adv

solidot新版网站常见问题,请点击这里查看。
加密技术
lx1(25847)
发表于2019年10月09日 11时39分 星期三
来自
开源邮件客户端 Thunderbird 正式宣布将支持 OpenPGP:计划在 2020 年夏天释出的 Thunderbird 78 将内置使用 OpenPGP 标准的电邮加密和数字签名功能。新的功能将取代流行加密扩展 Enigmail,由于 API 的变动,该扩展将随 Thunderbird 68 到 2020 年秋季终止支持。内置 OpenPGP 支持是用户期待已久的功能,Enigmail 用户未来可通过 Thunderbird 78 提供的帮助迁移现有的密钥和设置。
安全
lx1(25847)
发表于2019年10月08日 17时04分 星期二
来自
俄罗斯安全公司卡巴斯基报告,一个从事网络间谍活动的黑客组织通过修改浏览器为 TLS 加密流量加入了可跟踪的指纹。黑客利用远程访问木马 Reductor 感染受害者,修改了系统上的浏览器 Chrome 或 Firefox。这一过程涉及到两步:黑客首先为被感染的主机安装了数字证书,使其能拦截来自主机的任何 TLS 加密流量;其次,他们为系统上安装的 Chrome 或 Firefox 打上了自己的伪随机数生成器。随机数生成器被用于在建立安全连接时产生随机数。黑客利用被修改的随机数生成器为每一个 TLS 连接加入了指纹。被称为 Turla 的组织被认为与俄罗斯政府有关联。
加密技术
lx1(25847)
发表于2019年10月04日 23时15分 星期五
来自
美国司法部长 Bill Barr 与英国澳大利亚的内政部长将发表致函 Facebook CEO Mark Zuckerberg 的公开信,要求该公司在保证不会降低公共安全的情况下推迟其消息服务的端对端加密计划。端对端加密将让服务提供商也无法知道用户的通信内容,但执法机构和情报机构对于他们无法访问用户内容很是担忧,纷纷以公共安全或为了孩子等理由表达反对。计划于美国时间 10 月 4 日发布的公开信称,增强虚拟世界的安全性不能危及现实世界,要求 Facebook 在设计加密系统时应优先考虑公共安全。
USA
lx1(25847)
发表于2019年07月24日 12时51分 星期三
来自
美国司法部长 William Barr 表示,为了确保执法部门能访问加密通信,消费者应该接受加密后门对个人网络安全构成的风险。加密消息应用的流行让执法机关难以查看加密通信,后门是执法机构希望看到的一种解决方案。但安全专家指出,加密后门会对消费者个人网络安全构成严重风险。Barr 对此表示,风险的重要性应当根据对消费者网络安全的实际影响,以及所提供产品对社会构成的净风险的关系来进行评估。他承认加密后门是一种安全降级,但认为这种风险是可以接受的,因为加密后门牵涉到的只是消费者产品和服务如智能手机、消息应用和电子邮件,而不是国家的核武器发射代码。设备提供无法破解的加密而不向执法部门提供任何访问的观点是“站不住脚的”。
长城
WinterIsComing(31822)
发表于2019年06月25日 18时28分 星期二
来自
人大常委会开始审议密码法草案。这里的密码是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。密码分为核心密码、普通密码和商用密码。国家对密码实行分类管理。核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。草案二十六条规定,涉及国家安全、国计民生、社会公共利益的商用密码产品列入网络关键设备和网络安全专用产品目录,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
英国
lx1(25847)
发表于2019年05月31日 15时19分 星期五
来自
