路透社报道，伊朗给了外国的消息类应用一年时间去将伊朗用户的数据迁移到该国境内的服务器。这一要求与中国相似，政府想要能跟踪私人聊天记录。伊朗网络空间最高委员会给社交媒体公司一年时间迁移所有与伊朗公民相关的数据和活动。伊朗有着十分严厉的网络控制，流行的社交平台如Facebook和Twitter被屏蔽，新的监管要求可能会影响未被屏蔽的消息应用如Telegram，Telegram在伊朗非常受欢迎，有2000万用户，而伊朗人口大约8000万。一些伊朗用户表示如果Telegram真的将数据迁移到伊朗服务器，那么他们将会停止使用该服务。

Google上周在露天开发者大会I/O上公布了智能消息应用Allo，它还与Open Whisper Systems合作为Allo加入了端对端加密功能，但没有默认启用，用户需要进入隐身模式后才能使用该功能。这一做法招致了批评，因为大部分人不会改变默认设置，这就为政府监视开启了一扇方便之门。负责Allo安全功能的一位Google工程师Thai Duong在自己的博客上描述了端对端加密功能，表示他也希望能默认启用端对端加密。但在隐私倡导人士批评Google的做法之后，他大幅修改了这篇文章，甚至连自己的身份都修改了——之前他称自己是Allo安全团队成员，现在变成了Allo团队安全方面的外界顾问，他表示不能公开讨论雇主产品功能的意图或未来计划。

在Google I/O开发者大会上，搜索巨人宣布了一个新的智能消息应用Allo。Open Whisper Systems透露，它与Google合作在Allo中整合了Signal协议，为该应用加入了端对端加密支持。但是Allo默认没有启用强加密，用户需要进入隐身模式后才能使用端对端加密，端对端加密意味着Google不会备份用户的信息，它将不会知道消息内容。除了Allo外，Google还宣布了视频聊天应用Duo；Android N的最新预览版；Instant Apps——用户无需安装就能直接运行应用；挑战Amazon Echo的家庭智能助手Google Home；Android VR平台Daydream，等等。

biergaizi 写道 "德州大学的两名研究人员宣布了部分专家认为的随机数生成的重大理论突破，这可能对密码学和计算机安全造成深远的影响。计算机安全教授 David Zuckerman 和研究生 Eshan Chattopadhyay 在三月份发表的论文将在今年六月举办的计算理论研讨会（Symposium on Theory of Computing）上演讲。他们的论文描述了一种生成随机数的新方法，虽然是理论性的，但 Zuckerman 称这会为密码学、科学调查和例如气候的其他复杂系统带来有实用意义的改进。“我们的论文表明，如果存在两个低质量的随机源 —— 通常很容易找到 —— 如果这两个随机源是独立无相关性的，那么你就可以通过一种方法将它们合并起来，得到高质量的随机数。”Zuckerman 说，“已经有很多人尝试这么做了，但过去的方法的要求并不低，依然需要一个质量中等的随机源。而我们的研究则作出了重大改进。” 研究的细节可以在论文《Explicit Two-Source Extractors and Resilient Functions》中找到。./ 上的读者则对此研究的意义有许多看法和讨论，可以在此查看。"

英国威斯敏斯特的一位法官做出裁决，黑客活动人士Lauri Love不能被强迫交出加密密钥。这一判决被认为是英国所有加密使用者的胜利，也是有关隐私和个人自由的一项重大决定。2014年，英国国家犯罪调查局扣押了Love的加密电子设备，试图根据2000年的调查权管理法强迫他交出加密密钥，但没有成功。随后，犯罪调查局又尝试根据1897年的警察财产处理法律强迫Love交出密钥，声称交出密钥是唯一能检查设备内容的方法。但他们所持的理由被法官驳回。

Google开始对所有Blogspot域名默认启用HTTPS。在这之前，启用HTTPS是Blogspot设置中可选的功能。Google安全工程师Milanda Perera称，HTTPS是互联网安全的基础，能保护网站和用户浏览器之间所发送数据的完整性和保密性。他们从设置中移除了可选的启用HTTPS，默认对所有域名启用加密。启用HTTPS的好处包括：第三方将不知道你访问的内容；确保你通信的服务器属于域名的真正所有人；防止第三方纂改内容如插入广告。

