adv

各位朋友大家好,欢迎您进入solidot新版网站,在使用过程中有任何问题或建议,请与很忙的管理员联系。
比特币
pigsrollaroundinthem(39396)
发表于2016年10月26日 15时38分 星期三
来自囤一些
ZCash公司将于10月28日发布同名数字货币,它在很多方面与比特币相同,都是基于数字帐薄区块链技术,但它在一个重要方面与比特币不同——它是真正的匿名的数字货币。比特币的交易都记录在区块链,虽然用户可以生成无数的地址,但并非真正匿名,而ZCash将是第一种将区块链属性和加密属性结合起来的数字货币,加密层让ZCash的交易不会在区块链中留下痕迹,外界唯一知道的事情是有交易发生了。要创造出真正不受政府控制的数字货币,匿名性至关重要。ZCash使用区块链记录和公开广播每一笔的交易,但它隐藏了交易者的所有身份信息。但在不知道身份信息的情况下如果验证交易的真实性?ZCash利用了名叫零知识证明的技术在不披露任何有关货币来自何处又流向何处的信息的情况下验证想要花钱的用户确实拥有货币。ZCash由约翰霍普金斯大学加密专家Matthew Green领导的团队设计,结合了以色列理工学院计算机科学家 Eli Ben-Sasson开发的零知识证明 zk-SNARK。公司CEO Zooko Wilcox视隐私为一种权利,他的公司将控制10%的ZCash数字货币,其余90%由矿工控制。
安全
pigsrollaroundinthem(39396)
发表于2016年10月18日 11时07分 星期二
来自TrueCrypt仍然靠得住
在 DuckDuckGo 和 VikingVPN 的资助下,QuarksLab 对开源加密软件 VeraCrypt 进行了安全审计。VeraCrypt 是 TrueCrypt 的分支,主要开发者是法国的 Mounir Idrassi,他在 TrueCrypt 基础上强化了防暴力破解功能。QuarksLab 刚刚公布了审计报告,发现了8个高危漏洞和十多个中低威胁级别漏洞。VeraCrypt 发布了1.19版本,修复了报告披露的部分漏洞,但还有部分漏洞因为其复杂性而尚未修复。已经修复的漏洞包括:VeraCrypt 使用了旧版本的zlib库,1.19版移除了旧版本用新版本替换;移除GOST 28147-89加密选项,原因是其实现不安全;修复了多个UEFI支持问题,等等。
加密技术
pigsrollaroundinthem(39396)
发表于2016年10月12日 21时08分 星期三
来自SM2标准
美国宾夕法尼亚大学和法国洛林大学的研究人员发表了一篇论文(PDF),报告了一种通过植入“陷阱门素数”被动解密加密通信的方法。这项技术引人注目之处在于他们是向 Diffie-Hellman 密钥交换协议使用的1024位密钥中植入陷阱门。陷阱门是加密学中的后门,构建陷阱门可以让因式分解变得更简单。NSA或类似机构如果能让主流加密规格采用一个或多个陷阱门素数,那么它们就能够轻松的监视数以百万计的加密通信。Edward Snowden泄漏的文件曾披露NSA能够大规模的监听加密通信。NIST早在2010年就推荐将密钥长度从1024位增加到2048位,但1024位密钥仍然被广泛使用,调查发现,Top 200,000 HTTPS网站中有22%使用1024位密钥去执行密钥交换。Java  8不支持长度超过1024位的密钥。
加密技术
pigsrollaroundinthem(39396)
发表于2016年10月05日 17时53分 星期三
来自已安装
提供端对端加密的消息应用 Signal 在美国公民自由联盟(ACLU)的帮助下成功挑战了FBI的封口令。它通过ACLU 披露 今年早些时候收到了FBI的传票和封口令,索要两名 Signal 用户的数据,包括名字、地址、电子邮件地址、电话号码和支付方法。然而让FBI失望的是,Signal以最小化保留用户数据著称,它无法向特工们提供多少有用的信息。它只记录了账号创建的时间和最后一次连接服务器的日期。这些数据交给了FBI,但可能并不具有任何用途。传票还附带长达一年的封口令,但ACLU帮助成功挑战了这一命令。
加密技术
pigsrollaroundinthem(39396)
发表于2016年09月10日 09时24分 星期六
来自
hosiet 写道 " USTC LUG 即日起开始维护 sks.ustclug.org,且已加入SKS Keyserver Pool。用户可以在 sks-keyservers.net 上找到监控信息,并在 sks.ustclug.org 网站上找到统计信息。