科技巨头、民权组织和大学安全专家签署了公开信谴责英国情报机构 GCHQ 监听加密消息的建议是对数字安全和基本人权的 “严重威胁”。随着端对端加密的流行,世界各地的执法机构和情报机构都表达了担忧,美国英国以及澳大利亚等国都先后提出了所谓的 “负责任加密” 的说法,而 GCHQ 的研究人员去年底提出了一种非削弱加密的方案:在现有的群组聊天和会话中加入幽灵用户或幽灵设备。该方案可通过改变服务器端来实现。苹果、Google、微软、WhatsApp 和 EFF 等 47 名签署者在公开信中呼吁 GCHQ 放弃这个被称为“ghost protocol”的提议。公开信认为这个提议要求消息服务如 WhatsApp 在发送加密消息给预期用户的同时还需要将消息直接发送给第三方,该提议所要求的对加密系统的改变将会严重破坏用户安全和信任。
加密技术
lx1(25847)
发表于2019年05月14日 20时29分 星期二
来自
Google 在 2017 年宣布了对 SHA-1 哈希算法的首个成功碰撞攻击。所谓碰撞攻击是指两个不同的信息产生了相同的哈希值。在 Google 的研究中,攻击所需的计算量十分惊人,用 Google 说法,它用了 6,500 年的 CPU 计算时间去完成了碰撞的第一阶段,然后用了 110 年的 GPU 计算时间完成第二阶段。现在,SHA-1 碰撞攻击正变得切实可行。上周一组来自新加坡和法国的研究人员演示了首个构造前缀碰撞攻击(PDF),即攻击者可以自由选择两个碰撞信息的前缀。构造前缀碰撞攻击所需的计算费用不到 10 万美元,意味着伪造 SHA-1 签名文件将变得可能,这些文档可能是商业文件也可能是 TLS 证书。现在是时候完全停止使用 SHA-1 了。
加密技术
lx1(25847)
发表于2019年04月20日 23时36分 星期六
来自
法国政府正式发布了它开发的替代 Telegram、WhatsApp 等的端对端加密消息应用 Tchap,支持 iOSAndroid。Tchap 由法国数字部 DINSIC 开发,基于端对端加密、去中心化实时通讯系统 Matrix 的开源客户端 Riot。Tchap 也是开源的,源代码发布在 Github 上,任何感兴趣的机构可以部署自己的 Tchap 版本供内部使用。
加密技术
lx1(25847)
发表于2019年04月17日 17时00分 星期三
来自
旨在让每个网站都能使用 HTTPS 加密的非赢利组织 Let's Encrypt 宣布,从 7 月 8 日起开始使用自己的中级 CA 签发证书。和很多新 CA 一样,Let's Encrypt 的生涯始于交叉签名, 一个新 CA 要成为 root CA 需要经历长达多年的程序,交叉签名可以让 CA 立即开始签发证书。现在,Let's Encrypt 的 ISRG root 已经获得了广泛信任,它将不再需要交叉签名。
加密技术
lx1(25847)
发表于2019年04月08日 14时11分 星期一
来自
程序员都是凡人,但数学则是不朽的。通过让编程变得更数学化,计算机科学家希望能消除向黑客敞开大门的编程错误。研究人员在 GitHub 上发布了加密工具 EverCrypt,向这个目标迈出了一大步。就像证明毕达哥拉斯定理那样,他们能证明 EverCrypt 可完全避开多种黑客攻击。EverCrypt 没有采用常见的编程方法编写,而是利用了形式化验证。他们首先明确代码能做什么,然后证明只能这么做,排除了代码在特殊情况下偏离的可能性。EverCrypt 始于 2016 年,是微软研究院项目 Project Everest 的一部分,当时加密库是许多软件的薄弱环节,存在大量 bug。
USA
ai(3896)
发表于2019年03月06日 20时36分 星期三
来自
在本周举行的 RSA 安全会议上,FBI 局长 Christopher Wray 表示,加密应受到限制。加密技术尤其是端对端加密技术让消息只有接收者能阅读,然而 Wray 认为不能为犯罪分子提供一块执法部门无法接触到的游乐场。这不是美国执法机构官员第一次对加密表示担忧。反对者认为加密对保护关键数据免被黑客窃取至关重要,削弱加密或植入加密后门只能让黑客更容易入侵计算机系统获取关键数据。在会议上 Wray 还表示要调查和起诉其他国家的黑客,称他不在意其他国家政府对此有什么看法。
加密技术
