adv

各位朋友大家好,欢迎您进入solidot新版网站,在使用过程中有任何问题或建议,请与很忙的管理员联系。
加密技术
pigsrollaroundinthem(39396)
发表于2016年06月27日 17时40分 星期一
来自
最近一段时间,多个加密后门浮出了水面:RSA产品使用的椭圆曲线伪随机生成器Dual EC,其后门据信是NSA植入的;网络设备制造商Juniper的操作系统ScreenOS被发现使用了一个修改版的Dual EC,允许第三方解密加密流量;开源工具socat发现了一个硬编码的1024位Diffie-Hellman参数不是素数。NCC Group的David Wong发表了一篇论文(PDF)探讨了如何构建Diffie-Hellman后门,相关代码和工具发表在GitHub上。
加密技术
pigsrollaroundinthem(39396)
发表于2016年06月21日 11时29分 星期二
来自QQ 微信
俄罗斯杜马提出的一项新法案强制性要求所有消息应用内置加密后门,以便于联邦安全局能够访问。WhatsApp、Viber和Telegram等消息应用都提供了不同程度的加密,它们都是俄罗斯新反恐法案的目标。违反该法的企业将面临100万卢布的罚款。俄罗斯参议员Yelena Mizulina称新的法案应该成为法律,称封闭群组中的年轻人被洗脑去谋杀警官,而加密保护了他们之间的通信。
安全
pigsrollaroundinthem(39396)
发表于2016年06月06日 20时39分 星期一
来自签名
通常有三种方式指代PGP/GPG密钥:短密钥ID、长密钥ID和完整指纹。因为短密钥ID最便于使用,因此它的使用也是最广。但短密钥ID不可避免会容易发生“碰撞”。 Debian开发者Enrico Zini报告发现了两个密钥共享相同的短ID,在联络了其中一位密钥所有者之后对方表示对第二个密钥不知情。我们不知道幕后者是谁,或是出于什么动机,只知道看起来很邪恶。Gunnar Wolf发表了一篇博文呼吁开发者尽可能快的停止使用短密钥ID
加密技术
pigsrollaroundinthem(39396)
发表于2016年05月31日 12时23分 星期二
来自向中国学习
路透社报道,伊朗给了外国的消息类应用一年时间去将伊朗用户的数据迁移到该国境内的服务器。这一要求与中国相似,政府想要能跟踪私人聊天记录。伊朗网络空间最高委员会给社交媒体公司一年时间迁移所有与伊朗公民相关的数据和活动。伊朗有着十分严厉的网络控制,流行的社交平台如Facebook和Twitter被屏蔽,新的监管要求可能会影响未被屏蔽的消息应用如Telegram,Telegram在伊朗非常受欢迎,有2000万用户,而伊朗人口大约8000万。一些伊朗用户表示如果Telegram真的将数据迁移到伊朗服务器,那么他们将会停止使用该服务。
加密技术
pigcanfly(38602)
发表于2016年05月23日 16时16分 星期一
来自Google现在真是大公司了
Google上周在露天开发者大会I/O上公布了智能消息应用Allo,它还与Open Whisper Systems合作为Allo加入了端对端加密功能,但没有默认启用,用户需要进入隐身模式后才能使用该功能。这一做法招致了批评,因为大部分人不会改变默认设置,这就为政府监视开启了一扇方便之门。负责Allo安全功能的一位Google工程师Thai Duong在自己的博客上描述了端对端加密功能,表示他也希望能默认启用端对端加密。但在隐私倡导人士批评Google的做法之后,他大幅修改了这篇文章,甚至连自己的身份都修改了——之前他称自己是Allo安全团队成员,现在变成了Allo团队安全方面的外界顾问,他表示不能公开讨论雇主产品功能的意图或未来计划。
加密技术
pigcanfly(38602)
发表于2016年05月19日 11时00分 星期四
来自Google想要跟踪你的一切
Google I/O开发者大会上,搜索巨人宣布了一个新的智能消息应用Allo。Open Whisper Systems透露,它与Google合作在Allo中整合了Signal协议,为该应用加入了端对端加密支持。但是Allo默认没有启用强加密,用户需要进入隐身模式后才能使用端对端加密,端对端加密意味着Google不会备份用户的信息,它将不会知道消息内容。除了Allo外,Google还宣布了视频聊天应用Duo;Android N的最新预览版;Instant Apps——用户无需安装就能直接运行应用;挑战Amazon Echo的家庭智能助手Google Home;Android VR平台Daydream,等等。
加密技术
pigcanfly(38602)
发表于2016年05月18日 10时51分 星期三
来自真随机
