adv

solidot此次改版内容包括服务器更新、编程语言、网站后台管理的优化、页面和操作流程的优化等。
安全
WinterIsComing(31822)
发表于2014年09月30日 15时40分 星期二
来自屏蔽CloudFlare
提供CDN、防DDos攻击等云计算服务的CloudFlare宣布向包括免费用户在内的所有客户提供免费SSL支持。CloudFlare将为大约200万不受保护的网站加入SSL支持,以前SSL支持只提供给每月至少支付20美元的客户。浏览器先连接到CloudFlare的服务器接收CloudFlare提供的证书,然后CloudFlare连接目标网站服务器获取内容,它充当了某种反向代理的功能。这项被称为Universal SSL的服务对免费用户有限制,CloudFlare只支持扩展支持Server Name Indication(SNI)协议的现代浏览器,这意味着它不支持IE6及之前版本、运行Android 2.2或更旧版本的Android浏览器。
加密技术
WinterIsComing(31822)
发表于2014年09月20日 22时40分 星期六
来自每一个项目都有一天会消失
流行加密工具TrueCrypt背后的匿名开发者在今年早些时候突然宣布项目终止开发,并警告使用TrueCrypt不安全,软件可能包含未修正的安全问题。TrueCrypt作者自己写的开源许可证对fork有很多限制,而TrueCrypt的一位开发者认为在参考TrueCrypt源代码的情况下重写并不需要太多工作。现在,一群开发者宣布fork终止已经开发的TrueCrypt,创建CipherShed项目,将在标准的开源许可证下公开源代码。
加密技术
WinterIsComing(31822)
发表于2014年09月09日 18时32分 星期二
来自NSA有超级计算机
Google官方博客宣布,将在Chrome浏览器中逐渐降低SHA-1证书的安全指示。但有意思的是Google.com目前使用的也是SHA-1签名的证书,但证书将在3个月内过期,Google将从2015年起使用SHA-2签名的证书。SHA-1算法目前尚未发现严重的弱点,但伪造证书所需费用正越来越低:在2005年,王小云等人证明SHA-1能在更短的时间内找到碰撞;2012年,Jesse Walker估计找到一组SHA-1碰撞需要200万美元,但这一费用到2017年会降至17.3万美元。
加密技术
WinterIsComing(31822)
发表于2014年09月01日 20时20分 星期一
来自争取19大继续用
东芝在量子密码通信的实用化方面取得了进展。东芝成功使用普通线路进行了量子密码通信的实证实验,率先实现了使用量子密码的64处据点经由专用线路同时向1处集中数据的技术,为量子密码在互联网领域的应用开辟了道路。东芝力争5年后将量子密码通信推向实用。量子密码通信将有助于应对光纤线路上发生的窃取信息等愈发严重的网络攻击行为。量子密码通信指的是通过光纤传递经过加密处理的数据以及密钥的信息交流手段。外部人员非法窃取信息时,光便会发生变化,密钥将被毁坏。窃取者便无法获得数据。东芝研究开发中心表示,根据量子力学原理,可以100%发现窃取信息者。
加密技术
WinterIsComing(31822)
发表于2014年08月27日 18时42分 星期三
来自貌似GOA要不行了
即将发布的Firefox 32将支持防止中间人攻击的Public Key Pinning机制。Public Key Pinning允许网站详细说明网站的有效证书是哪一家CA发行的,不再随便接受Firefox证书管理器内的数百家Root CA之一发行的证书。这一机制可以抵御中间人攻击和恶意CA。如果证书不匹配,Firefox将会显示出错信息,拒绝连接。Firefox 32将会默认启用Pinning,用户如果需要可在配置中将属性 security.cert_pinning.enforcement_level设为0后关闭这项功能。
安全
WinterIsComing(31822)
发表于2014年08月22日 20时00分 星期五
来自防不胜防
以色列特拉维夫大学的研究人员演示了一种针对GnuPG加密软件的旁路攻击:只要触摸笔记本电脑暴露在外面的金属部分就能窃取解密密钥。笔记本电脑的金属部分,如USB端口的屏蔽物和散热器的散热片,它们被认为水平高度都是一致的,但笔记本电脑内的电场会导致它们发生微小的波动,这种变化能被测量,会泄露密钥的信息。测量可通过直接在笔记本金属部分接上数字化仪完成,但这样太明显了。研究人员发现,可以通过连接端口屏蔽物远端和人类触摸的方式进行测量获取信息。
