adv

solidot新版网站常见问题,请点击这里查看。
加密技术
pigsrollaroundinthem(39396)
发表于2016年08月15日 20时57分 星期一
来自法国要求后门
DuckDuckGoVikingVPN的资助下,QuarksLab将对开源加密软件VeraCrypt进行安全审计。VeraCrypt是TrueCrypt的分支,主要开发者是法国的Mounir Idrassi,他在TrueCrypt基础上强化了防暴力破解功能。安全审计对于一款加密软件至关重要,QuarksLab将致力于寻找软件的漏洞和后门,审计结果将首先提供给VeraCrypt的开发者,以避免将新发现的0day漏洞泄漏,在主要漏洞修复之后,安全审计报告将正式公布。
加密技术
pigsrollaroundinthem(39396)
发表于2016年08月13日 22时22分 星期六
来自腾讯在看着你
Alice 和 Bob 想要进行通信,他们使用消息平台被邪恶的 EVE 监视着,EVE 事实上监视着所有ISP的流量,利用算法探测隐藏的信息。Alice 和 Bob 如何能在敌人的眼皮底下安全通信?在本周举行的USENIX安全会议上,研究人员提出了语言隐写方法 Matryoshka(俄罗斯套娃)——将人类的信息隐藏在另一个类似人类写的信息中。现有的隐写工具会导致加密信息的体积增大,因此很容易被发现。研究人员通过压缩信息,映射到合理的单词次序,让人类用户编辑结果产生看起来是人类写的有意义的信息。研究人员构建了原型,利用亚马逊的Mechanical Turk招募志愿者进行测试,结果显示编辑信息所耗费的时间与写一份简短的邮件相差无几。
加密技术
pigsrollaroundinthem(39396)
发表于2016年08月12日 19时42分 星期五
来自问我支持不支持,我说支持
路透社报道,法国内政部长 Bernard Cazeneuve 周四表示,被伊斯兰极端分子广泛用于策划攻击的消息加密,需要在全世界范围内对其展开打击。他计划于8月23日在巴黎会见德国的内政部长 Thomas de Maiziere,希望德国能帮助法国推动一项全球性的倡议。他声称,伊斯兰极端分子正越来越多的从主流社交媒体切换到加密消息服务,而法国的情报部门在破解加密消息上面临很多挑战。Cazeneuve称,加密是打击恐怖主义的核心问题。根据相关报道,对巴黎发动袭击的恐怖分子没有使用加密而是使用一次性手机互相联络的。
加密技术
pigsrollaroundinthem(39396)
发表于2016年08月08日 16时04分 星期一
来自让我们一起加密
旨在让每个网站都能启用 HTTPS 加密的 Let's Encrypt 项目宣布了一个重要里程碑:Mozilla的 root 程序接纳了 Let's Encrypt CA ,计划在第四季度发布的 Firefox 50 将默认信任 Let's Encrypt CA(ISRG Root X1) 。Let's Encrypt 目前是通过与另一个CA IdenTrust合作,让它签发的证书能被各大浏览器信任。Let's Encrypt 对于 IdenTrust 在项目初始阶段的帮助表示感谢,称它的目标始终是作为一个独立的被信任 CA 进行运作。它已经向苹果、微软、Google、甲骨文和黑莓维护的CA trust root 递交了申请,目前尚未有回应。
加密技术
pigsrollaroundinthem(39396)
发表于2016年08月02日 20时16分 星期二
来自大帝的话必须执行
俄罗斯总统普京上个月签署了受争议的反恐法律。根据新的法律,电信和互联网公司要求记录和储存所有客户消息六个月,要求所有消息应用内置加密后门,允许情报机构联邦安全局无需司法授权访问任何的用户加密通信。普京当时给了联邦安全局两周时间开发出收集加密密钥的方法。现在联邦安全局发表声明(俄语),声称它现在拥有了收集互联网服务用户加密的密钥的能力。但目前不清楚它的话究竟代表什么意思,而新的反恐法律的适用范围也没有能人搞清楚。
加密技术
pigsrollaroundinthem(39396)