biergaizi 写道 "德州大学的两名研究人员宣布了部分专家认为的随机数生成的重大理论突破,这可能对密码学和计算机安全造成深远的影响。计算机安全教授 David Zuckerman 和研究生 Eshan Chattopadhyay 在三月份发表的论文将在今年六月举办的计算理论研讨会(Symposium on Theory of Computing)上演讲。他们的论文描述了一种生成随机数的新方法,虽然是理论性的,但 Zuckerman 称这会为密码学、科学调查和例如气候的其他复杂系统带来有实用意义的改进。“我们的论文表明,如果存在两个低质量的随机源 —— 通常很容易找到 —— 如果这两个随机源是独立无相关性的,那么你就可以通过一种方法将它们合并起来,得到高质量的随机数。”Zuckerman 说,“已经有很多人尝试这么做了,但过去的方法的要求并不低,依然需要一个质量中等的随机源。而我们的研究则作出了重大改进。” 研究的细节可以在论文《Explicit Two-Source Extractors and Resilient Functions》中找到。./ 上的读者则对此研究的意义有许多看法和讨论,可以在此查看。"
加密技术
pigcanfly(38602)
发表于2016年05月11日 16时53分 星期三
来自英社等待下一次机会
英国威斯敏斯特的一位法官做出裁决,黑客活动人士Lauri Love不能被强迫交出加密密钥。这一判决被认为是英国所有加密使用者的胜利,也是有关隐私和个人自由的一项重大决定。2014年,英国国家犯罪调查局扣押了Love的加密电子设备,试图根据2000年的调查权管理法强迫他交出加密密钥,但没有成功。随后,犯罪调查局又尝试根据1897年的警察财产处理法律强迫Love交出密钥,声称交出密钥是唯一能检查设备内容的方法。但他们所持的理由被法官驳回。
加密技术
pigcanfly(38602)
发表于2016年05月05日 16时58分 星期四
来自一直被封从未解除
Google开始对所有Blogspot域名默认启用HTTPS。在这之前,启用HTTPS是Blogspot设置中可选的功能。Google安全工程师Milanda Perera称,HTTPS是互联网安全的基础,能保护网站和用户浏览器之间所发送数据的完整性和保密性。他们从设置中移除了可选的启用HTTPS,默认对所有域名启用加密。启用HTTPS的好处包括:第三方将不知道你访问的内容;确保你通信的服务器属于域名的真正所有人;防止第三方纂改内容如插入广告。
加密技术
pigcanfly(38602)
发表于2016年05月03日 15时39分 星期二
来自SHA-2
微软安全团队宣布,从今年夏天释出Windows 10周年更新开始,Microsoft Edge和Internet Explorer浏览器将视SHA-1签名的数字证书为不安全的,HTTPS网站如果使用了SHA-1证书将会移除地址栏的锁标志,用户仍然可以访问网站,但连接将会被认为不安全。随着计算能力的提升,伪造使用SHA-1算法签名的证书所需的时间将会越来越少。主要浏览器开发商都制定了淘汰SHA-1的计划。微软将从2017年2月开始完全屏蔽SHA-1签名的数字证书,用户将不再能访问使用SHA-1证书的网站。
加密技术
pigcanfly(38602)
发表于2016年04月28日 19时33分 星期四
来自看谁能撑下去
美国费城的一位前警官被怀疑持有儿童色情,他因为拒绝要求他解密加密硬盘的法庭命令而面临无限期拘禁。他还没有受到任何指控,辩护律师要求联邦上诉法院立即释放其客户。这位嫌疑人使用了苹果的FileVault软件加密了两个硬盘,政府再次成功的引用1789年的All Writs Act要求嫌疑人解密被认为包含儿童色情的加密硬盘。All Writs Act也曾被美国司法部用于强迫苹果帮助FBI开发后门固件解锁枪手的手机,这一诉讼最终在支付了超过100万美元后撤回。
加密技术
pigcanfly(38602)
发表于2016年04月26日 19时17分 星期二
来自明文时代还在
美国国家情报总监 James Clapper称,Snowden的曝光加速了先进加密技术的推广,在情报界看来这不是好事。他表示加密技术的普及比NSA预计的快了7年。Clapper还声称,伊斯兰国是至今互联网上最老练的用户,该组织购买了软件确保通信的端对端加密,但他没说明购买了什么软件。媒体曾报道说伊斯兰国使用过Telegram、 WhatsApp和TrueCrypt,但这些都是免费软件不需要付费。
加密技术
pigcanfly(38602)
发表于2016年04月26日 12时12分 星期二
来自密文发布墙
执法机构想要弱加密或内置后门的加密,而军方则想要没人能破解的强加密。美国国防部高级研究计划署(DARPA)公布了一个研究项目,旨在寻找一个加密消息和事务平台,使用现有消息应用WhatsApp、Signal或Ricochet等相同的加密功能,但同时还使用类似比特币块链技术的去中心化架构,能更有弹性的对抗监视和网络攻击。用安全研究人员的话说,DARPA想要的是一个任何人都能监视和发布信息的公共墙,但只有正确的人能解密信息。该项目将分成三个阶段开发,在前两个阶段DARPA将为参与者提供资金,第一阶段提供的资金为一年不超过15万美元,第二阶段为最高两年100万美元,第三阶段是企业可以商业化他们的应用,让任何人都可以使用,但不会再得到联邦的资助。