加密技术
WinterIsComing(31822)
发表于2014年08月08日 20时54分 星期五
来自 Snowden的成就
电子邮件加密将是大势所趋。雅虎周四表示,将加入竞争对手谷歌的行列明年推出基于PGP加密的安全邮件系统,有了这个安全邮件系统,黑客和政府官员基本上无从得知用户发送的信息内容。即便是邮件服务提供商自身也无法破译用户发送的信息内容。 如果这两家公司能顺利完成这一任务,则标志着他们在采用先进隐私技术保护这一广为使用的用户服务方面迈出了第一步。雅虎和谷歌表示,加密工具将设置为可选功能,用户可以自己选择启动或者关闭。两家公司员工均表示,双方的工程师频繁互相谈起这个项目。这一加密工具将依赖于PGP。PGP对普通用户来说使用起来困难而繁琐,但雅虎和谷歌正努力使PGP对于普通用户来说更加简便可用。
加密技术
WinterIsComing(31822)
发表于2014年07月15日 11时56分 星期二
来自人家还在改
 OpenSSL分支LibreSSL portable刚刚发布了第一个版本2.0.0(已更新到2.0.1),虽然版本号是2.0.0,但它只是一个预览版,不应该用于生产环境。测试已经发现,LibreSSL的伪随机生成器(PRNG)存在安全漏洞,安全性不如它fork的OpenSSL PRNG:OpenSSL PRNG的两次不同调用返回不同的结果,而LibreSSL PRNG的两次不同调用返回的却是相同结果,它检测fork()函数创建父进程克隆的机制存在安全漏洞。
加密技术
WinterIsComing(31822)
发表于2014年07月10日 19时48分 星期四
来自英社万岁
英国22岁的计算机科学专业研究生Christopher Wilso因为拒绝交出电脑加密密码而被送进监狱关押半年。Wilson被控用电话向Northumbria警方谎报将发生网络攻击并说服警方作为应对攻击的预防措施而临时下线网站。为了愚弄警方Wilson使用了一个能改变声音的设备。Wilson还被控在悼念被枪杀女警官的Facebook网页上故意发布煽动性信息。Wilson是在2012年10月引起警方注意,Newcastle大学副校长收到了两封恐吓信,恐吓信是通过他就学的Northumbria大学服务器发送出去的,警方获得搜查证搜查Wilson的家,扣押了多台计算机设备。Wilson否认恐吓信是他发送的。调查人员想要查看他的加密电脑,Wilson交出了50个密码但没有一个正确。法官还以国家安全的理由命令他交出密码,因为不配合他最终被监禁半年。
加密技术
WinterIsComing(31822)
发表于2014年07月07日 17时12分 星期一
来自时间还不晚
OpenSSL项目公布了蓝图,描述了它面临的一系列问题和解决问题的时间表。OpenSSL指出,它面临的问题包括bug报告的积累,不完整和不正确的文档,代码复杂性导致的维护问题,不一致的代码风格,缺乏代码审查,没有清晰的发布计划、平台策略或安全策略。OpenSSL计划修正所有这些问题,但解决问题的时间长度会存在差异,有些问题现在就能办到,如“在四个工作日内对bug报告作出初步回应”,但其它问题可能需要更长的时间,如定义一个清晰的代码标准需要花大约三个月时间,而检查修正公共API降低复杂性可能需要一年时间。
加密技术
WinterIsComing(31822)
发表于2014年07月02日 14时45分 星期三
来自中国邮箱不支持
微软升级了旗下邮件服务和云储存服务的加密系统:端对端加密,当接收方和发送方服务支持TLS,Outlook.com将使用TLS加密接收和发送邮件;Outlook和OneDrive将启用完全正向加密(Perfect Forward Secrecy,PFS)保护用户数据,防止加密密钥被破解,PFS是密钥协商协议的一个属性,可防止追溯攻击——也就是如果有人破解了加密密钥,该密钥可被用于追溯破解之前记录的加密流量;证书使用2048位密钥。升级和加强加密系统将能有效阻止第三方监视(比如政府监视)。
加密技术
WinterIsComing(31822)
发表于2014年06月26日 11时45分 星期四
