adv

solidot新版网站常见问题,请点击这里查看。
加密技术
WinterIsComing(31822)
发表于2014年07月07日 17时12分 星期一
来自时间还不晚
OpenSSL项目公布了蓝图,描述了它面临的一系列问题和解决问题的时间表。OpenSSL指出,它面临的问题包括bug报告的积累,不完整和不正确的文档,代码复杂性导致的维护问题,不一致的代码风格,缺乏代码审查,没有清晰的发布计划、平台策略或安全策略。OpenSSL计划修正所有这些问题,但解决问题的时间长度会存在差异,有些问题现在就能办到,如“在四个工作日内对bug报告作出初步回应”,但其它问题可能需要更长的时间,如定义一个清晰的代码标准需要花大约三个月时间,而检查修正公共API降低复杂性可能需要一年时间。
加密技术
WinterIsComing(31822)
发表于2014年07月02日 14时45分 星期三
来自中国邮箱不支持
微软升级了旗下邮件服务和云储存服务的加密系统:端对端加密,当接收方和发送方服务支持TLS,Outlook.com将使用TLS加密接收和发送邮件;Outlook和OneDrive将启用完全正向加密(Perfect Forward Secrecy,PFS)保护用户数据,防止加密密钥被破解,PFS是密钥协商协议的一个属性,可防止追溯攻击——也就是如果有人破解了加密密钥,该密钥可被用于追溯破解之前记录的加密流量;证书使用2048位密钥。升级和加强加密系统将能有效阻止第三方监视(比如政府监视)。
加密技术
WinterIsComing(31822)
发表于2014年06月26日 11时45分 星期四
来自狡辩
麻省高等法院法官周三以5比2通过一项裁决,命令犯罪嫌疑人解密被扣押的计算机。强迫犯罪嫌疑人解密计算机被认为侵犯了美国宪法第五修正案赋予公民免于自证其罪的权利,此前美国不同的法院作出的多项裁决都禁止强迫嫌疑人自证其罪。麻省高等法院所持的理由是,这位涉嫌抵押贷款欺诈的嫌疑人已经明确告诉警方他拥有并能解密被扣的计算机,因此解密的行为不会向警方披露任何新的信息,所以迫使解密的行为不是自证其罪——第五修正案赋予公民有权利不向警方披露对方不知道的信息。美国公民自由联盟对法庭的决定表示失望。法学教授也认为这一裁决可能会带来不幸的后果。
加密技术
WinterIsComing(31822)
发表于2014年06月20日 17时00分 星期五
来自fork了你也不敢告
约翰霍普金斯大学的Matthew Green教授致函一位TrueCrypt开发者,询问fork的可行性。这位TrueCrypt开发者简短的回答,创建分支是不可能的。他说,创建分支不是一个好主意,因为TrueCrypt的代码需要重写。他们一直想重写代码。他认为,从头开始写一个加密软件所耗费的时间并不比学习和理解现有的TrueCrypt代码库长。他表示参考TrueCrypt的源代码不会有什么问题。
加密技术
WinterIsComing(31822)
发表于2014年06月11日 13时18分 星期三
来自认证为大V
加密软件项目TrueCrypt背后的匿名开发者上月底突然宣布终止开发,同时发布新版TrueCrypt 7.2a,清空了所有旧版本。TrueCrypt 7.2只支持解密,不支持加密,开发者警告说使用TrueCrypt不安全,并推荐了其它私有加密工具。TrueCrypt安全审计团队声明会继续进行第二阶段的安全审计,审计的版本将集中在上个版本7.1a上。在对比不同软件仓库托管的TrueCrypt 7.1a SHA2哈希之后,安全审计团队在Github上发布了7.1a的验证版本。这个版本应该与官方发布的版本完全相同。
安全
WinterIsComing(31822)
发表于2014年06月09日 18时56分 星期一
来自增加到4096足够了
美国科技公司如Google、雅虎和微软正展开加密军备竞赛,以挫败华盛顿、以及北京和莫斯科的监视努力,保住在巴西、德国等国的海外业务,这些国家已经发出威胁,称只会把数据委托给当地的供应商。Google正铺设自己的海底光纤,确保该公司在客户数据传输方面拥有更大的控制权。斯诺登泄密事件发生一年之后,默默与政府合作的时代已告结束。电信公司说,它们会拒绝现行法律没有硬性规定它们提交的、政府却要求它们自愿提交的资料。Google首席安全官Eric Grosse在接受采访时表示,NSA自己的做法引发了这轮新的军备竞赛。华盛顿的美国官员承认,情报活动现在开展起来比以前困难多了,因为美国科技公司害怕失去国际业务,从而加强了对自身网络的保护,并且拒绝提供以前曾经默默提供过的那些帮助。
加密技术
WinterIsComing(31822)
发表于2014年06月04日 19时00分 星期三
