solidot新版网站常见问题,请点击这里查看。
加密技术
WinterIsComing(31822)
发表于2022年08月23日 12时48分 星期二
来自约翰的预言
2021 年款的现代 Ioniq 汽车的车载信息娱乐系统被发现使用了公开的示例密钥去加密系统,这意味着用户有可能在车载计算机硬件上运行定制固件。名叫 greenluigi1 的开发者发现汽车车载信息娱乐系统使用了一个密码加密的 ZIP 压缩档更新固件,系统由现代子公司 Hyundai Mobis 开发,在 Mobis 的网站上这位开发者发现了一个用于解密固件镜像的 AES 密钥,以及一个用于签名的私有 RSA 密钥。这个私钥没有公开。他在网上搜索了 AES 密钥,结果发现它出现在 NIST 文档SP800-38A [PDF]的 AES 128 位 CBC 示例密钥的清单中。进一步搜索发现了 RSA 私钥对应的公钥出现在 RSA Encryption & Decryption Example with OpenSSL in C 文档中。有了公开的公钥,私钥也不难搜索到。这意味着现代汽车使用来自网上教程的公钥私钥对。
加密技术
WinterIsComing(31822)
发表于2022年08月04日 10时16分 星期四
来自水刀子
美国国家标准技术局(NIST)最近宣布了后量子加密和签名算法竞赛的首批获胜者,一共四种,其中三种是基于格的算法,还有一种是基于哈希的算法。进入第四轮竞赛的一种基于 Isogeny 的抗量子加密候选算法被单核计算机一小时破解还是凸显了下一代加密算法标准化相关的风险。遭到攻击的是名叫 SIKE——代表 Supersingular Isogeny Key Encapsulation——的算法,被鲁汶大学的一个团队破解。研究人员发表论文《An Efficient Key Recovery Attack on SIDH (Preliminary Version)》,描述了对其的攻击。SIKE 的基础协议是 SIDH(Supersingular Isogeny Diffie-Hellman),研究人员利用了数学家 Ernst Kani 开发的 glue-and-split 理论和 Everett W. Howe 等人设计的工具,在一台单核计算机上耗时一个小时获取了 SIKE 使用的加密密钥。SIKE 的联合发明人 David Jao 承认出乎意料。这一攻击是否适用于其它基于 Isogeny 的算法?数学家 Stephen Galbraith 指出这一攻击是专门针对的 SIKE,不适用其它 Isogeny 算法如 CSIDH 或 SQISign。
加密技术
WinterIsComing(31822)
发表于2022年07月29日 15时52分 星期五
来自爱的左边
美国国家标准技术局(NIST)宣布(PDF)后量子加密和签名算法竞赛的首批获胜者。对于加密算法,NIST 建议使用 CRYSTALS-Kyber,考虑选择 NTRU(相关专利已过期),Kyber 和 NTRU 都是基于格(lattice-based)的算法;对于签名算法,NIST 选择 CRYSTALS-Dilithium 作为主算法,以及另外两种 Falcon 和 SPHINCS+,其中 Falcon 和 Dilithium 都是基于格的算法,而 Falcon 是哈希算法。这一算法竞赛针对是即将到来的量子计算时代,量子计算机很容易破解现有的 RSA 或基于椭圆曲线的算法。
加密技术
WinterIsComing(31822)