来自狡辩
麻省高等法院法官周三以5比2通过一项裁决,命令犯罪嫌疑人解密被扣押的计算机。强迫犯罪嫌疑人解密计算机被认为侵犯了美国宪法第五修正案赋予公民免于自证其罪的权利,此前美国不同的法院作出的多项裁决都禁止强迫嫌疑人自证其罪。麻省高等法院所持的理由是,这位涉嫌抵押贷款欺诈的嫌疑人已经明确告诉警方他拥有并能解密被扣的计算机,因此解密的行为不会向警方披露任何新的信息,所以迫使解密的行为不是自证其罪——第五修正案赋予公民有权利不向警方披露对方不知道的信息。美国公民自由联盟对法庭的决定表示失望。法学教授也认为这一裁决可能会带来不幸的后果。
加密技术
WinterIsComing(31822)
发表于2014年06月20日 17时00分 星期五
来自fork了你也不敢告
约翰霍普金斯大学的Matthew Green教授致函一位TrueCrypt开发者,询问fork的可行性。这位TrueCrypt开发者简短的回答,创建分支是不可能的。他说,创建分支不是一个好主意,因为TrueCrypt的代码需要重写。他们一直想重写代码。他认为,从头开始写一个加密软件所耗费的时间并不比学习和理解现有的TrueCrypt代码库长。他表示参考TrueCrypt的源代码不会有什么问题。
加密技术
WinterIsComing(31822)
发表于2014年06月11日 13时18分 星期三
来自认证为大V
加密软件项目TrueCrypt背后的匿名开发者上月底突然宣布终止开发,同时发布新版TrueCrypt 7.2a,清空了所有旧版本。TrueCrypt 7.2只支持解密,不支持加密,开发者警告说使用TrueCrypt不安全,并推荐了其它私有加密工具。TrueCrypt安全审计团队声明会继续进行第二阶段的安全审计,审计的版本将集中在上个版本7.1a上。在对比不同软件仓库托管的TrueCrypt 7.1a SHA2哈希之后,安全审计团队在Github上发布了7.1a的验证版本。这个版本应该与官方发布的版本完全相同。
安全
WinterIsComing(31822)
发表于2014年06月09日 18时56分 星期一
来自增加到4096足够了
美国科技公司如Google、雅虎和微软正展开加密军备竞赛,以挫败华盛顿、以及北京和莫斯科的监视努力,保住在巴西、德国等国的海外业务,这些国家已经发出威胁,称只会把数据委托给当地的供应商。Google正铺设自己的海底光纤,确保该公司在客户数据传输方面拥有更大的控制权。斯诺登泄密事件发生一年之后,默默与政府合作的时代已告结束。电信公司说,它们会拒绝现行法律没有硬性规定它们提交的、政府却要求它们自愿提交的资料。Google首席安全官Eric Grosse在接受采访时表示,NSA自己的做法引发了这轮新的军备竞赛。华盛顿的美国官员承认,情报活动现在开展起来比以前困难多了,因为美国科技公司害怕失去国际业务,从而加强了对自身网络的保护,并且拒绝提供以前曾经默默提供过的那些帮助。
加密技术
WinterIsComing(31822)
发表于2014年06月04日 19时00分 星期三
来自又是长度检查
OpenSSL替代加密库GnuTLS发现了一个缓冲溢出漏洞,可被利用执行任意代码。漏洞出在ServerHello信息中会话ID的长度检查不正确。一个恶意配置的服务器在与设备建立HTTPS加密连接时,可通过发送超过会话ID值长度的畸形数据触发缓冲溢出。如果设备使用的GnuTLS版本没有打上补丁,设备能被攻击者远程劫持。GnuTLS被许多流行Linux发行版和软件所使用,开发者已在上月底发布了新版3.1.25、3.2.15和3.3.4,修复漏洞,多数发行版应该已经打上了补丁。
加密技术
WinterIsComing(31822)
发表于2014年05月29日 19时54分 星期四
来自fork开始
