adv

solidot新版网站常见问题,请点击这里查看。
加密技术
pigsrollaroundinthem(39396)
发表于2018年04月03日 20时05分 星期二
来自坚决封杀
Telegram 告诉俄罗斯监管部门,从技术上说,Telegram 无法将用户账户的密钥交给俄情报部门。数周之前,Telegram 被法庭命令交出这些密钥,否则将有可能在俄遭屏蔽。俄通信监管部门 Roskomnadzor 告知这家公司,它有两周时间把该公司加密消息的读取权限交给俄联邦安全局,否则可能会在俄遭到屏蔽。但 Telegram 的律师在致 Roskomnadzor 的信中表示,Telegram 没办法交出加密消息。Telegram 的普通聊天的内容存储在云服务器上,聊天用户数据被分开存储,不会存在某一处。该公司还提供 “私密对话” 功能,对话信息所用的密钥每几分钟就会更改,任何数据都不会被存储,一小段时间后信息将会被自动删除。该公司的最新举动使得 Roskomnadzor 有理由要求法庭对这款应用采取行动,这可能导致 Telegram 在下月的上诉流程后在俄遭到屏蔽。
加密技术
pigsrollaroundinthem(39396)
发表于2018年03月25日 22时21分 星期日
来自网络监听升级
互联网工程指导委员会批准了传输层安全性协议的最新规格版本 TLS 1.3。TLS 被广泛用于创建安全连接,TLS 1.3 是基于 TLS 1.2,主要区别是移除了较少使用的弱加密算法,移除 MD5 和 SHA-224 哈希支持,请求数字签名,集成 HKDF,移除许多不安全或过时特性的支持,等等。
审判
pigsrollaroundinthem(39396)
发表于2018年03月21日 11时24分 星期三
来自依法治国 端对端加密就没事
流行的加密消息应用 Telegram 试图阻止俄罗斯安全机构获得密钥访问用户数据,然而它向该国的最高法院提起的上诉被普京的法官驳回。俄罗斯联邦安全局去年要求 Telegram 共享密钥,Telegram 拒绝遵守这一要求,随后被罚款 1.4 万美元。俄罗斯通信监管局表示 Telegram 有 15 天时间递交加密密钥。Telegram 使用的是私有的加密协议,不是端对端加密。该公司的律师表示他们仍然计划对裁决提起上诉,律师称屏蔽 Telegram 的服务将需要一个独立法庭裁决。公司创始人 Pavel Durov 通过 Twitter 表示 Telegram 将会捍卫用户的自由和隐私。普京在 2016 年签署了反恐法,要求消息服务商向当局提供方法解密用户通信。
加密技术
pigsrollaroundinthem(39396)
发表于2018年03月14日 12时35分 星期三
来自256 位加密
旨在让每个网站都启用 HTTPS 加密的 Let's Encrypt CA 宣布支持 ACME v2 协议和通配符证书,进一步降低普及 HTTPS 的门槛。通配符证书是一种可被多个子域使用的公钥证书,允许单个证书可用于提供多台服务器或一台服务器托管的多个子域名的网页加密,显著降低了个人和小型企业采用 HTTPS 的门槛。ACME v2 则是 ACME 协议的更新版本,已通过 IETF 标准程序。
比特币
pigsrollaroundinthem(39396)
发表于2018年03月02日 15时27分 星期五
来自人生
HardenedLinux 写道 "IOTA是一种基于DAG的分布式账本方案,社区有人称之为区块链3.0(相对比特币和以太坊),其特点不需要传统的“挖矿”而是帮助验证其他transaction得到奖励,另外其设计目标是针对大规模的物联网设备,所以牺牲部分去中心化为代价大幅度的提升了性能。近日,IOTA去年的漏洞事件中的邮件被公开,从而引发了一些密码学家建议公众放弃IOTA数字货币的持有,从泄漏邮件来看,Ethan Heilman和MIT媒体实验室的密码研究人员于2017年7月15日向IOTA开发团队通报了其使用的散列算法curl的漏洞,包括低成本的散列碰撞以及随机数缺陷等,这些漏洞完全打破了EU-CMA,IOTA的开发者们一开始并不愿意承认其自己设计的curl是违反了密码工程的原则:不要自己设计算法。