adv

solidot新版网站常见问题,请点击这里查看。
加密技术
WinterIsComing(31822)
发表于2020年03月06日 17时48分 星期五
来自
Let's Encrypt 上周宣布在 CAA(Certification Authority Authorization)代码中发现 bug,它将从美国东部时间 3 月 4 日下午 3 点开始撤销受到影响的客户证书。在 Let's Encrypt 签发的 1.16 亿活跃证书中有 3,048,289 个证书需要替换。但由于时间过于仓促,Let's Encrypt 宣布暂缓撤销证书。它表示已经有 170 万受影响的网站更换了证书,但还有一百多万网站不太可能在截止日期前完成证书更替。为了避免影响这些网站给其访问者造成困惑,Let's Encrypt 认为还是暂缓为最佳策略。Let's Encrypt 的证书有效期只有 90 天,130 万尚未撤销的证书构成的安全风险很低。300 万个受影响证书只有 445 个确实违反了规定,而它们都已经撤销。
加密技术
ai(3896)
发表于2020年02月28日 14时23分 星期五
来自
旨在让每一个网站都启用 HTTPS 加密的 Let's Encrypt 项目宣布在 2 月 27 日签发了第 10 亿个证书。Let's Encrypt 是在 2017 年 6 月签发了第一亿个证书。三年后的今天互联网在加密情况上已经出现了巨大变化:当时浏览器加载的网页有 58% 启用了 HTTPS,美国是 64%;今天这一比率提高到了 81%,美国是 91%。 2017 年 Let's Encrypt 项目有 11 个全职雇员和 261 万美元预算,服务于 4600 万网站;今天它有 13 名全职雇员和 335 万美元预算,服务于 1.92 亿个网站。它的雇员只增加两人预算增加 28% 但服务的网站数量是以前的四倍。
加密技术
WinterIsComing(31822)
发表于2020年02月19日 20时02分 星期三
来自
一个国际研究小组去年底在《Nature Communications》期刊上发表论文,描述了一种完美保密的新加密系统,声称能对抗未来的量子计算机。英特尔公司的加密专家 Rafael Misoczki 称,完美保密是加密学中最高等级的安全观念,一个加密系统如果能实现完美保密,那么不管对手的计算能力有多强它将仍然是安全的。绝大多数实现完美保密的尝试都集中在开发量子密钥分发系统(QKD),但部署 QKD 系统需要企业和政府投入大量资金去建造新的量子通信线路。但研究人员描述的新完美保密加密方法是基于现有的光纤通信基础设施。它不是依赖于量子物理学,而是基于混沌光状态。受人指纹的启发,研究人员在硅芯片表面使用反射纳米盘印上点状图案,芯片的图案表面充当了激光的迷宫,光波以随机方式穿过时会正在里面反弹。不管输入条件如何,进入图案的光会产生混沌运动。利用这套系统 Alice 和 Bob 可以创造无法拦截和监听的一次性密钥,类似 QKD。但计算机科学家对此有不同看法,他们认为论文作者对加密学的看法有着明显错误,量子计算机并不能破解所有经典加密学方法,如 AES 只要增加密钥长度仍然能抵抗量子计算机。在加密学中运用混沌理论早在 1989 年就有人提出过,但因为存在漏洞而没有流行起来。
安全
WinterIsComing(31822)
发表于2020年02月14日 19时36分 星期五
来自
奇虎 360 的一位安全研究员披露了流行 SOCKS5 代理 Shadowsocks 的流密码重定向攻击漏洞。流密码是一种对称加密算法,加密和解密双方使用相同伪随机加密数据流作为密钥,明文数据每次与密钥数据流顺次对应加密,得到密文数据流。流行的流密码算法包括 ChaCha、RC4、A5/1、A5/2、Chameleon、FISH、Helix 等。研究人员发现 Shadowsocks 协议存在漏洞,会破坏流密码的保密性。利用重定向攻击被动攻击者可以轻松解密所有 Shadowsocks 的加密数据包。中间人攻击者还能实时修改流量,就好像加密根本不存在。受影响的版本包括 shadowsocks-py、shadowsocoks-go 和 shadowsocoks-nodejs,shadowsocks-libev 和 go-shadowsocks2 不受影响,研究人员还建议使用 AEAD 加密算法。漏洞是在 2018 年 12 月发现的,2019 年 3 月发布了概念验证攻击。
