《华盛顿邮报》报道，Edward Snowden在卡托研究所一个与监视有关的座谈会上通过视频连线呼吁亚马逊默认启用加密，以防止政府获取客户阅读习惯的信息。亚马逊支持加密，但没有默认启用，Snowden认为亚马逊的做法在道德上是不负责任的。在Snowden曝光NSA大规模监视活动之后，主要网站如Google、Facebook和Yahoo都拥抱了更安全的加密方案。Snowden举例说，如果一位用户在亚马逊上浏览《1984》或其它政治行动主义相关的书籍，无论你身在何处，不管司法管辖权，政府都能知道，“这是道德上的不负责任。”他呼叫加密全世界的在线图书馆。

卡内基梅隆大学、西班牙电信和都灵理工大学的研究人员在ACM CoNEXT上发表了一篇论文（PDF），量化了网站从HTTP切换到HTTPS所付出的代价。今天越来越多的网站和服务开始启动加密，HTTPS加密Web流量占到总流量的一半，其中YouTube这样的流媒体网站首次有50%的流量是经过HTTPS，这一切证明了Web的完整加密是可行的。但启用HTTPS是有代价的。研究人员分析了启用加密对延迟、消耗数据和客户端电池寿命的影响。他们发现，HTTPS的“S”会使得页面加载时间增加了50%，增加10%到20%的耗电。此外，HTTPS还会影响缓存增加数据开销和功耗，以及父母控制和病毒扫描等也会受到影响。

Shawn the R0ck 写道 "SSL/TLS在过去的多年当中都在安全领域扮演者重要的角色，多年来也受到了公众的忽视，当一系列的事件发生后，从BEAST/CRIME到Lucky-13和heartbleed，另外一方面Snowden哥哥的故事也让整个世界增添了一些色彩，之后我们终于相信了EFF在2011年就已经强调的TLS v1.2的重要性...回到系统管理员和信息安全从业人员面对的日常问题之一：如何使用加密手段保护你的网站。Qualys的SSL Labs在2013年为社区提供了一份手册《SSL/TLS部署最佳实践》（原文链接），参考这份文档或许会省掉你一些时间。"

Mozilla、思科、Akamai、IdenTrust、EFF和密歇根大学研究人员宣布了 Let’s Encrypt CA项目，计划为网站提供免费SSL证书，加速将Web从HTTP过渡到HTTPS。Let’s Encrypt CA项目计划从2015年夏天开始向任何需要加密证书的网站自动发行和管理免费证书。部署HTTPS的最大障碍是HTTPS所需证书的复杂性、官僚主义和费用，Let’s Encrypt项目的目标是解决这些问题，将证书安装的时间减少到20到30秒。Let’s Encrypt CA将由非赢利组织Internet Security Research Group (ISRG)运营。

中国正在建造世界第一条长距离量子加密通信网络。量子加密的线路被认为难以监听和渗透。中国建造的这条量子光纤线路连接北京和上海，领导该项目的中国科技大学量子物理学家潘建伟称，“我们从Edward Snowden事件中了解到我们总是被攻击。因为我们购买的大部分产品都来自外国公司，我们想要加快项目。这非常紧急，因为传统加密技术不是中国发明的，所以我们想要开发自己的技术。”该项目耗资约6亿人民币，由中央军事委员会拨款，一开始将主要被中国工商银行用于资金转移，但潘建伟称最终中国所有的通信都能使用量子加密。美国国防部高级研究计划署也建造了一条量子通信线路，但规模要比中国的小得多。

GnuPG项目modern分支的第一个版本2.1.0于11月6日释出。GnuPG项目现在有三个分支：稳定版本Stable分支，最新开发版本Modern分支，以及经典版本Classic分支，其中Stable和Modern不能共存，但可以和Classic共存。Classic的版本是最早于2004年发布的1.4，而Stable的版本是最早于2006年发布的2.0，Modern 2.1最终会取代2.0的Stable，它的主要新功能是支持椭圆曲线加密算法。

Kolab Systems CEO Georg Greve在LinuxCon Europe会议上发表了演讲《谎言、该死的谎言和远程托管加密数据》，谈论了用户将数据储存在云里所面临的安全风险。他说，安全是一种情感性的主题，不存在全面的安全，安全是一个平衡的问题，平衡攻击者付出的代价和信息保护付出的代价。远程托管的数据面临着来自国家大规模监视、工业间谍和网络罪犯等方面的风险。他反复强调全面的安全不存在，尤其是在不付出方便代价的情况下是不可能存在的。他说，我们喜欢Google云的方便，但我们也想要能限制访问储存在那里的数据。美国公司的数据都受制于美国的法律，即使服务器的位置是在美国之外。如果你向其他人提供服务器，总有一天警察会找上门。他们会索要数据，有些国家索要的数据比其它国家多。有些国家会有法庭根据证据下达命令提出数据请求，但这些国家很少。我们大多数人都生活在警察造成的害处大于利处的国家。 Greve说，不存在可信软件这种东西，所有的软件都有bug，不可能100%安全，开源软件并不意味着你可以信任它，但至少你可以检查它的漏洞。你可以尽可能的使用开源代码，但构成系统安全重要部分的固件通常是不开源的。