发表于2022年06月23日 13时26分 星期四
来自雾影1:雾影边境
云储存服务 Mega 有 2.5 亿注册用户,1200 亿个文件,逾 1000 PB 存储空间。Mega 的一大卖点是文件加密,该公司宣称没有其它云储存公司提供端对端加密,表示只要密码足够强其他人都无法访问用户储存的文件,即使它的基础设施都被扣押。研究人员发布报告指出这一说法并不正确。Mega 用于加密文件的架构充斥着基本的加密学漏洞,只要用户登陆的次数足够多,控制该平台的人很容易执行密钥恢复攻击。恶意者可以破解加密的文件,甚至在用户账号下上传恶意文件。Mega 在 3 月份收到了研究人员的报告,本周释出了一个更新,加大了攻击难度。但研究人员指出这并没有修复他们所发现的密钥复用等诸多问题。
加密技术
WinterIsComing(31822)
发表于2022年05月14日 19时06分 星期六
来自布兰尼肯夫人
美国政府正在制定新一代的加密标准,设计能抵御量子计算机。量子计算机被认为能容易破解现有经典计算机难以破解的加密算法。NSA 参与了新加密标准制定,它表示自己也无法绕过新标准,NSA 网络安全总监 Rob Joyce 称新标准没有后门。后门允许利用隐蔽的缺陷破解加密算法。此前 NSA 最为熟知的行为是它开发的椭圆曲线伪随机数生成器 Dual EC DRBG 被认为含有后门。Dual EC DRBG 一度使用广泛,在曝光之后被移除。
加密技术
wanwan(42055)
发表于2022年04月07日 15时52分 星期四
来自沉船岛
1868 年,数学家 Charles Dodgson(更为人熟知的名字叫 Lewis Carroll)宣称一种被称为维吉尼亚密码(Vigenère cipher)的加密方案是“无法破解的”。他没有证据,但有令人信服的理由,因为三个多世纪以来,数学家一直在试图破解该密码,可一直也没有成功。只有一个小问题:事实上,一位名叫 Friedrich Kasiski 的德国步兵军官在五年之前就破解了它,记录此事的书在当时几乎没有引起任何注意。

只要人们还在发送加密信息,密码学家就一直在玩这种猫捉老鼠的游戏——创造密码并破解密码。康奈尔科技学院和康奈尔大学的密码学家 Rafael Pass 表示:“几千年来,人们一直想弄清楚,‘我们可以打破这个循环吗?’”五十年前,密码学家朝着这个方向迈进了一大步。他们证明只要有“单向函数”,你就可以创建被证明是安全的密码。单向函数是一种很容易计算的函数,但很难逆运算。从那时起,研究人员设计出各种候选单向函数,从基于乘法的简单运算到更复杂的几何或对数运算都有。

今天负责传输信用卡号和数字签名等任务的互联网协议依赖于这些函数。以色列海法理工学院的密码学家 Yuval Ishai 表示:“现实世界中使用的绝大多数加密都可以基于单向函数。”但这一进步没有终结这场猫捉老鼠的游戏——只是更加突出了它的焦点。现在密码学家不必担心加密方案各个方面的安全性,只要关注其核心的函数即可。但是目前使用的函数中没有一种被明确证明是单向函数——我们甚至不确定真正的单向函数是否真的存在。密码学家证明,如果它们确实不存在,那么安全加密就是不可能的。

在缺乏证据的情况下,密码学家只能希望能在攻击中幸存下来的函数是安全的。Ishai 表示,研究人员没有统一的方法来研究这些函数的安全性,因为每种函数都“来自不同的领域,来自不同的专家组”。长期以来,密码学家们一直想知道是否有一种不那么特别的方法。Pass 问道:“是否存在着某个问题,只有一个主问题,告诉我们密码学是否可行?”