TrueCrypt项目背后的匿名开发者突然将truecrypt.org官网定向到sourceforge.net项目主页,宣布项目终止开发,并用红字警告使用TrueCrypt不安全,软件可能包含未修正的安全问题。TrueCrypt最新更新的程序签名与1月份发布的程序使用的签名相同,因此网站发布的信息不是恶作剧而是官方声明。约翰霍普金斯大学的Matthew Green教授去年组织了对TrueCrypt的安全审计,他有点担心是不是安全审计促使了开发者决定退出。他对开发者的决定也感到失望,认为开发者本来可以改变许可证让其他人能更容易的接管这个项目。他表示安全审计工作会继续下去。一位与TrueCrypt团队关系密切的开发者给出了他的解释:TrueCrypt失去了动力和主要开发者。他认为TrueCrypt很早以前就出现了死亡的迹象,程序已经很长时间没有引入新功能。引导扇区代码从5.0版以来一直没有变化,很可能是引导扇区的主要开发者不再参与项目了。此外,TrueCrypt使用微软提供的API处理休眠/睡眠,但Windows 8之后微软不再提供此类API,而Windows是TrueCrypt最主要的市场,诸多困难最终使得开发者决定关闭项目。
加密技术
WinterIsComing(31822)
发表于2014年05月29日 11时50分 星期四
来自地震波
流行的开源加密软件TrueCrypt突然在其官网上建议Windows用户改用微软的BitLocker加密磁盘,并用大红字警告使用TrueCrypt并不安全。在官网彻底大变脸前,TrueCrypt更新了二进制程序。目前完全不清楚TrueCrypt项目究竟发生了什么事,有许多人怀疑可能与第二阶段的TrueCrypt安全审计报告即将发布有关。根据官网上的声明,在微软结束支持Windows XP后TrueCrypt的开发于2014年5月终止,Windows 8/7/Vista等操作系统集成了磁盘加密支持,它建议用户将任何TrueCrypt加密的数据迁移到平台支持的加密磁盘或虚拟磁盘镜像。网站图文并茂的一步步介绍了如何将数据从TrueCrypt迁移到BitLocker。
加密技术
WinterIsComing(31822)
发表于2014年05月22日 19时28分 星期四
来自为了大众
2012年12月11日,当时还默默无名的前NSA合同工Edward Snowden在夏威夷檀香山的一家小型艺术空间主持了本地的一个加密派对(Crypto Party) ,教当地居民如何加密硬盘和使用Tor匿名冲浪。加密派对是一个全球性的草根运动,由澳大利亚的Asher Wolf于2011年发起,目的是让精通Tor和PGP等软件的技术专家帮助记者和活跃人士或其他任何人掌握如何匿名安全的冲浪。这是一个非政治的运动,到2012年年底在全世界已主办了1000多场。Snowden在2012年11月18日通过cincinnatus@lavabit.com邮箱向Tor开发者 Runa Sandvik发去邮件,称他运行了一台作为出口节点的2 gbps服务器,取名为TheSignal,正说服同事设置更多的节点服务器,他向Sandvik索要Tor的官方招贴。Sandvik正计划下个月前往夏威夷度假,她告诉Snowden想要办一个加密派对,向观众介绍Tor,Snowden对此非常热心,他以Cincinnatus这一化名在Crypto Party维基上宣布了夏威夷的活动。在这次派对上,Sandvik讲了Tor,而Snowden介绍了TrueCrypt。两人一起聊天,Sandvik问他在哪里工作,Snowden一开始支支吾吾,最后透露是在戴尔公司工作。Sandvik意识到他没说实情,但直到六个月后她才知道Snowden真实身份。根据Glenn Greenwald的新书《No Place To Hide》,Snowden在派对举行前11天向 Greenwald发去了匿名邮件,在派对举行时他正等待Greenwald的回复。Wolf说,她私下里希望这个派对向Snowden提供了一个机会思考他已经开始计划的事情。
加密技术
WinterIsComing(31822)
发表于2014年05月21日 11时05分 星期三
来自政府权力的一次展现
加密电子邮件服务商Lavabit的创始人Ladar Levison在《卫报》上发表文章,讲述了他决定关闭Lavabit的完整经过。 去年夏天,两位联邦特工上门递交了法庭命令,要求在Lavabit的网络中安装监视设备。Lavabit为41万用户提供服务,其中包括了Edward Snowden。Levison说他别无选择只能同意安装监控设备,让美国政府能访问所有客户接收发送的加密信息。但政府仍然觉得这么做还不够。联邦特工声称法庭命令要求他交出加密私钥。Levison犹豫了,因为交出密钥将可以让政府访问客户的明文信息。他通知特工需要再看一下法庭命令,再咨询一下律师。特工对此感到意外。随后发生的法律程序持续了38天,最终导致了公司的关闭和个人隐私权利的彻底摧毁。