加密技术
WinterIsComing(31822)
发表于2020年02月04日 20时58分 星期二
来自
Git 源码管理系统是基于 SHA‑1 哈希算法,Git 库储存的不同对象类型都使用 SHA‑1 哈希来进行识别。Linus Torvalds 在设计 Git 时并没有考虑 SHA‑1 有一天可能会不安全,他没有设计能切换到不同哈希算法的功能,而哈希类型深入到代码之中。但 SHA‑1 已经迟暮,Google 在 2017 年宣布了对 SHA-1 哈希算法的首个成功碰撞攻击。所谓碰撞攻击是指两个不同的信息产生了相同的哈希值。今年早些时候,研究人员将攻击成本降至 4.5 万美元,未来几年攻击成本还会继续下降。使用 SHA-1 的项目需要尽快切换到更安全的哈希算法。在考虑了多个替代之后,Git 社区在 2018 年宣布它的下一代哈希算法将是 SHA‑256。对小的项目来说,过渡到 SHA‑256 比较容易,但对 Linux 内核这样庞大的项目来说,这并非轻而易举
加密技术
WinterIsComing(31822)
发表于2020年01月15日 23时35分 星期三
来自
美国司法部长 William Barr 批评苹果没有帮助调查人员解锁上个月佛罗里达州海军基地枪击嫌犯的 iPhone 手机。21 岁的沙特空军军官在基地内开火,杀死了三人伤了八人,他有两部 iPhone 手机,用枪射了其中一部,但 FBI 设法修复了设备。另一部手机也受损但也修复了。手机用密码保护和加密。司法部向苹果公司寻求帮助,但 Barr 指责苹果没有提供“实质性帮助”。苹果在一份声明中表示,它提供了调查相关的消息,但拒绝为执法部门提供一种方法访问加密设备——也就是创造加密后门。
加密技术
WinterIsComing(31822)
发表于2020年01月13日 15时14分 星期一
来自
Google 在 2017 年宣布了对 SHA-1 哈希算法的首个成功碰撞攻击。所谓碰撞攻击是指两个不同的信息产生了相同的哈希值。在 Google 的研究中,攻击所需的计算量十分惊人,用 Google 说法,它用了 6,500 年的 CPU 计算时间去完成了碰撞的第一阶段,然后用了 110 年的 GPU 计算时间完成第二阶段。去年五月,一组来自新加坡和法国的研究人员演示了首个构造前缀碰撞攻击,即攻击者可以自由选择两个碰撞信息的前缀。当时构造前缀碰撞攻击所需的计算费用不到 10 万美元,现在研究人员在最新演示中进一步将攻击成本降至 4.5 万美元。研究人员在线租赁了 900 台 Nvidia GTX 1060 GPU 执行攻击,几个月前费用还高达 7.4 万美元,优化实现和计算成本的下降使得攻击成本降至 4.5 万美元,他们估计到 2025 年攻击成本会降至 1 万美元。SHA-1 的使用率在下降,但距离淘汰还很遥远。
加密技术
WinterIsComing(31822)
发表于2019年12月23日 19时04分 星期一
来自
Ron Rivest 上个世纪为一个 1999 年的时间胶囊设计了加密方法。Ron Rivest 是公钥加密算法 RSA 中的 R,他和其他两人(Adi Shamir 和 Leonard Adleman)因 RSA 算法上的贡献而在 2002 年获得图灵奖。他为时间胶囊设计的加密方法并不复杂,主要考虑了计算复杂度,涉及到一个进行约 80 万亿次的平方运算。他根据 1999 年的计算机运算能力和摩尔定律估计,算出问题的答案需要 35 年时间。但在 2015 年,自学成才的程序员 Bernard Fabrot 发现,使用自由软件 GNU Multiple Precision Arithmetic Library,他能在更短时间内算出答案,他开始用家用 PC 的一个 CPU 核心每周 7 天每天 24 小时执行计算,历时 3 年半时间得到了结果。与此同时,一群加密专家组成的小组 Cryptophage 也尝试去解决这个问题,他们使用的是 FPGA 芯片,FPGA 执行特定算法的效率远高于高端 CPU,他们花了两个月时间算出了结果。但当他们通知 Rivest 教授,却被告知有人抢先完成了。Rivest 教授说,这是惊人的巧合,他承认自己高估了问题的难度,没有预料到像 FPGA 这样的技术突破。
加密技术
wenfeixing(25847)
发表于2019年11月19日 19时54分 星期二