在Ethan和MIT媒体实验室的详细解释后最终IOTA于2017年8月8日将curl替换成了基于Keccak( SHA-3)的kerl,但其后IOTA团队对于密码研究者团队的公开报告(当时还没有公开)非常不满找各种理由想让其修改部分内容以让公众认为IOTA的安全性是有保证的,但密码研究者团队坚持应该按照事实编写报告,之后遭到IOTA团队的人身攻击,随后密码研究团队将报告于2017年9月8日公布在MIT DCI的代码github仓库上公开。"
加密技术
pigsrollaroundinthem(39396)
发表于2018年02月25日 15时04分 星期日
来自五颜六色
GitHub 通过官方博客宣布了网站的多个变化,从即日起 github.com 和 api.github.com 停止支持弱加密标准(TLSv1/TLSv1.1,SHA1); Gist 服务停止支持匿名,从 3 月 19 日起创建 Gist 代码片段需要注册,GitHub 此举是因为该服务被滥用创建垃圾信息;问题和 pull request 标签支持绘文字和悬停描述。
加密技术
pigsrollaroundinthem(39396)
发表于2018年01月12日 11时18分 星期五
来自腾讯说
Signal 官方博客宣布它与微软合作为 Skype 加入端对端加密。微软使用 Signal 协议为 Skype 引入了被称为私密对话(Private Conversations)的功能,该功能已通过预览版提供给测试者。微软成为最新一个支持端对端加密的科技公司。端对端的加密和解密是在通讯双方进行的,因此通讯服务商也无法知道对话内容,能有效防止第三方监听。Skype 是世界上最流行的通讯应用之一,它的中国版是由中国国企运营的,不清楚这项功能是否会提供给中国用户。此前,苹果还应政府要求下架了 Skype 应用。
加密技术
pigsrollaroundinthem(39396)
发表于2018年01月10日 19时31分 星期三
来自想想你的孩子 想想腾讯
FBI 局长 Christopher Wray 周二称无法破解的加密是紧急的公共安全问题。今天的电子设备和消息应用广泛使用端对端加密,设备制造商或服务运营商也无法破解这种形式的加密。在截至 9 月 30 日的财年里,FBI 未能破解的设备数量接近 7800 部。Wray 称,FBI 尝试解锁的设备因为加密有超过半数未能访问到数据,他说,“这是一个紧急的公共安全问题”,他表示还没有明确的解决方案。科技公司和安全专家认为 FBI 削弱加密的企图将会伤害互联网安全,方便恶意攻击者利用。
加密技术
pigsrollaroundinthem(39396)
发表于2017年12月08日 20时39分 星期五
来自今晚吃鸡
一年即将结束,非营利的 Let’s Encrypt CA 总结了 2017 年的成绩,公布了 2018 年的计划。Let’s Encrypt 称 2017 年它服务的活跃非过期证书数量翻了一番多至 4600 万,独有域名数增长三倍至 6100 万。根据 Mozilla 的统计,浏览器加载的加密网页比例从一年前的 46 % 增加到 67%。Let’s Encrypt 计划在 2018 年服务的活跃证书数量和独有域名数在 2017 年的基础上再翻一番,分别达到 9000 万和 1.2 亿。它计划在 2018 年引入 ACME v2 协议 API 端点,支持通配符证书,引入 ECDSA root 和中间证书。
USA
pigsrollaroundinthem(39396)
发表于2017年12月06日 16时32分 星期三
来自你敢不服从
美国政府称,要求科技公司构建加密后门并不需要外国情报监视法庭的批准。美国情报官员是在今年 7 月回应民主党参议员 Ron Wyden 的询问时做出这一声明的。声明在上周正式公开。这一声明暗示美国政府可以利用它的法定权力秘密要求位于美国的公司提供技术帮助,包括在产品中构建加密后门,而如果公司拒绝合作它可以再请求外国情报监视法庭强迫企业服从。作证的情报官员拒绝披露他们是否曾要求企业加入加密后门,文档显示他们从未因企业拒绝而需要获得监视法庭的命令。
