adv

solidot此次改版内容包括服务器更新、编程语言、网站后台管理的优化、页面和操作流程的优化等。
加密技术
pigsrollaroundinthem(39396)
发表于2016年08月02日 20时16分 星期二
来自大帝的话必须执行
俄罗斯总统普京上个月签署了受争议的反恐法律。根据新的法律,电信和互联网公司要求记录和储存所有客户消息六个月,要求所有消息应用内置加密后门,允许情报机构联邦安全局无需司法授权访问任何的用户加密通信。普京当时给了联邦安全局两周时间开发出收集加密密钥的方法。现在联邦安全局发表声明(俄语),声称它现在拥有了收集互联网服务用户加密的密钥的能力。但目前不清楚它的话究竟代表什么意思,而新的反恐法律的适用范围也没有能人搞清楚。
加密技术
pigsrollaroundinthem(39396)
发表于2016年07月28日 20时10分 星期四
来自抓毒贩
纽约地区检察官 Cyrus Vance Jr.呼吁苹果和Google弱化设备加密,声称数千起犯罪案件因为无人能破解作案者的手机而成为悬案。Vance在网络安全国际会议上说,他只想要加密标准能回到企业能自己解密设备的程度,而不是要求加密后门。现有的强加密企业自己也无法破解。对警方来说,加密的情况是2014年9月之后开始恶化的,当时苹果推出了支持强加密的iOS 8。Vance称,Tim Cook对股东说的iPhone改变世界这句话是绝对正确的,“它改变了我的世界,而犯罪分子知道我们无法监听他们的活动。”悬案什么时候都有,许多人要求检察官提供iPhone之前的破案比例。
加密技术
pigsrollaroundinthem(39396)
发表于2016年07月27日 13时15分 星期三
来自IPv6屏蔽准备就绪
旨在让每个网站都能启用HTTPS加密的Let’s Encrypt项目宣布完整支持IPv6。Let’s Encrypt在声明中称,随着IPv4地址空间的枯竭,愈来愈多的人开始部署只能通过IPv6获得的服务,完整支持IPv6将能让Let’s Encrypt服务于更多的人和机构,这对于它加密整个Web的使命至关重要。根据Google的统计,IPv6的部署比例超过了10%。
英国
pigsrollaroundinthem(39396)
发表于2016年07月16日 19时31分 星期六
来自今年是1984年
在英国下议院委员会审议辩论中,国防大臣 Howe 伯爵表示调查权力法(Investigatory Powers Bill)给予内政大臣权力强迫通信服务提供商移除或禁止端对端加密。自由民主党成员Strasburger勋爵认为政府的话暗示没有人可以开发端对端加密。他说,加密是通信双方用户之间的隐私,端对端加密意味着通信服务提供商也无法破解加密。如果内政大臣有权移除加密,那么这意味着加密能被破解,没有真正的端对端加密,而下一个版本的Apple iPhone在理论上将是非法的。Howe伯爵回答,他没有暗示政府希望禁止端对端加密,政府也没有寻求禁止任何类型的加密,而是希望企业能提供合理可行的方法去解密通信内容。
加密技术
pigsrollaroundinthem(39396)
发表于2016年07月14日 19时25分 星期四
来自我们这里真不需要
我们所熟悉的HTTP前缀正快速被HTTPS所取代。HTTPS中的S代表你的连接是安全的,其他人要想看你在做什么将会变得愈加困难。而今天的互联网上人人都想看你正在干什么。HTTPS曾经主要被金融、购物类网站使用,但在主要互联网公司和浏览器开发商的推动之下,HTTPS在加速普及,HTTP正在被加速淘汰。不加密的HTTP连接是不安全的,你和目标服务器之间的任何中间人能读取和操纵传输的数据,比如ISP可以在你点击的网页上插入广告,你很可能根本不知道你看到的广告是否是网站发布的。中间人能够注入的代码不仅仅是看起来无害的广告,他们还可能注入具有恶意目的的代码。去年,百度联盟广告的脚本被中间人修改,加入了代码对两个政府不喜欢的网站发动了DDoS攻击。这次攻击被称为网络大炮,敌意的大炮让普通的网民在不知情下变成了DDoS攻击者。唯一能阻止大炮的方法是加密流量