在加密软件TrueCrypt停止开发之后，要寻找TrueCrypt的替代，可能没有VeraCrypt比更好的了。VeraCrypt是TrueCrypt的分支，于2013年6月发布，法国安全顾问Mounir Idrassi是项目的主要开发者。Idrassi创建VeraCrypt分支的动机是在2012年他被要求在客户产品中整合TrueCrypt，他评估了TrueCrypt代码后发现它存在一些问题，TrueCrypt的主要弱点是不能防御暴力破解攻击。在加密系统分区时，TrueCrypt使用PBKDF2-RIPEMD160算法进行1000次迭代；对于标准容器和非系统分区，TrueCrypt最多迭代2000次。相比之下，VeraCrypt使用PBKDF2-RIPEMD160算法对系统分区迭代327,661次，对于标准容器和非系统分区，迭代次数进一步增加到655,331次，大幅增加暴力破解难度。结果是，VeraCrypt打开加密分区的速度略慢，而它的加密格式也不兼容于TrueCrypt。另一个TrueCrypt分支CipherShed项目则努力兼容TrueCrypt加密格式。

提供CDN、防DDos攻击等云计算服务的CloudFlare宣布向包括免费用户在内的所有客户提供免费SSL支持。CloudFlare将为大约200万不受保护的网站加入SSL支持，以前SSL支持只提供给每月至少支付20美元的客户。浏览器先连接到CloudFlare的服务器接收CloudFlare提供的证书，然后CloudFlare连接目标网站服务器获取内容，它充当了某种反向代理的功能。这项被称为Universal SSL的服务对免费用户有限制，CloudFlare只支持扩展支持Server Name Indication(SNI)协议的现代浏览器，这意味着它不支持IE6及之前版本、运行Android 2.2或更旧版本的Android浏览器。

流行加密工具TrueCrypt背后的匿名开发者在今年早些时候突然宣布项目终止开发，并警告使用TrueCrypt不安全，软件可能包含未修正的安全问题。TrueCrypt作者自己写的开源许可证对fork有很多限制，而TrueCrypt的一位开发者认为在参考TrueCrypt源代码的情况下重写并不需要太多工作。现在，一群开发者宣布fork终止已经开发的TrueCrypt，创建CipherShed项目，将在标准的开源许可证下公开源代码。

Google官方博客宣布，将在Chrome浏览器中逐渐降低SHA-1证书的安全指示。但有意思的是Google.com目前使用的也是SHA-1签名的证书，但证书将在3个月内过期，Google将从2015年起使用SHA-2签名的证书。SHA-1算法目前尚未发现严重的弱点，但伪造证书所需费用正越来越低：在2005年，王小云等人证明SHA-1能在更短的时间内找到碰撞；2012年，Jesse Walker估计找到一组SHA-1碰撞需要200万美元，但这一费用到2017年会降至17.3万美元。

东芝在量子密码通信的实用化方面取得了进展。东芝成功使用普通线路进行了量子密码通信的实证实验，率先实现了使用量子密码的64处据点经由专用线路同时向1处集中数据的技术，为量子密码在互联网领域的应用开辟了道路。东芝力争5年后将量子密码通信推向实用。量子密码通信将有助于应对光纤线路上发生的窃取信息等愈发严重的网络攻击行为。量子密码通信指的是通过光纤传递经过加密处理的数据以及密钥的信息交流手段。外部人员非法窃取信息时，光便会发生变化，密钥将被毁坏。窃取者便无法获得数据。东芝研究开发中心表示，根据量子力学原理，可以100%发现窃取信息者。

即将发布的Firefox 32将支持防止中间人攻击的Public Key Pinning机制。Public Key Pinning允许网站详细说明网站的有效证书是哪一家CA发行的，不再随便接受Firefox证书管理器内的数百家Root CA之一发行的证书。这一机制可以抵御中间人攻击和恶意CA。如果证书不匹配，Firefox将会显示出错信息，拒绝连接。Firefox 32将会默认启用Pinning，用户如果需要可在配置中将属性 security.cert_pinning.enforcement_level设为0后关闭这项功能。

