solidot新版网站常见问题,请点击这里查看。
加密技术
1
WinterIsComing(31822)
发表于2020年03月06日 17时48分 星期五
来自人猿泰山之结缘蚁人
Let's Encrypt 上周宣布在 CAA(Certification Authority Authorization)代码中发现 bug,它将从美国东部时间 3 月 4 日下午 3 点开始撤销受到影响的客户证书。在 Let's Encrypt 签发的 1.16 亿活跃证书中有 3,048,289 个证书需要替换。但由于时间过于仓促,Let's Encrypt 宣布暂缓撤销证书。它表示已经有 170 万受影响的网站更换了证书,但还有一百多万网站不太可能在截止日期前完成证书更替。为了避免影响这些网站给其访问者造成困惑,Let's Encrypt 认为还是暂缓为最佳策略。Let's Encrypt 的证书有效期只有 90 天,130 万尚未撤销的证书构成的安全风险很低。300 万个受影响证书只有 445 个确实违反了规定,而它们都已经撤销。
加密技术
ai(3896)
发表于2020年02月28日 14时23分 星期五
来自平格尔的奇遇
旨在让每一个网站都启用 HTTPS 加密的 Let's Encrypt 项目宣布在 2 月 27 日签发了第 10 亿个证书。Let's Encrypt 是在 2017 年 6 月签发了第一亿个证书。三年后的今天互联网在加密情况上已经出现了巨大变化:当时浏览器加载的网页有 58% 启用了 HTTPS,美国是 64%;今天这一比率提高到了 81%,美国是 91%。 2017 年 Let's Encrypt 项目有 11 个全职雇员和 261 万美元预算,服务于 4600 万网站;今天它有 13 名全职雇员和 335 万美元预算,服务于 1.92 亿个网站。它的雇员只增加两人预算增加 28% 但服务的网站数量是以前的四倍。
加密技术
WinterIsComing(31822)
发表于2020年02月19日 20时02分 星期三
来自驶入深海
一个国际研究小组去年底在《Nature Communications》期刊上发表论文,描述了一种完美保密的新加密系统,声称能对抗未来的量子计算机。英特尔公司的加密专家 Rafael Misoczki 称,完美保密是加密学中最高等级的安全观念,一个加密系统如果能实现完美保密,那么不管对手的计算能力有多强它将仍然是安全的。绝大多数实现完美保密的尝试都集中在开发量子密钥分发系统(QKD),但部署 QKD 系统需要企业和政府投入大量资金去建造新的量子通信线路。但研究人员描述的新完美保密加密方法是基于现有的光纤通信基础设施。它不是依赖于量子物理学,而是基于混沌光状态。受人指纹的启发,研究人员在硅芯片表面使用反射纳米盘印上点状图案,芯片的图案表面充当了激光的迷宫,光波以随机方式穿过时会正在里面反弹。不管输入条件如何,进入图案的光会产生混沌运动。利用这套系统 Alice 和 Bob 可以创造无法拦截和监听的一次性密钥,类似 QKD。但计算机科学家对此有不同看法,他们认为论文作者对加密学的看法有着明显错误,量子计算机并不能破解所有经典加密学方法,如 AES 只要增加密钥长度仍然能抵抗量子计算机。在加密学中运用混沌理论早在 1989 年就有人提出过,但因为存在漏洞而没有流行起来。
安全
2
WinterIsComing(31822)
发表于2020年02月14日 19时36分 星期五
来自我们祖先的祖先
奇虎 360 的一位安全研究员披露了流行 SOCKS5 代理 Shadowsocks 的流密码重定向攻击漏洞。流密码是一种对称加密算法,加密和解密双方使用相同伪随机加密数据流作为密钥,明文数据每次与密钥数据流顺次对应加密,得到密文数据流。流行的流密码算法包括 ChaCha、RC4、A5/1、A5/2、Chameleon、FISH、Helix 等。研究人员发现 Shadowsocks 协议存在漏洞,会破坏流密码的保密性。利用重定向攻击被动攻击者可以轻松解密所有 Shadowsocks 的加密数据包。中间人攻击者还能实时修改流量,就好像加密根本不存在。受影响的版本包括 shadowsocks-py、shadowsocoks-go 和 shadowsocoks-nodejs,shadowsocks-libev 和 go-shadowsocks2 不受影响,研究人员还建议使用 AEAD 加密算法。漏洞是在 2018 年 12 月发现的,2019 年 3 月发布了概念验证攻击。