GnuPG 用户可以设置 keyserver 服务器为 hkp://sks.ustclug.org 来直接使用。如: gpg --keyserver hkp://sks.ustclug.org --refresh-keys

具体使用方法请见网站内容与这篇公告文章。"

加密技术
pigsrollaroundinthem(39396)
发表于2016年09月09日 19时56分 星期五
来自统计物理
利用量子力学的无法预测属性,意大利和西班牙团队开发出了集成电路能产生真随机数。随机数对于确保数据安全的加密方案至关重要。今天的随机数生成方法都称不上完美,很多时候你只需要等待足够长的时间,就可以发现数据之间的关联,这些信息最终能帮助你破解随机数生成方案。根据定义,量子物理学是无法预测的,你无法根据目前的信息猜测出未来的数字。量子随机数生成器并不是今天才有,但研究人员的目标是可携性,有朝一日可以将其整合到移动设备上。研究报告发表在《Optica》期刊上。
加密技术
pigsrollaroundinthem(39396)
发表于2016年08月22日 17时59分 星期一
来自后门
2014年《明镜周刊》根据Edward Snowden泄露的机密文件报道了NSA及其盟友如何跟踪、解密加密通讯流量。报道称,NSA及其盟友每天拦截了大量加密HTTPS连接,它能成功破解加密应用如Skype和VPN。现在,安全研究人员发现了思科已退役的防火墙产品PIX的漏洞,允许攻击者远程提取解密密钥。被称为 BenignCertain的攻击代码适用于思科在2002年发布的PIX版本,该版本一直支持到2009年。安全研究人员Mustafa Al-Bassam认为,NSA在超过10年时间里能远程提取思科VPN的密钥,这解释了NSA如何每分钟解密数以千计的VPN连接。思科称它目前支持的防火墙产品不受该漏洞的影响,受影响的主要是 PIX v 6.x及早期版本。BenignCertain利用了思科互联网密钥交换协议实现的弱点。
安全
pigsrollaroundinthem(39396)
发表于2016年08月16日 09时27分 星期二
来自敌基督
biergaizi 写道 "六月份起,互联网上出现了真正的 PGP 短 ID 碰撞攻击:这些短 ID 碰撞的假 PGP 密钥的姓名、邮箱和真密钥完全一样,而且还完全的复制了真实密钥的信任签名,形成了和真实密钥相对称的,假密钥构成的完整假信任网络。这些密钥可以用来进行中间人攻击。而最近几天,攻击则继续持续扩大,网络上已经出现的假冒的 Linus Torvalds 密钥

假冒: 0F6A 1465 32D8 69AE E438  F74B 6211 AA3B [0041 1886]

真实: ABAF 11C6 5A29 70B1 30AB  E3C4 79BE 3E43 [0041 1886]

假冒的 Greg Kroah-Hartman 密钥

假冒:497C 48CE 16B9 26E9 3F49  6301 2736 5DEA [6092 693E]

真实:647F 2865 4894 E3BD 4571  99BE 38DB BDC8 [6092 693E]