加密技术
pigsrollaroundinthem(39396)
发表于2016年07月11日 19时20分 星期一
来自量子加固算法
HTTPS加密使用的常用算法都能在有限时间内破解,区别在于时间长短。如果能利用量子计算机的并行计算能力,破解速度还能提升许多个数量级。Google透露,它的服务器将在未来几个月引入一种实验性的加密算法Ring Learning With Errors(Ring-LWE),不同于Diffie-Hellman密钥交换方法,或RSA和椭圆曲线加密,Ring-LWE能对抗量子计算机的破解。Google计划结合现有的算法,观察Ring-LWE在现实世界环境中的表现。Ring-LWE将以一种方法与现有密钥交换方法的混合起来:攻击者如果想要解密加密流量将需要先破解两种加密算法。
Facebook
pigsrollaroundinthem(39396)
发表于2016年07月09日 19时13分 星期六
来自电报不用 Signal
Facebook Messenger开始向用户推送新的“秘密会话”功能,它与 Open Whisper Systems 合作整合 Signal 协议加入了端对端加密支持。但和 Google Allo 等消息应用类似,端对端加密支持没有默认启用。Facebook在应用中使用了开源的 Signal 协议库,Open Whisper Systems 表示虽然强加密功能没有默认启用,但这仍然是巨大的一步。启用端对端加密后将使得消息应用服务商也不知道用户的消息内容,但元数据仍然被记录下来。
Android
pigsrollaroundinthem(39396)
发表于2016年07月03日 22时14分 星期日
来自WP没人去破解
使用高通芯片的Android设备存在多个漏洞,攻击者很容易从锁定的设备中提取出加密密钥,然后用超级电脑或其它专门设备进行暴力破解。Google和高通发表声明称漏洞已经修复,但研究人员估计,37%的Android企业用户没有打上补丁。漏洞存在于高通ARM处理器的安全功能TrustZone中,以色列独立安全研究人员Gal Beniamini已经释出了漏洞利用代码,利用TrustZone的两个漏洞(编号CVE-2015-6639CVE-2016-2431)提取出磁盘加密密钥。漏洞补丁已经释出,但Beniamini指出,已经修复的Android设备可以回滚到未修复状态。高通发言人声称,该公司的平台支持反回滚机制,能阻止设备安装旧的软件版本。
加密技术
pigsrollaroundinthem(39396)
发表于2016年06月27日 17时40分 星期一
来自
最近一段时间,多个加密后门浮出了水面:RSA产品使用的椭圆曲线伪随机生成器Dual EC,其后门据信是NSA植入的;网络设备制造商Juniper的操作系统ScreenOS被发现使用了一个修改版的Dual EC,允许第三方解密加密流量;开源工具socat发现了一个硬编码的1024位Diffie-Hellman参数不是素数。NCC Group的David Wong发表了一篇论文(PDF)探讨了如何构建Diffie-Hellman后门,相关代码和工具发表在GitHub上。
加密技术
pigsrollaroundinthem(39396)
发表于2016年06月21日 11时29分 星期二
来自QQ 微信
俄罗斯杜马提出的一项新法案强制性要求所有消息应用内置加密后门,以便于联邦安全局能够访问。WhatsApp、Viber和Telegram等消息应用都提供了不同程度的加密,它们都是俄罗斯新反恐法案的目标。违反该法的企业将面临100万卢布的罚款。俄罗斯参议员Yelena Mizulina称新的法案应该成为法律,称封闭群组中的年轻人被洗脑去谋杀警官,而加密保护了他们之间的通信。