微软安全团队宣布，从今年夏天释出Windows 10周年更新开始，Microsoft Edge和Internet Explorer浏览器将视SHA-1签名的数字证书为不安全的，HTTPS网站如果使用了SHA-1证书将会移除地址栏的锁标志，用户仍然可以访问网站，但连接将会被认为不安全。随着计算能力的提升，伪造使用SHA-1算法签名的证书所需的时间将会越来越少。主要浏览器开发商都制定了淘汰SHA-1的计划。微软将从2017年2月开始完全屏蔽SHA-1签名的数字证书，用户将不再能访问使用SHA-1证书的网站。

美国费城的一位前警官被怀疑持有儿童色情，他因为拒绝要求他解密加密硬盘的法庭命令而面临无限期拘禁。他还没有受到任何指控，辩护律师要求联邦上诉法院立即释放其客户。这位嫌疑人使用了苹果的FileVault软件加密了两个硬盘，政府再次成功的引用1789年的All Writs Act要求嫌疑人解密被认为包含儿童色情的加密硬盘。All Writs Act也曾被美国司法部用于强迫苹果帮助FBI开发后门固件解锁枪手的手机，这一诉讼最终在支付了超过100万美元后撤回。

美国国家情报总监 James Clapper称，Snowden的曝光加速了先进加密技术的推广，在情报界看来这不是好事。他表示加密技术的普及比NSA预计的快了7年。Clapper还声称，伊斯兰国是至今互联网上最老练的用户，该组织购买了软件确保通信的端对端加密，但他没说明购买了什么软件。媒体曾报道说伊斯兰国使用过Telegram、 WhatsApp和TrueCrypt，但这些都是免费软件不需要付费。

执法机构想要弱加密或内置后门的加密，而军方则想要没人能破解的强加密。美国国防部高级研究计划署（DARPA）公布了一个研究项目，旨在寻找一个加密消息和事务平台，使用现有消息应用WhatsApp、Signal或Ricochet等相同的加密功能，但同时还使用类似比特币块链技术的去中心化架构，能更有弹性的对抗监视和网络攻击。用安全研究人员的话说，DARPA想要的是一个任何人都能监视和发布信息的公共墙，但只有正确的人能解密信息。该项目将分成三个阶段开发，在前两个阶段DARPA将为参与者提供资金，第一阶段提供的资金为一年不超过15万美元，第二阶段为最高两年100万美元，第三阶段是企业可以商业化他们的应用，让任何人都可以使用，但不会再得到联邦的资助。

在WhatsApp宣布完整支持端对端加密之后，另一款流行的网络电话及即时通讯软件Viber也宣布在最新更新中加入了端对端加密支持。类似WhatsApp，在聊天界面的UI上用户会看到加密锁的图标。最新更新的另一项功能是隐藏聊天，用户可以选择隐藏特定的聊天记录，没有人知道它们存在过。Viber在全世界有超过7亿用户，支持iOS和Android，以及三大桌面操作系统。这些功能对中国用户可能意义不大，因为它在2014年就被屏蔽了。

美国参议员Richard Burr和Dianne Feinstein正式公布了受争议的反加密法案《Compliance with Court Orders Act of 2016》。该法案要求科技公司遵守法庭命令解密客户的数据。这一法案在科技界和立法界招致了批评，美国总统奥巴马已在上周表示不会支持该法案。美国的科技公司开始越来越多的采用端对端加密，也就是除非有加密的后门否则企业本身也无法解密客户的加密数据。这项立法事实上是要求提供通信服务的企业植入加密后门，以提供”情报信息或数据“，或提供恰当的技术援助去获得此类的信息或数据。Dianne Feinstein参议员在声明中以恐怖分子和犯罪分子使用加密阻止执法调查为由为法案辩护，“我们需要强加密去保护个人数据，但我们也需要知道恐怖分子策划阴谋在什么时候去杀死美国人。”

提前三周大肆宣传的漏洞Badlock终于公布了细节，虽然它的做法遭到了批评，但它所披露的威胁是真实的。Badlock漏洞存在于每个Windows和Linux操作系统的一个名叫 Distributed Computing Environment/Remote Procedure Call (DCE/RPC)的安全组件中。在Windows网络中，它被管理员用于访问最有价值的资产 Active Directory。监视网络流量的攻击者可以利用该漏洞悄悄发动中间人攻击，拦截DCE/RPC 流量，访问Samba共享中的文件或访问 Active Directory管理工具。Red Hat、Debian和微软都已经发布或释出了更新。Red Hat将该漏洞归类为高危级。