现在他和康奈尔大学的研究 生Yanyi Liu 证明答案是肯定的。他们证明,真正单向函数存在与否取决于计算机科学另一个领域中最古老也最核心的问题之一,这个领域被称为复杂性理论或计算复杂性。这个被称为Kolmogorov 复杂性的问题涉及区分随机数字字符串和包含某些信息的字符串之间的区别有多难。
加密技术
WinterIsComing(31822)
发表于2022年03月15日 15时31分 星期二
来自乌鸦从高塔坠落
研究人员周一报告,Rambus 旧软件生成的加密密钥非常弱,用商用硬件可立即破解。这一发现是一项调查的一部分,调查还发现了其他弱加密密钥。Rambus 一位代表表示,该软件源自 SafeZone 加密库的基础版本,由 Inside Secure 公司开发,Rambus 在 2019 年收购 Verimatrix 时 Inside Secure 作为 Verimatrix 一部分归于 Rambus 。该版本在收购之前已被废弃,与该公司现在以 Rambus FIPS 安全工具包品牌销售的 FIPS 认证版本完全不同。

研究员 Hanno Bock 表示,易受攻击的 SafeZone 库没有对其用于生成 RSA 密钥的两个素数实现充分随机。相反 SafeZone 在选择一个素数之后,会再选择一个非常接近的素数作为形成密钥所需的第二个素数。Bock表示:“问题是两个素数太相似了。”“两个素数之间的差异很小。”SafeZone 漏洞跟踪代码为 CVE-2022-26320。密码学家早就知道,用太接近的两个素数生成的 RAS 密钥可以用费马(Fermat)的因式分解法轻松破解。法国数学家费马(Pierre de Fermat)于 1643 年首次描述了这种方法。费马的算法基于任何数都可以表示为两个平方的差。当因子接近数字的平方根时,可以轻松快速地把它们算出来。如果因子是真正随机而且相距甚远的话,这个方法就行不通了。RSA 密钥的安全性取决于将密钥的大合数(通常表示为N)分解成两个因子(通常表示为 P 和 Q)的难度。

到目前为止,Bock 仅在现实中发现了少量易受因式分解攻击的密钥,一些密钥属于最初品牌为富士施乐、现在属于佳能的打印机。打印机用户可以使用这些密钥生成证书签名请求(Certificate Signing Request)。这些密钥的创建日期在2020年或者更晚。弱佳能密钥的跟踪代码为 CVE-2022-26351。Bock 还在 SKS PGP 密钥服务器上发现了四个易受攻击的 PGP 密钥,通常用于加密电子邮件。与这些密钥绑定的用户 ID 暗示它们是为了测试而创建的,所以他不相信它们还在使用。Bock 表示他相信发现的所有密钥都是使用与 SafeZone 库无关的软件或方法生成的。这些密钥是手动生成的也是合理的,“可能是意识到这种攻击的人创建测试数据用的。”
安全
WinterIsComing(31822)
发表于2022年02月13日 20时24分 星期日
来自失落之心
无论设备多安全,用户总是其中最薄弱的一环。在实际中攻击者可简单通过口头威胁或法庭传票要求用户交出秘密。绝大多数安全方案都设计强调数据的保密性,而不是让用户可以否认设备上存在秘密数据。著名黑客黄欣国(Andrew 'bunnie' Huan)宣布了一种让用户可以否认秘密存在的机制 Plausibly Deniable DataBase (PDDB)。PDDB 使用的设备被称为 Precursor,在攻击者能无限制访问设备,能对存储器的数据进行快照,能反复的侵入性检查,PDDB 允许用户否认秘密存在。用户需要在性能和可否认之间做选择,秘密数据占据的比例很小时对性能的影响甚微,如 100 MB 容量占 8 MB。但如果 100 MB 占 80 MB 时性能影响会比较显著。
加密技术
wanwan(42055)
发表于2022年01月26日 20时45分 星期三
来自基因先知者