开发者 Gunnar Wolf 呼吁,仅仅把短 ID 改成长 ID 并不解决根本问题,因为把完整密钥指纹切割出一部分来当 ID 本身就是一个糟糕的主意。我们要么展示完整的密钥指纹,要么就什么都不展示让软件自动完成,展示不完整的密钥 ID 没有意义。用户和开发者应该尽快使用完整的指纹来表示密钥,杜绝问题。 "
加密技术
pigsrollaroundinthem(39396)
发表于2016年08月15日 20时57分 星期一
来自法国要求后门
DuckDuckGoVikingVPN的资助下,QuarksLab将对开源加密软件VeraCrypt进行安全审计。VeraCrypt是TrueCrypt的分支,主要开发者是法国的Mounir Idrassi,他在TrueCrypt基础上强化了防暴力破解功能。安全审计对于一款加密软件至关重要,QuarksLab将致力于寻找软件的漏洞和后门,审计结果将首先提供给VeraCrypt的开发者,以避免将新发现的0day漏洞泄漏,在主要漏洞修复之后,安全审计报告将正式公布。
加密技术
pigsrollaroundinthem(39396)
发表于2016年08月13日 22时22分 星期六
来自腾讯在看着你
Alice 和 Bob 想要进行通信,他们使用消息平台被邪恶的 EVE 监视着,EVE 事实上监视着所有ISP的流量,利用算法探测隐藏的信息。Alice 和 Bob 如何能在敌人的眼皮底下安全通信?在本周举行的USENIX安全会议上,研究人员提出了语言隐写方法 Matryoshka(俄罗斯套娃)——将人类的信息隐藏在另一个类似人类写的信息中。现有的隐写工具会导致加密信息的体积增大,因此很容易被发现。研究人员通过压缩信息,映射到合理的单词次序,让人类用户编辑结果产生看起来是人类写的有意义的信息。研究人员构建了原型,利用亚马逊的Mechanical Turk招募志愿者进行测试,结果显示编辑信息所耗费的时间与写一份简短的邮件相差无几。
加密技术
pigsrollaroundinthem(39396)
发表于2016年08月12日 19时42分 星期五
来自问我支持不支持,我说支持
路透社报道,法国内政部长 Bernard Cazeneuve 周四表示,被伊斯兰极端分子广泛用于策划攻击的消息加密,需要在全世界范围内对其展开打击。他计划于8月23日在巴黎会见德国的内政部长 Thomas de Maiziere,希望德国能帮助法国推动一项全球性的倡议。他声称,伊斯兰极端分子正越来越多的从主流社交媒体切换到加密消息服务,而法国的情报部门在破解加密消息上面临很多挑战。Cazeneuve称,加密是打击恐怖主义的核心问题。根据相关报道,对巴黎发动袭击的恐怖分子没有使用加密而是使用一次性手机互相联络的。
加密技术
pigsrollaroundinthem(39396)
发表于2016年08月08日 16时04分 星期一
来自让我们一起加密
旨在让每个网站都能启用 HTTPS 加密的 Let's Encrypt 项目宣布了一个重要里程碑:Mozilla的 root 程序接纳了 Let's Encrypt CA ,计划在第四季度发布的 Firefox 50 将默认信任 Let's Encrypt CA(ISRG Root X1) 。Let's Encrypt 目前是通过与另一个CA IdenTrust合作,让它签发的证书能被各大浏览器信任。Let's Encrypt 对于 IdenTrust 在项目初始阶段的帮助表示感谢,称它的目标始终是作为一个独立的被信任 CA 进行运作。它已经向苹果、微软、Google、甲骨文和黑莓维护的CA trust root 递交了申请,目前尚未有回应。
加密技术
pigsrollaroundinthem(39396)
发表于2016年08月02日 20时16分 星期二
来自大帝的话必须执行
俄罗斯总统普京上个月签署了受争议的反恐法律。根据新的法律,电信和互联网公司要求记录和储存所有客户消息六个月,要求所有消息应用内置加密后门,允许情报机构联邦安全局无需司法授权访问任何的用户加密通信。普京当时给了联邦安全局两周时间开发出收集加密密钥的方法。现在联邦安全局发表声明(俄语),声称它现在拥有了收集互联网服务用户加密的密钥的能力。但目前不清楚它的话究竟代表什么意思,而新的反恐法律的适用范围也没有能人搞清楚。
加密技术
pigsrollaroundinthem(39396)
发表于2016年07月28日 20时10分 星期四
来自抓毒贩
纽约地区检察官 Cyrus Vance Jr.呼吁苹果和Google弱化设备加密,声称数千起犯罪案件因为无人能破解作案者的手机而成为悬案。Vance在网络安全国际会议上说,他只想要加密标准能回到企业能自己解密设备的程度,而不是要求加密后门。现有的强加密企业自己也无法破解。对警方来说,加密的情况是2014年9月之后开始恶化的,当时苹果推出了支持强加密的iOS 8。Vance称,Tim Cook对股东说的iPhone改变世界这句话是绝对正确的,“它改变了我的世界,而犯罪分子知道我们无法监听他们的活动。”悬案什么时候都有,许多人要求检察官提供iPhone之前的破案比例。