以色列特拉维夫大学的研究人员演示了一种针对GnuPG加密软件的旁路攻击：只要触摸笔记本电脑暴露在外面的金属部分就能窃取解密密钥。笔记本电脑的金属部分，如USB端口的屏蔽物和散热器的散热片，它们被认为水平高度都是一致的，但笔记本电脑内的电场会导致它们发生微小的波动，这种变化能被测量，会泄露密钥的信息。测量可通过直接在笔记本金属部分接上数字化仪完成，但这样太明显了。研究人员发现，可以通过连接端口屏蔽物远端和人类触摸的方式进行测量获取信息。

电子邮件加密将是大势所趋。雅虎周四表示，将加入竞争对手谷歌的行列明年推出基于PGP加密的安全邮件系统，有了这个安全邮件系统，黑客和政府官员基本上无从得知用户发送的信息内容。即便是邮件服务提供商自身也无法破译用户发送的信息内容。 如果这两家公司能顺利完成这一任务，则标志着他们在采用先进隐私技术保护这一广为使用的用户服务方面迈出了第一步。雅虎和谷歌表示，加密工具将设置为可选功能，用户可以自己选择启动或者关闭。两家公司员工均表示，双方的工程师频繁互相谈起这个项目。这一加密工具将依赖于PGP。PGP对普通用户来说使用起来困难而繁琐，但雅虎和谷歌正努力使PGP对于普通用户来说更加简便可用。

 OpenSSL分支LibreSSL portable刚刚发布了第一个版本2.0.0（已更新到2.0.1），虽然版本号是2.0.0，但它只是一个预览版，不应该用于生产环境。测试已经发现，LibreSSL的伪随机生成器（PRNG）存在安全漏洞，安全性不如它fork的OpenSSL PRNG：OpenSSL PRNG的两次不同调用返回不同的结果，而LibreSSL PRNG的两次不同调用返回的却是相同结果，它检测fork()函数创建父进程克隆的机制存在安全漏洞。

英国22岁的计算机科学专业研究生Christopher Wilso因为拒绝交出电脑加密密码而被送进监狱关押半年。Wilson被控用电话向Northumbria警方谎报将发生网络攻击并说服警方作为应对攻击的预防措施而临时下线网站。为了愚弄警方Wilson使用了一个能改变声音的设备。Wilson还被控在悼念被枪杀女警官的Facebook网页上故意发布煽动性信息。Wilson是在2012年10月引起警方注意，Newcastle大学副校长收到了两封恐吓信，恐吓信是通过他就学的Northumbria大学服务器发送出去的，警方获得搜查证搜查Wilson的家，扣押了多台计算机设备。Wilson否认恐吓信是他发送的。调查人员想要查看他的加密电脑，Wilson交出了50个密码但没有一个正确。法官还以国家安全的理由命令他交出密码，因为不配合他最终被监禁半年。

OpenSSL项目公布了蓝图，描述了它面临的一系列问题和解决问题的时间表。OpenSSL指出，它面临的问题包括bug报告的积累，不完整和不正确的文档，代码复杂性导致的维护问题，不一致的代码风格，缺乏代码审查，没有清晰的发布计划、平台策略或安全策略。OpenSSL计划修正所有这些问题，但解决问题的时间长度会存在差异，有些问题现在就能办到，如“在四个工作日内对bug报告作出初步回应”，但其它问题可能需要更长的时间，如定义一个清晰的代码标准需要花大约三个月时间，而检查修正公共API降低复杂性可能需要一年时间。

微软升级了旗下邮件服务和云储存服务的加密系统：端对端加密，当接收方和发送方服务支持TLS，Outlook.com将使用TLS加密接收和发送邮件；Outlook和OneDrive将启用完全正向加密（Perfect Forward Secrecy，PFS）保护用户数据，防止加密密钥被破解，PFS是密钥协商协议的一个属性，可防止追溯攻击——也就是如果有人破解了加密密钥，该密钥可被用于追溯破解之前记录的加密流量；证书使用2048位密钥。升级和加强加密系统将能有效阻止第三方监视（比如政府监视）。

麻省高等法院法官周三以5比2通过一项裁决，命令犯罪嫌疑人解密被扣押的计算机。强迫犯罪嫌疑人解密计算机被认为侵犯了美国宪法第五修正案赋予公民免于自证其罪的权利，此前美国不同的法院作出的多项裁决都禁止强迫嫌疑人自证其罪。麻省高等法院所持的理由是，这位涉嫌抵押贷款欺诈的嫌疑人已经明确告诉警方他拥有并能解密被扣的计算机，因此解密的行为不会向警方披露任何新的信息，所以迫使解密的行为不是自证其罪——第五修正案赋予公民有权利不向警方披露对方不知道的信息。美国公民自由联盟对法庭的决定表示失望。法学教授也认为这一裁决可能会带来不幸的后果。