ai(3896)
发表于2019年02月22日 21时15分 星期五
来自
Matrix 是一个端对端加密、去中心化的实时通讯系统。没有中心服务器。项目负责人 Matthew Hodgson 在 FOSDEM 会议上透露,法国数字部 DINSIC 去年初接触了 Matrix 的 Android 版客户端 Riot 的开发者,透露了它准备将 Matrix 作为一个安全通信系统提供给所有法国政府部门的计划。为什么一个政府想要一个去中心化的通讯系统? 法国从表面上是一个中心化的,但实际上整个组织架构是联邦式的。这一联邦特性意味着通讯系统必须是端对端加密的。此外 DINSIC 还想要该系统具有企业级的反病毒支持,以便于分享文件。DINSIC 从去年 5 月开始开发 Riot 客户端一个分支 Tchap,源代码发布在 Github 上。法国的网络安全机构已经审计了该系统。2019 年 1 月,Tchap 开始推广给所有法国政府部门。Hodgson 认为,Tchap 从可用性上可能强于 Riot,因为 DINSIC 有专业的用户体验开发者。
加密技术
pigsrollaroundinthem(39396)
发表于2018年12月18日 20时57分 星期二
来自好像我们早已实现
随着端对端加密的流行,世界各地的执法机构都对加密可能影响破案表达了担忧,美国英国以及澳大利亚等国最近都先后提出了所谓的“负责任加密”的说法。那么什么是负责任的加密?约翰霍普金斯大学的加密学专家 Matthew Green 根据英国情报总局 GCHQ 研究人员的文章介绍了 GCHQ  提出的一种解决方案:在现有的群组聊天和会话中加入幽灵用户或幽灵设备。这套方案可通过改变服务器端来实现。Green 认为 Signal 设计能抵御这一方法,但 WhatsApp 和 iMessage 这两个流行的加密消息应用都无法抵御这种方法。
加密技术
pigsrollaroundinthem(39396)
发表于2018年12月17日 20时27分 星期一
来自进口防火长城
澳大利亚国会最近通过的一项受争议法案本质上是要求科技公司在其产品和服务内加入后门,知名端对端加密消息应用 Signal 的开发商 Open Whisper Systems 明确声明它不会遵守澳大利亚的反加密法案,在产品中包含后门。开发者 Joshua Lund 称,根据设计,Signal 没有记录用户的联系人、社交图谱、会话列表、位置,用户头像、用户名、群组成员、群组头衔或头像,而他们也无法访问到加密消息或语音/视频的密钥。Lund 说,虽然他们不能在产品中加入后门,但澳大利亚可能会尝试屏蔽该服务或限制访问其应用。但这种策略通常效果不佳,因为用户可以通过 VPN 绕过封锁。
加密技术
pigsrollaroundinthem(39396)
发表于2018年12月06日 20时09分 星期四
来自为了五眼
澳大利亚众议院通过了受争议的反加密法案“Assistance and Access Bill”,允许警方和反腐机构要求互联网公司、电信公司、信息服务商或任何被认为有必要的人去破解他们想要访问的任何内容,如果不同意可以强迫。该法案仍然有可能被参议院挡下,但机会不大。此前科技公司已经对此表达了担忧,因为它们可能被要求开发后门,在必要情况下绕开安全限制、破解密码。澳大利亚执政的保守派政府已同意与主要反对党工党达成妥协,限制该法案的权力。
加密技术
pigsrollaroundinthem(39396)
发表于2018年11月05日 21时07分 星期一
来自防不胜防
指纹不只是代表一个人的身份,它也许还能传递信息。中国复旦大学的研究人员在《IEEE Transactions on Image Processing》上发表论文,描述了如何在指纹里编码秘密信息的方法。指纹中的某些特征如沟脊和分叉图案可以编码信息,研究人员首先将想要编码的秘密信息编码到多项式数学方程式,这些秘密信息可以是一个网址或“同一个地方上午十点见”,然后将秘密信息映射到指纹螺旋特征中的一系列 2D 点。所有数据点合并创建一个指纹的全息图,只有掌握密钥的人才能从指纹里重构多项式,解码信息。