量子计算机需要比现在大一百万倍,才能破解保护比特币的 SHA-256 算法,破解将使这种加密货币面临黑客风险。破解这种难以攻破的密码传统计算机基本上不可能,但是量子计算机可以利用量子物理学的特性加速计算,从理论上说可以破解它。英国苏塞克斯大学的 Mark Webber 和同事计算出,在 10 分钟的时间窗口内破解比特币的加密需要一台有 19 亿个量子比特的量子计算机,在一小时内破解需要一台有 3.17 亿个量子比特的量子计算机。即使将时间延长到一整天,这个数字也只是下降到 1300 万个量子比特。对于比特币拥有者来说,这是个令人欣慰的消息,因为目前量子计算机的量子比特很少——IBM 破纪录的超导量子计算机只有 127 个量子比特,因此设备需要变大一百万倍才能威胁到加密货币,Webber 表示十年内不太可能出现。
加密技术
WinterIsComing(31822)
发表于2021年12月05日 19时51分 星期日
来自人类向何处去
德国新成立的社民党、绿党、自民党政府的联盟协议包含了对加密权、隐私权和公共资金资助开发的代码公开等方面的承诺。现在的问题是如何兑现承诺。联盟协议包含了活动人士数十年来追求的数字权利:在加密权利中,禁止政府对漏洞保密,要求所有政府部门向 Federal Office for Information Security (BSI) 报告所知道的漏洞,并定期对其 IT 系统进行外部审计;保障公共场所和互联网上的匿名权利;未来的软件开发合同都将会公开源代码;将提供真正加密通信选择。
加密技术
WinterIsComing(31822)
发表于2021年09月11日 20时42分 星期六
来自诺比、龙和意识星云
WhatsApp 宣布将允许用户将加密的聊天历史备份上传到云端。WhatsApp 很早就支持端对端加密聊天,但用户如果要将聊天历史的备份储存到云端如 iCloud(iPhone)或 Google Drive(Android)则没有加密可供选择,只能以未加密格式储存。而储存在苹果和 Google 服务器上的未加密备份数据多年来被世界各地的执法机构用于访问嫌疑人的聊天历史。WhatsApp 现在堵上了这一薄弱环节。WhatsApp 将向用户提供两种加密备份的方式,未来几周用户将会看到一个选项生成 64 位的密钥去锁定储存在云端的备份,用户可选择离线储存密钥或保存在密码管理器中,用户可以选择将密钥储存在云端然后加上一层密码保护。没有用户密码储存在云端的密钥是无法访问的,即使 WhatsApp 在没有密码的情况下也无法访问密钥。
安全
wanwan(42055)
发表于2021年09月09日 18时41分 星期四
来自探寻者
ProPublica 发表了一篇文章,研究了 WhatsApp 平台的隐私声明。WhatsApp 以端到端加密机制著称,大多数用户认为其母公司 Facebook 既无法读取消息内容、也无法将其转发给执法部门。但这种认知明显与一个简单的事实相矛盾—— Facebook 雇用了约 1000 名 WhatsApp 内容审核人员,他们的工作内容就是审查被标记的 WhatsApp 信息。WhatsApp 端到端加密机制中的漏洞很简单:任何 WhatsApp 消息接收者都可以对内容进行标记。标记之后,消息内容会被复制到收件人的设备上,再以独立消息的形式被发送到 Facebook 手中以供审核。与 Faecbook 平台的标准一样,WhatsApp 上的内容同样需要根据反欺诈、垃圾邮件、儿童色情及其他非法活动的标准接受审查。当消息接收者将 WhatsApp 信息做出标记时,当前内容将与同一线程中的最近四条先前消息一同接受处理,再以工单附件的形式被发送至审核系统。尽管还没有任何迹象表明 Facebook 会在未经收件人手动标记的情况下收集用户消息,但需要强调的是,这里面其实并没有什么技术障碍。“端到端加密”的安全性取决于端点本身——对于移动消息应用,也就是应用程序及其用户。例如,“端到端”加密消息传递平台可以选择对设备上的全部消息执行基于 AI 的自动内容扫描,之后将自动标记的消息转发至云端以采取进一步处理。如此一来,用户的隐私保障仍然只能由政策条款和对平台的信任来保证。
加密技术
wanwan(42055)
发表于2021年09月06日 18时01分 星期一
来自凡尔纳地球三部曲
NSA 表示“不确定量子计算机何时、或者是否能够破解公钥加密技术。”在被问及是否需要担心攻击方使用量子算力开展入侵时,NSA 表示“不清楚量子计算机何时、或者能否拥有破解公钥密码术的能力。”在 FAQ 中,NSA 描述了 Cryptographically Relevant Quantum Computer(CRQC) (CRQC)这一概念,即能够实际攻击现实加密系统的量子计算机。但目前来看,这一概念能否实现还不确定。虽然 NSA 也认同此类计算机会对数字安全基础设施造成“破坏”,但也强调他们并不太相信这样的 CRQC 能被实际制造出来。但面对越来越多的量子计算研究成果,NSA 也不得不抢先一步、支持后量子 时代下的密码标准开发工作,希望最终过渡到此类更为安全的加密新时代。