安全
pigsrollaroundinthem(39396)
发表于2016年06月06日 20时39分 星期一
来自签名
通常有三种方式指代PGP/GPG密钥:短密钥ID、长密钥ID和完整指纹。因为短密钥ID最便于使用,因此它的使用也是最广。但短密钥ID不可避免会容易发生“碰撞”。 Debian开发者Enrico Zini报告发现了两个密钥共享相同的短ID,在联络了其中一位密钥所有者之后对方表示对第二个密钥不知情。我们不知道幕后者是谁,或是出于什么动机,只知道看起来很邪恶。Gunnar Wolf发表了一篇博文呼吁开发者尽可能快的停止使用短密钥ID
加密技术
pigsrollaroundinthem(39396)
发表于2016年05月31日 12时23分 星期二
来自向中国学习
路透社报道,伊朗给了外国的消息类应用一年时间去将伊朗用户的数据迁移到该国境内的服务器。这一要求与中国相似,政府想要能跟踪私人聊天记录。伊朗网络空间最高委员会给社交媒体公司一年时间迁移所有与伊朗公民相关的数据和活动。伊朗有着十分严厉的网络控制,流行的社交平台如Facebook和Twitter被屏蔽,新的监管要求可能会影响未被屏蔽的消息应用如Telegram,Telegram在伊朗非常受欢迎,有2000万用户,而伊朗人口大约8000万。一些伊朗用户表示如果Telegram真的将数据迁移到伊朗服务器,那么他们将会停止使用该服务。
加密技术
pigcanfly(38602)
发表于2016年05月23日 16时16分 星期一
来自Google现在真是大公司了
Google上周在露天开发者大会I/O上公布了智能消息应用Allo,它还与Open Whisper Systems合作为Allo加入了端对端加密功能,但没有默认启用,用户需要进入隐身模式后才能使用该功能。这一做法招致了批评,因为大部分人不会改变默认设置,这就为政府监视开启了一扇方便之门。负责Allo安全功能的一位Google工程师Thai Duong在自己的博客上描述了端对端加密功能,表示他也希望能默认启用端对端加密。但在隐私倡导人士批评Google的做法之后,他大幅修改了这篇文章,甚至连自己的身份都修改了——之前他称自己是Allo安全团队成员,现在变成了Allo团队安全方面的外界顾问,他表示不能公开讨论雇主产品功能的意图或未来计划。
加密技术
pigcanfly(38602)
发表于2016年05月19日 11时00分 星期四
来自Google想要跟踪你的一切
Google I/O开发者大会上,搜索巨人宣布了一个新的智能消息应用Allo。Open Whisper Systems透露,它与Google合作在Allo中整合了Signal协议,为该应用加入了端对端加密支持。但是Allo默认没有启用强加密,用户需要进入隐身模式后才能使用端对端加密,端对端加密意味着Google不会备份用户的信息,它将不会知道消息内容。除了Allo外,Google还宣布了视频聊天应用Duo;Android N的最新预览版;Instant Apps——用户无需安装就能直接运行应用;挑战Amazon Echo的家庭智能助手Google Home;Android VR平台Daydream,等等。
加密技术
pigcanfly(38602)
发表于2016年05月18日 10时51分 星期三
来自真随机