加密技术
pigsrollaroundinthem(39396)
发表于2017年11月28日 18时32分 星期二
来自各地的政府都一个样
曼哈顿地区检察官 Cy Vance 在上周发布的一份报告中称,有必要制定新的法律来强制苹果、谷歌等科技公司修改其软件,使执法部门能够在刑事调查中解锁其获取的智能手机。这份报告称,如今,在搜集足够证据起诉犯罪活动时,搜索嫌疑目标的住宅、实施监控、电话窃听等传统调查手段常常收效不佳。报告表示,不幸的是,如今的犯罪证据大多存在于智能手机这一 2014 年前基本上还闻所未闻的空间里,即使有搜查令也无法获取智能手机中的信息,智能手机的设计客观上而言阻止了执法部门获得其中的信息。公民自由和支持互联网的组织对削弱智能手机加密的做法进行了谴责,称这些做法威胁到个人隐私、甚至美国国家安全和全球竞争力。
加密技术
pigsrollaroundinthem(39396)
发表于2017年11月10日 17时18分 星期五
来自后门
美国司法部副部长 Rod Rosenstein 接受 Politico Pro 采访中将无法破解的强加密称为是“不合理的”,认为需要平衡执法和安全。在采访中,Rosenstein 也多次强调它支持强加密,加密越强数据越安全,数据被盗需要起诉的案件会更少。但问题是如果有人使用电子媒介犯罪呢?访问这些设备发现能呈堂证明犯罪的证据至关重要。Rosenstein 认为这个问题和门锁类似,人们需要锁防止房屋被入侵,但他们同样需要钥匙进进出出。他说无法破解的强加密是不合理的。Rosenstein 说他们和科技公司在许多领域进行持续的对话,在一些领域科技公司很配合,但在加密问题上,科技公司站在相反的立场上。
加密技术
pigsrollaroundinthem(39396)
发表于2017年11月07日 12时50分 星期二
来自内部破解
Cloudflare 是一家提供安全服务的云服务商,向客户提供了免费的 SSL 服务。因为要处理海量的加密流量,它需要使用到大量的随机数。这些随机数都是伪随机数生成器产生的。伪随机数生成器产生的随机数能被预测和破解。那么如何减少随机数的可预测性?Cloudflare 披露了它的方法——使用熔岩灯。熔岩灯的名字源于内部不定形状的蜡滴的缓慢流动,让人联想到熔岩的流动。Cloudflare 利用摄像头监视熔岩灯,拍摄视频和照片,然后将其转变成无法预测的随机比特流,再用它生成密钥。
加密技术
pigsrollaroundinthem(39396)
发表于2017年10月23日 20时54分 星期一
来自以后再说
Google 的数据显示,所有平台的 Chrome 浏览器加载的网页启用加密的比例过去一年出现了显著增长。去年 Chrome 用户访问的网页启用加密的比例首次突破了 50%(Mozilla 的 Firefox 也是)。在 10 月 14 日,Chrome on Windows 的加密流量达到了 66%,Android 版的 HTTPS 流量也从一年前的 42% 增加到 64%,Chrome for Mac 和 ChromeOS 则达到了 75%。Google 称 100 家访问量最高的网站有 71 家默认启用了 HTTPS,而一年前这个数据是 37。美国区 Chrome on Windows 加载的加密网页比例达到了 73%,Google 没有提供中国的数据。
USA
pigsrollaroundinthem(39396)
发表于2017年10月23日 19时46分 星期一
来自无能
FBI 局长 Christopher Wray 称 FBI 特工未能从近七千加密移动设备上提取出数据。他表示加密正成为 FBI 调查的巨大问题。今天的移动设备普遍使用加密,而加密功能有时甚至连厂商也无法破解和访问数据。设备加密和阻止监听的端对端加密不同。网络安全专家 Alan Woodward 教授说,设备加密确实会让刑事犯罪调查受挫,但开发后门或削弱加密也是不切实际和不安全的。FBI 局长说,他明白在加密和给予他们工具以保护公众安全的重要性之间需要有一个平衡。