研究人员发表报告，称发现了OpenSSL随机数生成器的多个弱点。OpenSSL开源加密库被全世界互联网公司广泛使用，但曾多次曝出严重漏洞，并因此催生了多个新的开源加密库项目，其中包括Google的BoringSSL和OpenBSD的LibreSSL。研究人员发现，低熵态的OpenSSL随机数生成器可能会在输出中泄漏低熵秘密。BoringSSL和LibreSSL的随机数生成器使用了完全不同的更安全的系统，没有这些弱点。

旨在让每个网站都能使用HTTPS加密的Let’s Encrypt项目从去年12月起开放beta测试，至今已经签发了超过100万个证书。它现在宣布从即日起脱离beta状态，称获得了更多赞助商的支持，其中包括惠普、Gemalto和Fastly等金级和银级赞助商。Let’s Encrypt称，从去年9月开始beta测试以来，它至今已经为超过380万家网站签发了170多万个证书。

2016年4月8日GMT时间9:04am，Let's Encrypt CA签发了第100万个证书，对该非营利CA来说这是一个新的里程碑，距离它开放beta测试仅仅相距3个月零5天。一个证书可以被多个域名使用，Let's Encrypt签发的100万证书被250万个完全限定域名所使用，其中超过90%以前从来没有获得浏览器认可的证书。Let's Encrypt项目由EFF、 Mozilla、Akamai、密歇根大学和思科等组织发起，其使命是让每个网站都能使用HTTPS加密，而中国网站使用HTTPS的数量极少。

GitHub官方博客宣布，从即日起支持GPG签名。GPG是PGP加密软件的自由软件版本。GitHub称，软件的开发者来自全世界，有时候有必要验证commits和tags是来自于已认证来源。从现在开始，浏览一个签名过的commit或tag时，用户能看到一个标记，指示该签名是否已经使用贡献者上传到GitHub的GPG key进行了验证。开发者可以在其key设置页面上传GPG key。

WhatsApp宣布对所有形式的通信和所有用户默认启用端对端加密，拨打电话、发送短消息，共享照片和视频等功能都会变得更安全。用户将能在聊天窗口的设置界面看到加密状态。WhatsApp是从2014年起与 Open Whisper Systems展开合作，在其产品中整合Signal协议，这一整合在本周最终完成，用户如果使用最新版本的WhatsApp将默认启用端对端加密。当客户端识别出联系人的客户端完整支持端对端加密，它将不再允许传输明文，即使联系人降级到一个不完整支持端对端加密的旧版本。此举旨在防止加密降级攻击。

美国司法部向法庭递交文件（PDF），称FBI已经破解了San Bernardino枪击案枪手Syed Rizwan Farook的iPhone 5C手机，请求撤销强制要求苹果帮助解锁手机的法庭诉讼。撤销诉讼暂时化解了科技公司与美国政府之间有关加密后门的冲突，但也引发了政府在掌握了加密漏洞之后是否通知苹果公司的疑问，如果苹果没有堵上安全漏洞那么会有更多的普通用户受到影响。美国政府曾公布了一份漏洞披露政策Vulnerabilities Equities Process (VEP) 。法庭文件没有披露FBI使用什么方法破解手机，但有人推测可能与iPhone 5C使用的A6处理器有关，A6组合使用了密码和唯一设备ID生成256比特位密钥，它存在漏洞允许拷贝闪存记忆器内的数据，然后进行暴力破解（4位到6位密码的组成次数十分有限）。但苹果在较新手机中使用的A7处理器基本上堵上了这个漏洞，它使用了一个硬件级的安全区域secure enclave去防止镜像数据和暴力破解密码。

澳大利亚研究人员担心即将于4月生效的国防贸易管控法将限制他们的学术自由。新的法律要求从事军民两用类研究的学者在与外国的同行交流前需要先获得澳大利亚国防部的许可。被归类为军民两用类的研究涵盖了从电子到微生物的广泛领域，其中涉及到加密和人工智能。这些领域的学者都担心新立法的影响。美国和英国有类似的法律，但涉及基础和应用研究的学术研究被排除在外。澳大利亚的例外只包含基础研究，而不包含应用研究。