来自
以儿童的名义,FBI 寻求国际刑警组织发表声明反对端对端加密。上周在法国里昂国际刑警组织总部举行的打击儿童犯罪的专家小组会议上,FBI 递交了一份提案,认为为了打击儿童性剥削应强烈督促技术服务提供商允许合法访问加密数据。提案将儿童性剥削的部分责任归于科技行业,称目前默认的端对端加密不允许世界保护儿童远离性剥削,技术提供商一方面要保护用户隐私,另一方面也要保护用户安全。未能允许合法访问其平台和服务,技术服务商为儿童性剥削的犯罪者提供了一个安全港,并阻碍了保护儿童的执法者。国际刑警组织发言人声明它目前没有计划就加密发表声明。
加密技术
wenfeixing(25847)
发表于2019年11月14日 12时42分 星期四
来自
根据微软刚刚更新的功能停止支持文档,Windows 10 将禁用 WEP 加密。微软称,在 v1903 版本中,当 Windows 10 连接到使用 WEP 或 TKIP 加密的 Wi-Fi 网络时会显示警告信息,WEP 或 TKIP 加密都早已不再安全。Windows 10 的未来版本中将禁止使用这些旧加密技术,微软建议用户将 Wi-Fi 路由器更新使用 WPA2 或 WPA3 加密。
加密技术
wenfeixing(25847)
发表于2019年10月09日 11时39分 星期三
来自
开源邮件客户端 Thunderbird 正式宣布将支持 OpenPGP:计划在 2020 年夏天释出的 Thunderbird 78 将内置使用 OpenPGP 标准的电邮加密和数字签名功能。新的功能将取代流行加密扩展 Enigmail,由于 API 的变动,该扩展将随 Thunderbird 68 到 2020 年秋季终止支持。内置 OpenPGP 支持是用户期待已久的功能,Enigmail 用户未来可通过 Thunderbird 78 提供的帮助迁移现有的密钥和设置。
安全
wenfeixing(25847)
发表于2019年10月08日 17时04分 星期二
来自
俄罗斯安全公司卡巴斯基报告,一个从事网络间谍活动的黑客组织通过修改浏览器为 TLS 加密流量加入了可跟踪的指纹。黑客利用远程访问木马 Reductor 感染受害者,修改了系统上的浏览器 Chrome 或 Firefox。这一过程涉及到两步:黑客首先为被感染的主机安装了数字证书,使其能拦截来自主机的任何 TLS 加密流量;其次,他们为系统上安装的 Chrome 或 Firefox 打上了自己的伪随机数生成器。随机数生成器被用于在建立安全连接时产生随机数。黑客利用被修改的随机数生成器为每一个 TLS 连接加入了指纹。被称为 Turla 的组织被认为与俄罗斯政府有关联。
加密技术
wenfeixing(25847)
发表于2019年10月04日 23时15分 星期五
来自
美国司法部长 Bill Barr 与英国澳大利亚的内政部长将发表致函 Facebook CEO Mark Zuckerberg 的公开信,要求该公司在保证不会降低公共安全的情况下推迟其消息服务的端对端加密计划。端对端加密将让服务提供商也无法知道用户的通信内容,但执法机构和情报机构对于他们无法访问用户内容很是担忧,纷纷以公共安全或为了孩子等理由表达反对。计划于美国时间 10 月 4 日发布的公开信称,增强虚拟世界的安全性不能危及现实世界,要求 Facebook 在设计加密系统时应优先考虑公共安全。
USA
wenfeixing(25847)
发表于2019年07月24日 12时51分 星期三
来自
美国司法部长 William Barr 表示,为了确保执法部门能访问加密通信,消费者应该接受加密后门对个人网络安全构成的风险。加密消息应用的流行让执法机关难以查看加密通信,后门是执法机构希望看到的一种解决方案。但安全专家指出,加密后门会对消费者个人网络安全构成严重风险。Barr 对此表示,风险的重要性应当根据对消费者网络安全的实际影响,以及所提供产品对社会构成的净风险的关系来进行评估。他承认加密后门是一种安全降级,但认为这种风险是可以接受的,因为加密后门牵涉到的只是消费者产品和服务如智能手机、消息应用和电子邮件,而不是国家的核武器发射代码。设备提供无法破解的加密而不向执法部门提供任何访问的观点是“站不住脚的”。
长城
WinterIsComing(31822)
发表于2019年06月25日 18时28分 星期二
来自