加密技术
WinterIsComing(31822)
发表于2020年02月04日 20时58分 星期二
来自最后一个阿特兰蒂斯人
Git 源码管理系统是基于 SHA‑1 哈希算法,Git 库储存的不同对象类型都使用 SHA‑1 哈希来进行识别。Linus Torvalds 在设计 Git 时并没有考虑 SHA‑1 有一天可能会不安全,他没有设计能切换到不同哈希算法的功能,而哈希类型深入到代码之中。但 SHA‑1 已经迟暮,Google 在 2017 年宣布了对 SHA-1 哈希算法的首个成功碰撞攻击。所谓碰撞攻击是指两个不同的信息产生了相同的哈希值。今年早些时候,研究人员将攻击成本降至 4.5 万美元,未来几年攻击成本还会继续下降。使用 SHA-1 的项目需要尽快切换到更安全的哈希算法。在考虑了多个替代之后,Git 社区在 2018 年宣布它的下一代哈希算法将是 SHA‑256。对小的项目来说,过渡到 SHA‑256 比较容易,但对 Linux 内核这样庞大的项目来说,这并非轻而易举
加密技术
WinterIsComing(31822)
发表于2020年01月15日 23时35分 星期三
来自白玫瑰
美国司法部长 William Barr 批评苹果没有帮助调查人员解锁上个月佛罗里达州海军基地枪击嫌犯的 iPhone 手机。21 岁的沙特空军军官在基地内开火,杀死了三人伤了八人,他有两部 iPhone 手机,用枪射了其中一部,但 FBI 设法修复了设备。另一部手机也受损但也修复了。手机用密码保护和加密。司法部向苹果公司寻求帮助,但 Barr 指责苹果没有提供“实质性帮助”。苹果在一份声明中表示,它提供了调查相关的消息,但拒绝为执法部门提供一种方法访问加密设备——也就是创造加密后门。
加密技术
WinterIsComing(31822)
发表于2020年01月13日 15时14分 星期一
来自抓落叶
Google 在 2017 年宣布了对 SHA-1 哈希算法的首个成功碰撞攻击。所谓碰撞攻击是指两个不同的信息产生了相同的哈希值。在 Google 的研究中,攻击所需的计算量十分惊人,用 Google 说法,它用了 6,500 年的 CPU 计算时间去完成了碰撞的第一阶段,然后用了 110 年的 GPU 计算时间完成第二阶段。去年五月,一组来自新加坡和法国的研究人员演示了首个构造前缀碰撞攻击,即攻击者可以自由选择两个碰撞信息的前缀。当时构造前缀碰撞攻击所需的计算费用不到 10 万美元,现在研究人员在最新演示中进一步将攻击成本降至 4.5 万美元。研究人员在线租赁了 900 台 Nvidia GTX 1060 GPU 执行攻击,几个月前费用还高达 7.4 万美元,优化实现和计算成本的下降使得攻击成本降至 4.5 万美元,他们估计到 2025 年攻击成本会降至 1 万美元。SHA-1 的使用率在下降,但距离淘汰还很遥远。
加密技术
WinterIsComing(31822)
发表于2019年12月23日 19时04分 星期一
来自破译滑铁卢
Ron Rivest 上个世纪为一个 1999 年的时间胶囊设计了加密方法。Ron Rivest 是公钥加密算法 RSA 中的 R,他和其他两人(Adi Shamir 和 Leonard Adleman)因 RSA 算法上的贡献而在 2002 年获得图灵奖。他为时间胶囊设计的加密方法并不复杂,主要考虑了计算复杂度,涉及到一个进行约 80 万亿次的平方运算。他根据 1999 年的计算机运算能力和摩尔定律估计,算出问题的答案需要 35 年时间。但在 2015 年,自学成才的程序员 Bernard Fabrot 发现,使用自由软件 GNU Multiple Precision Arithmetic Library,他能在更短时间内算出答案,他开始用家用 PC 的一个 CPU 核心每周 7 天每天 24 小时执行计算,历时 3 年半时间得到了结果。与此同时,一群加密专家组成的小组 Cryptophage 也尝试去解决这个问题,他们使用的是 FPGA 芯片,FPGA 执行特定算法的效率远高于高端 CPU,他们花了两个月时间算出了结果。但当他们通知 Rivest 教授,却被告知有人抢先完成了。Rivest 教授说,这是惊人的巧合,他承认自己高估了问题的难度,没有预料到像 FPGA 这样的技术突破。