加密技术
pigsrollaroundinthem(39396)
发表于2018年10月30日 17时19分 星期二
来自六个手指三只眼睛
指纹、脸部识别和视网膜扫描是比传统密码更安全的生物识别技术,它们很难伪造,但有一个巨大的弱点:一个人只有一张脸、两只眼睛和十个手指。一旦存有生物识别信息的数据库被入侵,那么重置密码几乎是不可能的。纽约州立大学布法罗的 Wenyao Xu 和 Feng Lin 称他们的团队发明了一种新型生物识别技术,具有指纹视网膜等的唯一性,也很容易重置密码。这种生物识别技术利用了脑电波。研究人员发现,每个人对一个外部刺激的反应是不同的,两个人看同一张照片他们的脑电波数据是不同的,这个过程自动且无意识,无法控制。一个人看某个名人的照片时候他们的脑反应方式是相同的,但与其他人的反应是不同的。他们的大脑密码论文发表在 MobiSys '18 上。
加密技术
pigsrollaroundinthem(39396)
发表于2018年10月15日 16时56分 星期一
来自不爱国的苹果
对于澳大利亚政府提出新法案去削弱加密,苹果递交了反对意见。苹果认为,现在不合适削弱加密,弱加密只会让犯罪分子的工作更轻松,强加密而不是弱加密是防范此类威胁的最佳方法。苹果指出,有部分人认为可以创造例外,只允许那些维护公共利益的人访问加密数据。这是虚假的前提,加密技术是一种数学,任何削弱保护用户数据的数学模型的过程将会削弱对每一个人的保护。为了调查一小部分构成威胁的人而去削弱对数百万合法客户的保护是错误的。
加密技术
pigsrollaroundinthem(39396)
发表于2018年09月12日 15时19分 星期三
来自内置后门
HardenedLinux 写道 "2018年9月11日,著名的开源密码库项目OpenSSL发布了v1.1.1版本,本次版本最大的变化是加入了TLSv1.3的实现,TLSv1.3简化了的密码套件的可选项,彻底剔除了RSA padding,前向安全( Forward secrecy)成为默认,大幅度增强了安全性的同时也改善了性能;v1.1.1也参考NIST standard SP 800-90Ar1,DRBG默认使用AES-CTR DRBG,新增加的算法包括SHA3,SHA512/224 and SHA512/256,EdDSA (including Ed25519 and Ed448)以及中国商业密码算法 SM2/SM3/SM4等,但目前因为一些原因暂时未支持基于TLS协议下SM2/SM3/SM4的密码套件,基于OpenSSL的开源项目GmSSL对SM2/SM3/SM4实现的密码套件基于TLSv1.1; 另外,这个版本也增强了对侧信道攻击的防御。"
加密技术
pigsrollaroundinthem(39396)
发表于2018年08月18日 17时42分 星期六
来自快来使用中国的国标加密标准
Speck 带有原罪,因为它来自 NSA,在 Dual_EC_DRBG 椭圆曲线加密算法之后 NSA 推荐的任何算法都会引发怀疑。由于 NSA 拒绝回答有关 Speck 和 Simon 的问题,国际标准化组织 ISO 拒绝将其接受为标准。Speck 是一种块密码(block cipher),非常适合低端和无硬件加密加速的 CPU 使用,它可能是被审查最多的加密算法。Speck 已合并到 4.17 kernel,fscrypt 模块在 4.18 中加入了对 Speck128 和 Speck256 的支持。但由于其争议性,Google 已经决定不在 Android 中使用它,,它改推 HPolyC。鉴于 Android 之前被认为是 Speck 的一个主要使用平台,在 Google 决定不用后内核开发者们争议到底要不要在内核中保留它。支持者认为,由于性能问题低端平台缺乏可行的加密方案,Speck 能解决有无的问题,有加密总比没有加密好,即使这种加密技术受到质疑。曹子德认为任何不使用 Speck 或从内核移除的决定都是出于政治理由,而不是技术理由。但其他人认为,没有人使用 Speck 也没人维护它就已经足够作为移除它的理由。