加密技术
wanwan(42055)
发表于2021年09月01日 15时06分 星期三
来自星火
生长在纽约的我一直有个间谍梦。1968 年 1 月从大学毕业时,冷战与越南战争的肃杀氛围正在全美蔓延,间谍职业风险很高。所以我选择成为一名电气工程师,为美国国防承包商开发实时频谱分析仪。1976 年在参观华沙的波兰陆军博物馆时,我看到一台二战时期德国著名的 Enigma 密码机。它的精妙设计让我着迷,于是几年之后,我有幸参观位于瑞士施泰因豪森的密码机公司 Crypto AG(CAG)总部,并在此结识了一位高级密码学家。这位朋友还给了我一份由公司创始人 Boris Hagelin 撰写的公司发展史,其中提到了 1963 年诞生的密码机 HX-63

与 Enigma 一样,HX-63 也是一种机电密码系统,即转子密码机。它是 CAG 有史以来制造的唯一一款机电转子密码机,甚至比著名的 Enigma 还更先进、也更安全。事实上,它可以说是人类历史上最安全的转子密码机。我真的很想上手把玩一番,但总是找不到机会。

快进到 2010 年,当时我在法国军事通信基地一处肮脏的负三层地下室里。在一位两星中将及通讯官的陪同下,我进入一个堆满了古老军用无线电和密码机的安全室。看看!这有一台 CAG HX-63,几十年来无人问津、被摆在尘土飞扬的架子上面。

我小心翼翼地抬起这台 16 公斤重的机器,右侧的手摇曲柄使它能在不插电的情况下正常运行。在小心转动之后,我在机械键盘上输入的每个字符都通过九个转子的转换,最终由压印轮打印在纸带上。我当场就决定,要立刻找一台能够恢复至完美工作状态的 HX-63。

很多人可能从来没听说过 HX-63,没关系——因为大多数密码学家也没听说过。但它确实非常安全,甚至让有史以来最伟大的密码分析专家之一、曾在上世纪五十年代初担任 NSA 第一位首席密码学家的 William Friedman 感到震惊。在阅读了 1957 年由 Hagelin 申报的专利之后,Friedman 意识到这台正在开发的 HX-63 要比 NSA 自己的 KL-7 更安全——而 KL-7 已经被认为是一台牢不可破的加密设备。冷战期间,NSA 从 1952 年到 1968 年制造了数千台 KL-7,被美国各个军事、外交与情报机构广泛使用。
加密技术
wanwan(42055)
发表于2021年08月23日 19时52分 星期一
来自继位之争
众多新加密技术寻求抵御未来量子计算机强大算力带来的攻击压力,但这些技术自身往往也需要耗费巨大的处理能力。如今德国科学家开发出一种微芯片能高效实现此类技术、大大降低算力需求,推动“后量子密码学时代”快速走进现实。 在理论上量子计算机能快速为经典计算机可能需要数亿年才能解决的问题找出答案。例如,现代密码学的大部分解决方案,都依赖于经典计算机在处理极大数等数学问题时的天然缺陷,而量子计算机能轻松运行在短时间内快速解决这些问题的算法。 为了在这场安全攻防战中保持领先,世界各地的研究人员正在设计后量子密码算法,希望提出量子计算机与经典计算机都难以解决的全新数学问题。慕尼黑工业大学电气工程师 Georg Sigl 解释道,这些算法大多数依赖于以多点阵或向量为基础的点阵加密方法。 简而言之,点阵加密算法通常会在点阵当中选定保密消息所需要的目标点。在此之后,算法会添加随机噪声,因此该点会接近、但又不完全存在于某个其他点阵上。Sigl 称,无论是经典计算机还是量子计算机,都很难在不清楚具体添加了什么噪声的前提下找到原始目标点和与之对应的保密信息。点阵的规模越大,破解的难度就越高。 然而,在涉及到生成随机性与多项式相乘等运算时,基于点阵的密码算法往往需要可观的处理能力。现在,Sigl 和他的同事们开发出一种带有定制加速器的微芯片,能高效完成这些运算步骤。 这款新芯片基于 RISC-V 标准。Sigl解释道,其硬件组件与控制软件能够相互补充,从而有效生成随机性并降低多项式乘法的复杂度。这项工作的工业合作伙伴包括西门子、英飞凌以及 Giesecke + Devrient 等德企。Sigl 最后总结道,与完全基于软件的解决方案相比,这款全新芯片在执行 Kyber(目前最具前途的后量子点阵密码算法之一)加密时的速度可提升至约十倍,而且电力消耗也可缩减至八分之一左右。