发表于2016年07月28日 20时10分 星期四
来自抓毒贩
纽约地区检察官 Cyrus Vance Jr.呼吁苹果和Google弱化设备加密,声称数千起犯罪案件因为无人能破解作案者的手机而成为悬案。Vance在网络安全国际会议上说,他只想要加密标准能回到企业能自己解密设备的程度,而不是要求加密后门。现有的强加密企业自己也无法破解。对警方来说,加密的情况是2014年9月之后开始恶化的,当时苹果推出了支持强加密的iOS 8。Vance称,Tim Cook对股东说的iPhone改变世界这句话是绝对正确的,“它改变了我的世界,而犯罪分子知道我们无法监听他们的活动。”悬案什么时候都有,许多人要求检察官提供iPhone之前的破案比例。
加密技术
pigsrollaroundinthem(39396)
发表于2016年07月27日 13时15分 星期三
来自IPv6屏蔽准备就绪
旨在让每个网站都能启用HTTPS加密的Let’s Encrypt项目宣布完整支持IPv6。Let’s Encrypt在声明中称,随着IPv4地址空间的枯竭,愈来愈多的人开始部署只能通过IPv6获得的服务,完整支持IPv6将能让Let’s Encrypt服务于更多的人和机构,这对于它加密整个Web的使命至关重要。根据Google的统计,IPv6的部署比例超过了10%。
英国
pigsrollaroundinthem(39396)
发表于2016年07月16日 19时31分 星期六
来自今年是1984年
在英国下议院委员会审议辩论中,国防大臣 Howe 伯爵表示调查权力法(Investigatory Powers Bill)给予内政大臣权力强迫通信服务提供商移除或禁止端对端加密。自由民主党成员Strasburger勋爵认为政府的话暗示没有人可以开发端对端加密。他说,加密是通信双方用户之间的隐私,端对端加密意味着通信服务提供商也无法破解加密。如果内政大臣有权移除加密,那么这意味着加密能被破解,没有真正的端对端加密,而下一个版本的Apple iPhone在理论上将是非法的。Howe伯爵回答,他没有暗示政府希望禁止端对端加密,政府也没有寻求禁止任何类型的加密,而是希望企业能提供合理可行的方法去解密通信内容。
加密技术
pigsrollaroundinthem(39396)
发表于2016年07月14日 19时25分 星期四
来自我们这里真不需要
我们所熟悉的HTTP前缀正快速被HTTPS所取代。HTTPS中的S代表你的连接是安全的,其他人要想看你在做什么将会变得愈加困难。而今天的互联网上人人都想看你正在干什么。HTTPS曾经主要被金融、购物类网站使用,但在主要互联网公司和浏览器开发商的推动之下,HTTPS在加速普及,HTTP正在被加速淘汰。不加密的HTTP连接是不安全的,你和目标服务器之间的任何中间人能读取和操纵传输的数据,比如ISP可以在你点击的网页上插入广告,你很可能根本不知道你看到的广告是否是网站发布的。中间人能够注入的代码不仅仅是看起来无害的广告,他们还可能注入具有恶意目的的代码。去年,百度联盟广告的脚本被中间人修改,加入了代码对两个政府不喜欢的网站发动了DDoS攻击。这次攻击被称为网络大炮,敌意的大炮让普通的网民在不知情下变成了DDoS攻击者。唯一能阻止大炮的方法是加密流量
加密技术
pigsrollaroundinthem(39396)
发表于2016年07月11日 19时20分 星期一
来自量子加固算法
HTTPS加密使用的常用算法都能在有限时间内破解,区别在于时间长短。如果能利用量子计算机的并行计算能力,破解速度还能提升许多个数量级。Google透露,它的服务器将在未来几个月引入一种实验性的加密算法Ring Learning With Errors(Ring-LWE),不同于Diffie-Hellman密钥交换方法,或RSA和椭圆曲线加密,Ring-LWE能对抗量子计算机的破解。Google计划结合现有的算法,观察Ring-LWE在现实世界环境中的表现。Ring-LWE将以一种方法与现有密钥交换方法的混合起来:攻击者如果想要解密加密流量将需要先破解两种加密算法。