人大常委会开始审议密码法草案。这里的密码是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。密码分为核心密码、普通密码和商用密码。国家对密码实行分类管理。核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。草案二十六条规定,涉及国家安全、国计民生、社会公共利益的商用密码产品列入网络关键设备和网络安全专用产品目录,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
英国
wenfeixing(25847)
发表于2019年05月31日 15时19分 星期五
来自
科技巨头、民权组织和大学安全专家签署了公开信谴责英国情报机构 GCHQ 监听加密消息的建议是对数字安全和基本人权的 “严重威胁”。随着端对端加密的流行,世界各地的执法机构和情报机构都表达了担忧,美国英国以及澳大利亚等国都先后提出了所谓的 “负责任加密” 的说法,而 GCHQ 的研究人员去年底提出了一种非削弱加密的方案:在现有的群组聊天和会话中加入幽灵用户或幽灵设备。该方案可通过改变服务器端来实现。苹果、Google、微软、WhatsApp 和 EFF 等 47 名签署者在公开信中呼吁 GCHQ 放弃这个被称为“ghost protocol”的提议。公开信认为这个提议要求消息服务如 WhatsApp 在发送加密消息给预期用户的同时还需要将消息直接发送给第三方,该提议所要求的对加密系统的改变将会严重破坏用户安全和信任。
加密技术
wenfeixing(25847)
发表于2019年05月14日 20时29分 星期二
来自
Google 在 2017 年宣布了对 SHA-1 哈希算法的首个成功碰撞攻击。所谓碰撞攻击是指两个不同的信息产生了相同的哈希值。在 Google 的研究中,攻击所需的计算量十分惊人,用 Google 说法,它用了 6,500 年的 CPU 计算时间去完成了碰撞的第一阶段,然后用了 110 年的 GPU 计算时间完成第二阶段。现在,SHA-1 碰撞攻击正变得切实可行。上周一组来自新加坡和法国的研究人员演示了首个构造前缀碰撞攻击(PDF),即攻击者可以自由选择两个碰撞信息的前缀。构造前缀碰撞攻击所需的计算费用不到 10 万美元,意味着伪造 SHA-1 签名文件将变得可能,这些文档可能是商业文件也可能是 TLS 证书。现在是时候完全停止使用 SHA-1 了。
加密技术
wenfeixing(25847)
发表于2019年04月20日 23时36分 星期六
来自
法国政府正式发布了它开发的替代 Telegram、WhatsApp 等的端对端加密消息应用 Tchap,支持 iOSAndroid。Tchap 由法国数字部 DINSIC 开发,基于端对端加密、去中心化实时通讯系统 Matrix 的开源客户端 Riot。Tchap 也是开源的,源代码发布在 Github 上,任何感兴趣的机构可以部署自己的 Tchap 版本供内部使用。
加密技术
wenfeixing(25847)
发表于2019年04月17日 17时00分 星期三
来自
旨在让每个网站都能使用 HTTPS 加密的非赢利组织 Let's Encrypt 宣布,从 7 月 8 日起开始使用自己的中级 CA 签发证书。和很多新 CA 一样,Let's Encrypt 的生涯始于交叉签名, 一个新 CA 要成为 root CA 需要经历长达多年的程序,交叉签名可以让 CA 立即开始签发证书。现在,Let's Encrypt 的 ISRG root 已经获得了广泛信任,它将不再需要交叉签名。
加密技术
wenfeixing(25847)
发表于2019年04月08日 14时11分 星期一
来自
程序员都是凡人,但数学则是不朽的。通过让编程变得更数学化,计算机科学家希望能消除向黑客敞开大门的编程错误。研究人员在 GitHub 上发布了加密工具 EverCrypt,向这个目标迈出了一大步。就像证明毕达哥拉斯定理那样,他们能证明 EverCrypt 可完全避开多种黑客攻击。EverCrypt 没有采用常见的编程方法编写,而是利用了形式化验证。他们首先明确代码能做什么,然后证明只能这么做,排除了代码在特殊情况下偏离的可能性。EverCrypt 始于 2016 年,是微软研究院项目 Project Everest 的一部分,当时加密库是许多软件的薄弱环节,存在大量 bug。