加密技术
pigcanfly(38602)
发表于2016年04月20日 11时40分 星期三
来自党讨厌加密
在WhatsApp宣布完整支持端对端加密之后,另一款流行的网络电话及即时通讯软件Viber也宣布在最新更新中加入了端对端加密支持。类似WhatsApp,在聊天界面的UI上用户会看到加密锁的图标。最新更新的另一项功能是隐藏聊天,用户可以选择隐藏特定的聊天记录,没有人知道它们存在过。Viber在全世界有超过7亿用户,支持iOSAndroid,以及三大桌面操作系统。这些功能对中国用户可能意义不大,因为它在2014年就被屏蔽了
加密技术
pigcanfly(38602)
发表于2016年04月14日 15时46分 星期四
来自中国的法律不用修改了
美国参议员Richard Burr和Dianne Feinstein正式公布了受争议的反加密法案《Compliance with Court Orders Act of 2016》。该法案要求科技公司遵守法庭命令解密客户的数据。这一法案在科技界和立法界招致了批评,美国总统奥巴马已在上周表示不会支持该法案。美国的科技公司开始越来越多的采用端对端加密,也就是除非有加密的后门否则企业本身也无法解密客户的加密数据。这项立法事实上是要求提供通信服务的企业植入加密后门,以提供”情报信息或数据“,或提供恰当的技术援助去获得此类的信息或数据。Dianne Feinstein参议员在声明中以恐怖分子和犯罪分子使用加密阻止执法调查为由为法案辩护,“我们需要强加密去保护个人数据,但我们也需要知道恐怖分子策划阴谋在什么时候去杀死美国人。”
加密技术
pigcanfly(38602)
发表于2016年04月13日 17时36分 星期三
来自管理员加班加点
提前三周大肆宣传的漏洞Badlock终于公布了细节,虽然它的做法遭到了批评,但它所披露的威胁是真实的。Badlock漏洞存在于每个Windows和Linux操作系统的一个名叫 Distributed Computing Environment/Remote Procedure Call (DCE/RPC)的安全组件中。在Windows网络中,它被管理员用于访问最有价值的资产 Active Directory。监视网络流量的攻击者可以利用该漏洞悄悄发动中间人攻击,拦截DCE/RPC 流量,访问Samba共享中的文件或访问 Active Directory管理工具。Red HatDebian微软都已经发布或释出了更新。Red Hat将该漏洞归类为高危级。
加密技术
pigcanfly(38602)
发表于2016年04月13日 16时16分 星期三
来自淘汰OpenSSL
研究人员发表报告,称发现了OpenSSL随机数生成器的多个弱点。OpenSSL开源加密库被全世界互联网公司广泛使用,但曾多次曝出严重漏洞,并因此催生了多个新的开源加密库项目,其中包括Google的BoringSSL和OpenBSD的LibreSSL。研究人员发现,低熵态的OpenSSL随机数生成器可能会在输出中泄漏低熵秘密。BoringSSLLibreSSL的随机数生成器使用了完全不同的更安全的系统,没有这些弱点。
加密技术
pigcanfly(38602)
发表于2016年04月13日 11时43分 星期三
来自现在是伽玛
旨在让每个网站都能使用HTTPS加密的Let’s Encrypt项目从去年12月起开放beta测试,至今已经签发了超过100万个证书。它现在宣布从即日起脱离beta状态,称获得了更多赞助商的支持,其中包括惠普、Gemalto和Fastly等金级和银级赞助商。Let’s Encrypt称,从去年9月开始beta测试以来,它至今已经为超过380万家网站签发了170多万个证书。
加密技术
pigcanfly(38602)
发表于2016年04月07日 16时55分 星期四
来自在可预见的未来不会发生改变
2016年4月8日GMT时间9:04am,Let's Encrypt CA签发了第100万个证书,对该非营利CA来说这是一个新的里程碑,距离它开放beta测试仅仅相距3个月零5天。一个证书可以被多个域名使用,Let's Encrypt签发的100万证书被250万个完全限定域名所使用,其中超过90%以前从来没有获得浏览器认可的证书。Let's Encrypt项目由EFF、 Mozilla、Akamai、密歇根大学和思科等组织发起,其使命是让每个网站都能使用HTTPS加密,而中国网站使用HTTPS的数量极少。
加密技术
pigcanfly(38602)
发表于2016年04月06日 12时32分 星期三
来自可信代码
GitHub官方博客宣布,从即日起支持GPG签名。GPG是PGP加密软件的自由软件版本。GitHub称,软件的开发者来自全世界,有时候有必要验证commits和tags是来自于已认证来源。从现在开始,浏览一个签名过的commit或tag时,用户能看到一个标记,指示该签名是否已经使用贡献者上传到GitHub的GPG key进行了验证。开发者可以在其key设置页面上传GPG key。