Facebook
pigsrollaroundinthem(39396)
发表于2016年07月09日 19时13分 星期六
来自电报不用 Signal
Facebook Messenger开始向用户推送新的“秘密会话”功能,它与 Open Whisper Systems 合作整合 Signal 协议加入了端对端加密支持。但和 Google Allo 等消息应用类似,端对端加密支持没有默认启用。Facebook在应用中使用了开源的 Signal 协议库,Open Whisper Systems 表示虽然强加密功能没有默认启用,但这仍然是巨大的一步。启用端对端加密后将使得消息应用服务商也不知道用户的消息内容,但元数据仍然被记录下来。
Android
pigsrollaroundinthem(39396)
发表于2016年07月03日 22时14分 星期日
来自WP没人去破解
使用高通芯片的Android设备存在多个漏洞,攻击者很容易从锁定的设备中提取出加密密钥,然后用超级电脑或其它专门设备进行暴力破解。Google和高通发表声明称漏洞已经修复,但研究人员估计,37%的Android企业用户没有打上补丁。漏洞存在于高通ARM处理器的安全功能TrustZone中,以色列独立安全研究人员Gal Beniamini已经释出了漏洞利用代码,利用TrustZone的两个漏洞(编号CVE-2015-6639CVE-2016-2431)提取出磁盘加密密钥。漏洞补丁已经释出,但Beniamini指出,已经修复的Android设备可以回滚到未修复状态。高通发言人声称,该公司的平台支持反回滚机制,能阻止设备安装旧的软件版本。
加密技术
pigsrollaroundinthem(39396)
发表于2016年06月27日 17时40分 星期一
来自
最近一段时间,多个加密后门浮出了水面:RSA产品使用的椭圆曲线伪随机生成器Dual EC,其后门据信是NSA植入的;网络设备制造商Juniper的操作系统ScreenOS被发现使用了一个修改版的Dual EC,允许第三方解密加密流量;开源工具socat发现了一个硬编码的1024位Diffie-Hellman参数不是素数。NCC Group的David Wong发表了一篇论文(PDF)探讨了如何构建Diffie-Hellman后门,相关代码和工具发表在GitHub上。
加密技术
pigsrollaroundinthem(39396)
发表于2016年06月21日 11时29分 星期二
来自QQ 微信
俄罗斯杜马提出的一项新法案强制性要求所有消息应用内置加密后门,以便于联邦安全局能够访问。WhatsApp、Viber和Telegram等消息应用都提供了不同程度的加密,它们都是俄罗斯新反恐法案的目标。违反该法的企业将面临100万卢布的罚款。俄罗斯参议员Yelena Mizulina称新的法案应该成为法律,称封闭群组中的年轻人被洗脑去谋杀警官,而加密保护了他们之间的通信。
安全
pigsrollaroundinthem(39396)
发表于2016年06月06日 20时39分 星期一
来自签名
通常有三种方式指代PGP/GPG密钥:短密钥ID、长密钥ID和完整指纹。因为短密钥ID最便于使用,因此它的使用也是最广。但短密钥ID不可避免会容易发生“碰撞”。 Debian开发者Enrico Zini报告发现了两个密钥共享相同的短ID,在联络了其中一位密钥所有者之后对方表示对第二个密钥不知情。我们不知道幕后者是谁,或是出于什么动机,只知道看起来很邪恶。Gunnar Wolf发表了一篇博文呼吁开发者尽可能快的停止使用短密钥ID
加密技术
pigsrollaroundinthem(39396)
发表于2016年05月31日 12时23分 星期二
来自向中国学习