加密技术
1
wenfeixiang(25847)
发表于2019年11月19日 19时54分 星期二
来自约翰的预言
以儿童的名义,FBI 寻求国际刑警组织发表声明反对端对端加密。上周在法国里昂国际刑警组织总部举行的打击儿童犯罪的专家小组会议上,FBI 递交了一份提案,认为为了打击儿童性剥削应强烈督促技术服务提供商允许合法访问加密数据。提案将儿童性剥削的部分责任归于科技行业,称目前默认的端对端加密不允许世界保护儿童远离性剥削,技术提供商一方面要保护用户隐私,另一方面也要保护用户安全。未能允许合法访问其平台和服务,技术服务商为儿童性剥削的犯罪者提供了一个安全港,并阻碍了保护儿童的执法者。国际刑警组织发言人声明它目前没有计划就加密发表声明。
加密技术
wenfeixiang(25847)
发表于2019年11月14日 12时42分 星期四
来自地球的呼唤
根据微软刚刚更新的功能停止支持文档,Windows 10 将禁用 WEP 加密。微软称,在 v1903 版本中,当 Windows 10 连接到使用 WEP 或 TKIP 加密的 Wi-Fi 网络时会显示警告信息,WEP 或 TKIP 加密都早已不再安全。Windows 10 的未来版本中将禁止使用这些旧加密技术,微软建议用户将 Wi-Fi 路由器更新使用 WPA2 或 WPA3 加密。
加密技术
wenfeixiang(25847)
发表于2019年10月09日 11时39分 星期三
来自读经典·美丽新世界
开源邮件客户端 Thunderbird 正式宣布将支持 OpenPGP:计划在 2020 年夏天释出的 Thunderbird 78 将内置使用 OpenPGP 标准的电邮加密和数字签名功能。新的功能将取代流行加密扩展 Enigmail,由于 API 的变动,该扩展将随 Thunderbird 68 到 2020 年秋季终止支持。内置 OpenPGP 支持是用户期待已久的功能,Enigmail 用户未来可通过 Thunderbird 78 提供的帮助迁移现有的密钥和设置。
安全
wenfeixiang(25847)
发表于2019年10月08日 17时04分 星期二
来自通往宇宙之门
俄罗斯安全公司卡巴斯基报告,一个从事网络间谍活动的黑客组织通过修改浏览器为 TLS 加密流量加入了可跟踪的指纹。黑客利用远程访问木马 Reductor 感染受害者,修改了系统上的浏览器 Chrome 或 Firefox。这一过程涉及到两步:黑客首先为被感染的主机安装了数字证书,使其能拦截来自主机的任何 TLS 加密流量;其次,他们为系统上安装的 Chrome 或 Firefox 打上了自己的伪随机数生成器。随机数生成器被用于在建立安全连接时产生随机数。黑客利用被修改的随机数生成器为每一个 TLS 连接加入了指纹。被称为 Turla 的组织被认为与俄罗斯政府有关联。
加密技术
wenfeixiang(25847)
发表于2019年10月04日 23时15分 星期五
来自梦书迷宫
美国司法部长 Bill Barr 与英国澳大利亚的内政部长将发表致函 Facebook CEO Mark Zuckerberg 的公开信,要求该公司在保证不会降低公共安全的情况下推迟其消息服务的端对端加密计划。端对端加密将让服务提供商也无法知道用户的通信内容,但执法机构和情报机构对于他们无法访问用户内容很是担忧,纷纷以公共安全或为了孩子等理由表达反对。计划于美国时间 10 月 4 日发布的公开信称,增强虚拟世界的安全性不能危及现实世界,要求 Facebook 在设计加密系统时应优先考虑公共安全。
上一页1234下一页