加密技术
pigsrollaroundinthem(39396)
发表于2017年10月18日 11时51分 星期三
来自人人都用 HTTPS
Let's Encrypt 项目宣布,Automatic Certificate Management Environment (ACME) 协议支持正在整合到 Apache HTTP Server (httpd)项目。ACME 是 Let's Encrypt 使用的协议,整合到世界上最流行的 Web servers 意味着将能显著加快新网站和现有网站普及 HTTPS,部署 HTTPS 也将更容易。Let's Encrypt 希望未来其它 CA 也能支持 ACME。Apache httpd 的 ACME 模块被称为 mod_md,它的开发得到了 Mozilla 的资助,目前位于 httpd 的开发分支,计划向后移植到 httpd 2.4.x 稳定分支。
加密技术
pigsrollaroundinthem(39396)
发表于2017年10月11日 21时08分 星期三
来自新词
美国司法部副部长 Rod Rosenstein 在美国海军学院发表演讲,称今天消费者产品使用的强加密创造了一个“没有法律的区域”,应该退回到较弱的加密。他将弱加密形容为 “负责任的加密”,能允许执法机关访问数据。他称,不能拦截的加密通信和不能解锁的锁定设备允许犯罪分子和恐怖分子在不被发现的情况下进行活动。Rosenstein 多次提到了苹果。苹果去年拒绝为美国政府创建后门固件去解锁 San Bernardino 枪手的手机。Rosenstein 说,幸运的是,政府能在没有苹果的帮助下访问 iPhone 上的数据,但问题仍然存在。仍然有数以千计的被扣押设备没有被解锁。
加密技术
pigsrollaroundinthem(39396)
发表于2017年09月22日 20时25分 星期五
来自国标
国际加密专家团队迫使 NSA 放弃让两种数据加密技术成为全球行业标准,这一分歧反映了美国盟友之间的强烈的不信任。来自德国、日本和以色列的行业专家和学者担心,NSA 力推新加密技术不是因为它们是更好的加密工具,而是因为它知道如何破解。盟友的担忧迫使 NSA 让步。NSA 推动的加密技术叫 Simon 和 Speck,它想要向美国政府出售产品的商业科技公司使用这两种加密技术。对于它是否能破解 SimonSpeck 的提问,NSA 的回答是他们相信它们是安全的。
加密技术
pigsrollaroundinthem(39396)
发表于2017年09月15日 16时47分 星期五
来自验证
Mozilla 安全博客宣布,它与 INRIAProject Everest 合作,在浏览器中整合 HACL* 加密算法库组件。双方合作的第一个成果是 Curve25519 密钥协商算法实现。该实现已经加入到了 Firefox Nightly 中——预计将随 Firefox 57 正式提供给用户,Curve25519 被广泛用于 TLS 的密钥交换,而 HACL* 的 Curve25519 实现比目前 Firefox 浏览器使用的实现快 20%。Mozilla 称这同时改进了安全和性能。
加密技术
pigsrollaroundinthem(39396)
发表于2017年09月04日 19时20分 星期一
来自分支
匿名晒月亮 写道 " 由于 PyCrypto 已经超过三年无人维护,因此 Github 上的开发者 Varbin 在该项目的 Github issue 里呼吁开发们不要再使用 PyCrypto ,而应该将 PyCrypto 替换为 PyCryptodome。对于使用 PyCrypto 的已有项目而言,PyCryptodome 保持了与 PyCrypto 相当高的兼容性并且处于良好的维护状态,因此便于更换。对于要使用 Python 加密库的新项目,建议开发者使用 PyCryptodome 或者 cryptography。"