来自又是长度检查
OpenSSL替代加密库GnuTLS发现了一个缓冲溢出漏洞,可被利用执行任意代码。漏洞出在ServerHello信息中会话ID的长度检查不正确。一个恶意配置的服务器在与设备建立HTTPS加密连接时,可通过发送超过会话ID值长度的畸形数据触发缓冲溢出。如果设备使用的GnuTLS版本没有打上补丁,设备能被攻击者远程劫持。GnuTLS被许多流行Linux发行版和软件所使用,开发者已在上月底发布了新版3.1.25、3.2.15和3.3.4,修复漏洞,多数发行版应该已经打上了补丁。
加密技术
WinterIsComing(31822)
发表于2014年05月29日 19时54分 星期四
来自fork开始
TrueCrypt项目背后的匿名开发者突然将truecrypt.org官网定向到sourceforge.net项目主页,宣布项目终止开发,并用红字警告使用TrueCrypt不安全,软件可能包含未修正的安全问题。TrueCrypt最新更新的程序签名与1月份发布的程序使用的签名相同,因此网站发布的信息不是恶作剧而是官方声明。约翰霍普金斯大学的Matthew Green教授去年组织了对TrueCrypt的安全审计,他有点担心是不是安全审计促使了开发者决定退出。他对开发者的决定也感到失望,认为开发者本来可以改变许可证让其他人能更容易的接管这个项目。他表示安全审计工作会继续下去。一位与TrueCrypt团队关系密切的开发者给出了他的解释:TrueCrypt失去了动力和主要开发者。他认为TrueCrypt很早以前就出现了死亡的迹象,程序已经很长时间没有引入新功能。引导扇区代码从5.0版以来一直没有变化,很可能是引导扇区的主要开发者不再参与项目了。此外,TrueCrypt使用微软提供的API处理休眠/睡眠,但Windows 8之后微软不再提供此类API,而Windows是TrueCrypt最主要的市场,诸多困难最终使得开发者决定关闭项目。
加密技术
WinterIsComing(31822)
发表于2014年05月29日 11时50分 星期四
来自地震波
流行的开源加密软件TrueCrypt突然在其官网上建议Windows用户改用微软的BitLocker加密磁盘,并用大红字警告使用TrueCrypt并不安全。在官网彻底大变脸前,TrueCrypt更新了二进制程序。目前完全不清楚TrueCrypt项目究竟发生了什么事,有许多人怀疑可能与第二阶段的TrueCrypt安全审计报告即将发布有关。根据官网上的声明,在微软结束支持Windows XP后TrueCrypt的开发于2014年5月终止,Windows 8/7/Vista等操作系统集成了磁盘加密支持,它建议用户将任何TrueCrypt加密的数据迁移到平台支持的加密磁盘或虚拟磁盘镜像。网站图文并茂的一步步介绍了如何将数据从TrueCrypt迁移到BitLocker。
加密技术
WinterIsComing(31822)
发表于2014年05月22日 19时28分 星期四
来自为了大众
2012年12月11日,当时还默默无名的前NSA合同工Edward Snowden在夏威夷檀香山的一家小型艺术空间主持了本地的一个加密派对(Crypto Party) ,教当地居民如何加密硬盘和使用Tor匿名冲浪。加密派对是一个全球性的草根运动,由澳大利亚的Asher Wolf于2011年发起,目的是让精通Tor和PGP等软件的技术专家帮助记者和活跃人士或其他任何人掌握如何匿名安全的冲浪。这是一个非政治的运动,到2012年年底在全世界已主办了1000多场。Snowden在2012年11月18日通过cincinnatus@lavabit.com邮箱向Tor开发者 Runa Sandvik发去邮件,称他运行了一台作为出口节点的2 gbps服务器,取名为TheSignal,正说服同事设置更多的节点服务器,他向Sandvik索要Tor的官方招贴。Sandvik正计划下个月前往夏威夷度假,她告诉Snowden想要办一个加密派对,向观众介绍Tor,Snowden对此非常热心,他以Cincinnatus这一化名在Crypto Party维基上宣布了夏威夷的活动。在这次派对上,Sandvik讲了Tor,而Snowden介绍了TrueCrypt。两人一起聊天,Sandvik问他在哪里工作,Snowden一开始支支吾吾,最后透露是在戴尔公司工作。Sandvik意识到他没说实情,但直到六个月后她才知道Snowden真实身份。根据Glenn Greenwald的新书《No Place To Hide》,Snowden在派对举行前11天向 Greenwald发去了匿名邮件,在派对举行时他正等待Greenwald的回复。Wolf说,她私下里希望这个派对向Snowden提供了一个机会思考他已经开始计划的事情。
