易,但它隐藏了交易者的所有身份信息。但在不知道身份信息的情况下如果验证交易的真实性?ZCash利用了名叫零知识证明的技术在不披露任何有关货币来自何处又流向何处的信息的情况下验证想要花钱的用户确实拥有货币。ZCash由约翰霍普金斯大学加密专家Matthew Green领导的团队设计,结合了以色列理工学院计算机科学家 Eli Ben-Sasson开发的零知识证明 zk-SNARK。公司CEO Zooko Wilcox视隐私为一种权利,他的公司将控制10%的ZCash数字货币,其余90%由矿工控制。