加密技术
pigsrollaroundinthem(39396)
发表于2016年07月27日 13时15分 星期三
来自IPv6屏蔽准备就绪
旨在让每个网站都能启用HTTPS加密的Let’s Encrypt项目宣布完整支持IPv6。Let’s Encrypt在声明中称,随着IPv4地址空间的枯竭,愈来愈多的人开始部署只能通过IPv6获得的服务,完整支持IPv6将能让Let’s Encrypt服务于更多的人和机构,这对于它加密整个Web的使命至关重要。根据Google的统计,IPv6的部署比例超过了10%。
英国
pigsrollaroundinthem(39396)
发表于2016年07月16日 19时31分 星期六
来自今年是1984年
在英国下议院委员会审议辩论中,国防大臣 Howe 伯爵表示调查权力法(Investigatory Powers Bill)给予内政大臣权力强迫通信服务提供商移除或禁止端对端加密。自由民主党成员Strasburger勋爵认为政府的话暗示没有人可以开发端对端加密。他说,加密是通信双方用户之间的隐私,端对端加密意味着通信服务提供商也无法破解加密。如果内政大臣有权移除加密,那么这意味着加密能被破解,没有真正的端对端加密,而下一个版本的Apple iPhone在理论上将是非法的。Howe伯爵回答,他没有暗示政府希望禁止端对端加密,政府也没有寻求禁止任何类型的加密,而是希望企业能提供合理可行的方法去解密通信内容。
加密技术
pigsrollaroundinthem(39396)
发表于2016年07月14日 19时25分 星期四
来自我们这里真不需要
我们所熟悉的HTTP前缀正快速被HTTPS所取代。HTTPS中的S代表你的连接是安全的,其他人要想看你在做什么将会变得愈加困难。而今天的互联网上人人都想看你正在干什么。HTTPS曾经主要被金融、购物类网站使用,但在主要互联网公司和浏览器开发商的推动之下,HTTPS在加速普及,HTTP正在被加速淘汰。不加密的HTTP连接是不安全的,你和目标服务器之间的任何中间人能读取和操纵传输的数据,比如ISP可以在你点击的网页上插入广告,你很可能根本不知道你看到的广告是否是网站发布的。中间人能够注入的代码不仅仅是看起来无害的广告,他们还可能注入具有恶意目的的代码。去年,百度联盟广告的脚本被中间人修改,加入了代码对两个政府不喜欢的网站发动了DDoS攻击。这次攻击被称为网络大炮,敌意的大炮让普通的网民在不知情下变成了DDoS攻击者。唯一能阻止大炮的方法是加密流量
加密技术
pigsrollaroundinthem(39396)
发表于2016年07月11日 19时20分 星期一
来自量子加固算法
HTTPS加密使用的常用算法都能在有限时间内破解,区别在于时间长短。如果能利用量子计算机的并行计算能力,破解速度还能提升许多个数量级。Google透露,它的服务器将在未来几个月引入一种实验性的加密算法Ring Learning With Errors(Ring-LWE),不同于Diffie-Hellman密钥交换方法,或RSA和椭圆曲线加密,Ring-LWE能对抗量子计算机的破解。Google计划结合现有的算法,观察Ring-LWE在现实世界环境中的表现。Ring-LWE将以一种方法与现有密钥交换方法的混合起来:攻击者如果想要解密加密流量将需要先破解两种加密算法。
Facebook
pigsrollaroundinthem(39396)
发表于2016年07月09日 19时13分 星期六
来自电报不用 Signal
Facebook Messenger开始向用户推送新的“秘密会话”功能,它与 Open Whisper Systems 合作整合 Signal 协议加入了端对端加密支持。但和 Google Allo 等消息应用类似,端对端加密支持没有默认启用。Facebook在应用中使用了开源的 Signal 协议库,Open Whisper Systems 表示虽然强加密功能没有默认启用,但这仍然是巨大的一步。启用端对端加密后将使得消息应用服务商也不知道用户的消息内容,但元数据仍然被记录下来。
Android
pigsrollaroundinthem(39396)
发表于2016年07月03日 22时14分 星期日
来自WP没人去破解
使用高通芯片的Android设备存在多个漏洞,攻击者很容易从锁定的设备中提取出加密密钥,然后用超级电脑或其它专门设备进行暴力破解。Google和高通发表声明称漏洞已经修复,但研究人员估计,37%的Android企业用户没有打上补丁。漏洞存在于高通ARM处理器的安全功能TrustZone中,以色列独立安全研究人员Gal Beniamini已经释出了漏洞利用代码,利用TrustZone的两个漏洞(编号CVE-2015-6639CVE-2016-2431)提取出磁盘加密密钥。漏洞补丁已经释出,但Beniamini指出,已经修复的Android设备可以回滚到未修复状态。高通发言人声称,该公司的平台支持反回滚机制,能阻止设备安装旧的软件版本。