加密技术
WinterIsComing(31822)
发表于2014年05月21日 11时05分 星期三
来自政府权力的一次展现
加密电子邮件服务商Lavabit的创始人Ladar Levison在《卫报》上发表文章,讲述了他决定关闭Lavabit的完整经过。 去年夏天,两位联邦特工上门递交了法庭命令,要求在Lavabit的网络中安装监视设备。Lavabit为41万用户提供服务,其中包括了Edward Snowden。Levison说他别无选择只能同意安装监控设备,让美国政府能访问所有客户接收发送的加密信息。但政府仍然觉得这么做还不够。联邦特工声称法庭命令要求他交出加密私钥。Levison犹豫了,因为交出密钥将可以让政府访问客户的明文信息。他通知特工需要再看一下法庭命令,再咨询一下律师。特工对此感到意外。随后发生的法律程序持续了38天,最终导致了公司的关闭和个人隐私权利的彻底摧毁。
加密技术
WinterIsComing(31822)
发表于2014年05月18日 22时28分 星期日
来自Comic Sans
OpenSSH和LibreSSL开发者、OpenBSD基金会董事Bob Beck用了一系列图片讨论了OpenSSL的问题。LibreSSL是OpenBSD创建的OpenSSL分支。Bob Beck声称OpenSSL基金会只是一家盈利机构,OpenSSL里面没有人真的有兴趣维护OpenSSL,只是加入一个又一个的功能,而几年前的bug都没人除。他指出,被OpenSSL抛弃的bug跟踪系统对于帮助开发者发现和修正bug非常有用,称LibreSSL项目修复的许多bug上游的OpenSSL项目至今还没有修正。Bob Beck还批评了负责拨款的Linux基金会,称他们蒙蔽了双眼,只资助安全意识缺乏的OpenSSL项目,呼吁社区通过资助OpenBSD基金会资助LibreSSL的开发。
Twitter
WinterIsComing(31822)
发表于2014年05月09日 20时15分 星期五
来自地下党
隐藏信息的加密技术隐写术走进了Twitter,新西兰开发者Matthew Holloway利用Unicode同形字创造了在普通推文中嵌入密文的服务。Twitter用户只要一个输入框内输入正常的文字,但另一个输入框输入密文,就能生成如图所示的颜文字。这项服务的安全性很低,实际上只是模糊了下文字。该服务不支持中文。
加密技术
WinterIsComing(31822)
发表于2014年04月28日 20时50分 星期一
来自出于热情
BuzzReads发表了一篇长文,介绍了OpenSSL项目的两位主要成员Steve Marquess和Stephen Henson。 Marquess是一名59岁的军方顾问,2006年OpenSSL项目申请通过政府机构的安全认证,他当时的角色是充当政府和项目主力开发者Stephen Henson的联络员;Henson是一名46岁的英国图论博士,他是OpenSSL项目唯一的全职开发者,在OpenSSL软件基金会创建前年收入只有2万美元。2009年Marquess建立了OpenSSL软件基金会,筹集资金资助OpenSSL项目开发。Marquess即将退休,他的女儿已经毕业,房款已经付清,所以没什么需要他忧心,他希望能帮助OpenSSL项目。OpenSSL软件基金会主要通过与大公司签署合同获得商业收入,它的年收入从未超过100万美元,捐款则是屈指可数。Henson递交了60%的代码,超过任何其他开发者,OpenSSL的主要收入用于资助开发新功能而不是维护旧的代码,安全专家认为它的代码并不清晰,太混乱。Heartbleed漏洞促使外界开始关注和资助OpenSSL。Google、IBM、Facebook和微软等将在未来三年向开源基础设施项目资助390万美元,OpenSSL是第一个资助项目。Marquess认为项目需要数百万美元,需要雇佣6名左右的全职程序员和支持人员。
加密技术
WinterIsComing(31822)
发表于2014年04月24日 11时12分 星期四
来自NSA不满
电子邮件加密软件PGP在1991年发布,使用公钥加密算法。如果使用PGP,你将会创建一对加密和解密邮件的密钥,你的公钥是公开的,被其他人使用加密发送给你的信息。你的私钥则用于解密收到的加密信息。使用PGP密钥,你也可以为邮件签名,证明邮件的发送者是你。PGP很难破解,但也很难使用。安全研究人员发现,大部分用户都不知道如何使用PGP加密和签名信息。今天最容易使用PGP加密的方法是用Firefox和Chrome扩展Mailvelope,但它的缺陷是你需要在每一台电脑上安装该扩展,而且它对Web邮件的兼容性也不是很好。现在,有流言称,Google正在修改Gmail,简化PGP使用,帮助PGP成为主流的电子邮件加密工具。Google还没有对此流言作出回应。作为最大的Web电子邮件服务商之一,搜索巨人显然处于一个解决PGP整合和密钥管理问题的极佳位置上,比如它可以直接将PGP整合到Gmail应用中,用户不需要下载软件就能控制私钥。