加密技术
WinterIsComing(31822)
发表于2021年06月17日 16时51分 星期四
来自隐身人
1990 年代的加密算法受制于出口管制规定,强加密算法被限制出口,因此很多当时广泛使用的加密算法是所谓的“弱加密”,也就是可能含有有意加入的后门,使得加密后的数据容易破解。现在,德国波鸿鲁尔大学的研究人员与法国和挪威的同事合作发表了一篇论文,发现 1990 年代实现的移动手机加密算法 GEA-1 含有后门。GEA-1 仍然包含在最近几年发售的 Android 和 iOS 手机中,它本应该早在 2013 年就需要被淘汰了。这个后门对情报机构可能没什么价值了,因为任何人都可以利用该漏洞。研究人员分析了两种加密 2G 数据的算法 GEA-1 和 GEA-2,它们都是弱加密算法,其中 GEA-1 密钥非常容易破解,因此被认为包含有意加入的后门。
加密技术
WinterIsComing(31822)
发表于2021年06月16日 19时17分 星期三
来自八十天环游地球
Android Messages 消息应用开始向每一位用户提供端对端加密功能。但目前端对端加密只支持用户个人之间的聊天,不支持群聊。聊天双方都需要启用 Rich Communication Services (RCS)聊天功能,如果你看到发送按钮上有锁的图标,那么你发送的消息将是加密的。Beta 测试用户从去年 11 月开始就可以使用端对端加密,本周开始 Google 将该功能推送给所有用户。
加密技术
WinterIsComing(31822)
发表于2021年06月15日 13时23分 星期二
来自苍穹微石
Google 宣布在 Apache License 2.0 许可证下开源首个全同态加密(FHE)的通用转译器,源代码托管在 GitHub 上。全同态加密允许对密文进行特定的代数运算得到仍然是加密的结果,与对明文进行同样的运算再将结果加密一样。这项技术可以在加密的数据中进行检索、比较等操作,整个处理过程中无需对数据进行解密。同态加密技术从根本上解决将数据及其操作委托给第三方时的保密问题。今天的文件通常是在传输和存储时加密,使用时解密,存在安全弱点,FHE 可解决该问题。FHE 也可以私密的方式使用敏感数据训练机器学习模型。
加密技术
WinterIsComing(31822)
发表于2021年06月08日 19时26分 星期二
来自神间失格
6 月 6 日是 PGP 1.0 发布三十周年。PGP 作者 Philip Zimmermann 回忆说,当年他将 Pretty Good Privacy 上传到了互联网上,开启了结束美国对强加密软件出口管制的十年之路。PGP 1.0 发布之后,很多志愿者帮助改进了软件,1992 年 9 月发布了支持 10 种语言和多个平台的 PGP 2.0。因为允许 PGP 扩散到世界各地违反美国的武器出口管制法他成为了刑事调查的对象。但这反而推动了 PGP 的流行。美国政府在 1996 年初放弃了调查,相关的政策争论仍然在激烈进行,最终在 2000 年结束了美国对强加密软件的出口管制。PGP 点燃了十年的加密战争,最终导致所有西方民主国家放弃了对使用强加密软件的限制。Philip Zimmermann 说他希望 PGP 用于人权应用,传播到世界各地,尤其是那些人民需要保护自己抵御政府的地方。
加密技术
WinterIsComing(31822)
发表于2021年04月28日 23时17分 星期三
来自探寻者
加密消息应用 Signal 宣布它收到了加州中区检察官办公室的传票,索要 Signal 用户数据,但在其它应用中很容易提取的用户信息在 Signal 服务器上是基本上不存在的。传票要求获得用户的地址、通信和账号相关的姓名。但 Signal 默认启用了端对端加密,不访问用户信息、好友列表、群组、通讯录、贴纸、用户档案名称等,它能向检方提供的信息只有用户账号创建的 Unix 时间戳和账号上一次连接服务器的时间。