biergaizi 写道 "德州大学的两名研究人员宣布了部分专家认为的随机数生成的重大理论突破,这可能对密码学和计算机安全造成深远的影响。计算机安全教授 David Zuckerman 和研究生 Eshan Chattopadhyay 在三月份发表的论文将在今年六月举办的计算理论研讨会(Symposium on Theory of Computing)上演讲。他们的论文描述了一种生成随机数的新方法,虽然是理论性的,但 Zuckerman 称这会为密码学、科学调查和例如气候的其他复杂系统带来有实用意义的改进。“我们的论文表明,如果存在两个低质量的随机源 —— 通常很容易找到 —— 如果这两个随机源是独立无相关性的,那么你就可以通过一种方法将它们合并起来,得到高质量的随机数。”Zuckerman 说,“已经有很多人尝试这么做了,但过去的方法的要求并不低,依然需要一个质量中等的随机源。而我们的研究则作出了重大改进。” 研究的细节可以在论文《Explicit Two-Source Extractors and Resilient Functions》中找到。./ 上的读者则对此研究的意义有许多看法和讨论,可以在此查看。"
加密技术
pigcanfly(38602)
发表于2016年05月11日 16时53分 星期三
来自英社等待下一次机会
英国威斯敏斯特的一位法官做出裁决,黑客活动人士Lauri Love不能被强迫交出加密密钥。这一判决被认为是英国所有加密使用者的胜利,也是有关隐私和个人自由的一项重大决定。2014年,英国国家犯罪调查局扣押了Love的加密电子设备,试图根据2000年的调查权管理法强迫他交出加密密钥,但没有成功。随后,犯罪调查局又尝试根据1897年的警察财产处理法律强迫Love交出密钥,声称交出密钥是唯一能检查设备内容的方法。但他们所持的理由被法官驳回。
加密技术
pigcanfly(38602)
发表于2016年05月05日 16时58分 星期四
来自一直被封从未解除
Google开始对所有Blogspot域名默认启用HTTPS。在这之前,启用HTTPS是Blogspot设置中可选的功能。Google安全工程师Milanda Perera称,HTTPS是互联网安全的基础,能保护网站和用户浏览器之间所发送数据的完整性和保密性。他们从设置中移除了可选的启用HTTPS,默认对所有域名启用加密。启用HTTPS的好处包括:第三方将不知道你访问的内容;确保你通信的服务器属于域名的真正所有人;防止第三方纂改内容如插入广告。
加密技术
pigcanfly(38602)
发表于2016年05月03日 15时39分 星期二
来自SHA-2
微软安全团队宣布,从今年夏天释出Windows 10周年更新开始,Microsoft Edge和Internet Explorer浏览器将视SHA-1签名的数字证书为不安全的,HTTPS网站如果使用了SHA-1证书将会移除地址栏的锁标志,用户仍然可以访问网站,但连接将会被认为不安全。随着计算能力的提升,伪造使用SHA-1算法签名的证书所需的时间将会越来越少。主要浏览器开发商都制定了淘汰SHA-1的计划。微软将从2017年2月开始完全屏蔽SHA-1签名的数字证书,用户将不再能访问使用SHA-1证书的网站。
加密技术
pigcanfly(38602)
发表于2016年04月28日 19时33分 星期四
来自看谁能撑下去
美国费城的一位前警官被怀疑持有儿童色情,他因为拒绝要求他解密加密硬盘的法庭命令而面临无限期拘禁。他还没有受到任何指控,辩护律师要求联邦上诉法院立即释放其客户。这位嫌疑人使用了苹果的FileVault软件加密了两个硬盘,政府再次成功的引用1789年的All Writs Act要求嫌疑人解密被认为包含儿童色情的加密硬盘。All Writs Act也曾被美国司法部用于强迫苹果帮助FBI开发后门固件解锁枪手的手机,这一诉讼最终在支付了超过100万美元后撤回。
加密技术
pigcanfly(38602)
发表于2016年04月26日 19时17分 星期二
来自明文时代还在
美国国家情报总监 James Clapper称,Snowden的曝光加速了先进加密技术的推广,在情报界看来这不是好事。他表示加密技术的普及比NSA预计的快了7年。Clapper还声称,伊斯兰国是至今互联网上最老练的用户,该组织购买了软件确保通信的端对端加密,但他没说明购买了什么软件。媒体曾报道说伊斯兰国使用过Telegram、 WhatsApp和TrueCrypt,但这些都是免费软件不需要付费。