路透社报道,伊朗给了外国的消息类应用一年时间去将伊朗用户的数据迁移到该国境内的服务器。这一要求与中国相似,政府想要能跟踪私人聊天记录。伊朗网络空间最高委员会给社交媒体公司一年时间迁移所有与伊朗公民相关的数据和活动。伊朗有着十分严厉的网络控制,流行的社交平台如Facebook和Twitter被屏蔽,新的监管要求可能会影响未被屏蔽的消息应用如Telegram,Telegram在伊朗非常受欢迎,有2000万用户,而伊朗人口大约8000万。一些伊朗用户表示如果Telegram真的将数据迁移到伊朗服务器,那么他们将会停止使用该服务。
加密技术
pigcanfly(38602)
发表于2016年05月23日 16时16分 星期一
来自Google现在真是大公司了
Google上周在露天开发者大会I/O上公布了智能消息应用Allo,它还与Open Whisper Systems合作为Allo加入了端对端加密功能,但没有默认启用,用户需要进入隐身模式后才能使用该功能。这一做法招致了批评,因为大部分人不会改变默认设置,这就为政府监视开启了一扇方便之门。负责Allo安全功能的一位Google工程师Thai Duong在自己的博客上描述了端对端加密功能,表示他也希望能默认启用端对端加密。但在隐私倡导人士批评Google的做法之后,他大幅修改了这篇文章,甚至连自己的身份都修改了——之前他称自己是Allo安全团队成员,现在变成了Allo团队安全方面的外界顾问,他表示不能公开讨论雇主产品功能的意图或未来计划。
加密技术
pigcanfly(38602)
发表于2016年05月19日 11时00分 星期四
来自Google想要跟踪你的一切
Google I/O开发者大会上,搜索巨人宣布了一个新的智能消息应用Allo。Open Whisper Systems透露,它与Google合作在Allo中整合了Signal协议,为该应用加入了端对端加密支持。但是Allo默认没有启用强加密,用户需要进入隐身模式后才能使用端对端加密,端对端加密意味着Google不会备份用户的信息,它将不会知道消息内容。除了Allo外,Google还宣布了视频聊天应用Duo;Android N的最新预览版;Instant Apps——用户无需安装就能直接运行应用;挑战Amazon Echo的家庭智能助手Google Home;Android VR平台Daydream,等等。
加密技术
pigcanfly(38602)
发表于2016年05月18日 10时51分 星期三
来自真随机
biergaizi 写道 "德州大学的两名研究人员宣布了部分专家认为的随机数生成的重大理论突破,这可能对密码学和计算机安全造成深远的影响。计算机安全教授 David Zuckerman 和研究生 Eshan Chattopadhyay 在三月份发表的论文将在今年六月举办的计算理论研讨会(Symposium on Theory of Computing)上演讲。他们的论文描述了一种生成随机数的新方法,虽然是理论性的,但 Zuckerman 称这会为密码学、科学调查和例如气候的其他复杂系统带来有实用意义的改进。“我们的论文表明,如果存在两个低质量的随机源 —— 通常很容易找到 —— 如果这两个随机源是独立无相关性的,那么你就可以通过一种方法将它们合并起来,得到高质量的随机数。”Zuckerman 说,“已经有很多人尝试这么做了,但过去的方法的要求并不低,依然需要一个质量中等的随机源。而我们的研究则作出了重大改进。” 研究的细节可以在论文《Explicit Two-Source Extractors and Resilient Functions》中找到。./ 上的读者则对此研究的意义有许多看法和讨论,可以在此查看。"
加密技术
pigcanfly(38602)
发表于2016年05月11日 16时53分 星期三
来自英社等待下一次机会
英国威斯敏斯特的一位法官做出裁决,黑客活动人士Lauri Love不能被强迫交出加密密钥。这一判决被认为是英国所有加密使用者的胜利,也是有关隐私和个人自由的一项重大决定。2014年,英国国家犯罪调查局扣押了Love的加密电子设备,试图根据2000年的调查权管理法强迫他交出加密密钥,但没有成功。随后,犯罪调查局又尝试根据1897年的警察财产处理法律强迫Love交出密钥,声称交出密钥是唯一能检查设备内容的方法。但他们所持的理由被法官驳回。