安全
WinterIsComing(31822)
发表于2014年04月23日 15时36分 星期三
来自正确的一步 NSA准备实施B计划
美国国家标准技术局(NIST)宣布从随机数生成器推荐算法中删除Dual_EC_DRBG,删除后的指导文件保留了三个加密算法,NIST建议使用Dual_EC_DRBG的用户尽可能快的过渡到三个推荐算法之一。Dual_EC_DRBG(双椭圆曲线随机比特生成器)是由NSA早在2006年就怀疑被NSA植入了后门,去年NSA大规模监控活动以及破解加密算法能力的曝光再次引发了对Dual_EC_DRBG算法的怀疑。Dual_EC_DRBG算法被认为存在弱点,能帮助攻击者加快计算出密钥。NIST称,根据他们的评估以及公众普遍的不信任,它决定移除Dual_EC_DRBG算法。
加密技术
WinterIsComing(31822)
发表于2014年04月15日 12时54分 星期二
来自后门被禁止披露,因为国家安全
iSEC公布了加密软件TrueCrypt第一阶段的安全审计报告,初步分析显示TrueCrypt没有发现含有后门或其它故意加入的恶意代码的证据。TrueCrypt是流行的加密软件,但从未进行过安全审计,在NSA大规模监控活动曝光之后安全研究人员发起了对TrueCrypt的完整安全审计,iSEC负责此次审计。研究人员在代码中发现了一些小的漏洞——例如TrueCrypt使用的迭代次数是1000或2000,不足以保护密码抵抗暴力破解攻击——但没有一个大到足以称之为后门。第一阶段的安全评估重点是TrueCrypt 引导程序和Windows内核驱动等。第二阶段的安全审计将调查TrueCrypt加密套件、随机数生成器和关键密钥算法是否正确实现。
加密技术
WinterIsComing(31822)
发表于2014年04月10日 20时48分 星期四
来自来不及了
最近曝光的OpenSSL高危漏洞显示,即使使用了强密码,在一个存在漏洞的安全系统中也是毫无帮助的。为了确保通信安全,一种选择是使用量子密钥分配(QKD)。QKD被认为具有绝对的安全性,能防止第三方窃听,但在实际中使用还有很大的难度。根据发表在《Physical Review Letters》上的一篇论文,掌上量子密钥生成器正向我们走来,研究人员展示了如何为手持设备实现QKD。它的实用性仍然有限,因为通信双方之间需要一条直接连接的光纤。
加密技术
WinterIsComing(31822)
发表于2014年04月01日 20时12分 星期二
来自NSA和RSA只差一个字符
路透社独家报道,NSA对RSA的渗透比以前认为的更深入,它不是在RSA的加密产品嵌入了一个存在后门的伪随机生成器而是两个。除了众所周知的Dual EC_DRBG双椭圆曲线确定性随机比特生成器外,还有一个是Extended Random。在理论上,Extended Random作为第二个随机性来源,可以使得加密密钥更安全。但约翰霍普金斯大学的加密学专家Matt Green教授等人在一篇即将发布的研究报告中指出,在Extended Random的帮助下,攻击者破解RSA双椭圆曲线加密软件密码的速度将能加快数万倍。NSA在Extended Random协议的开发上扮演着重要角色,协议作者之一的Margaret Salter当时是NSA的一位技术总监,目前在Mozilla工作,她和Mozilla 都拒绝发表评论。Extended Random最早被宣传能增强双椭圆曲线算法所生成随机数的随机性。Green教授说,使用Dual EC_DRBG就像是玩火,而使用Extended Random就像往自己身上浇汽油。
安全
WinterIsComing(31822)
发表于2014年03月26日 19时16分 星期三
来自学特工站在后面对着计算机屏幕拍照
MIT计算机科学和人工智能实验室研究员开发出一个构建安全Web应用和服务的平台Mylar,设计防止用户机密数据泄露。Mylar重新设计了Web应用的架构,用户数据在发送到服务器前会先在浏览器上加密。平台开发者 Raluca Popa指出,服务器是不受信任的,他表示终端用户并不会注意到差异。如果政府向企业索要你的数据,服务器无法提供你的未加密数据。先加密数据的概念并不新颖,但研究人员表示Mylar有望成为被广泛使用的实用工具。Mylar可能是利用类似同态加密的加密技术,能在不解密数据的情况下操作用户数据。