adv

各位朋友大家好,欢迎您进入solidot新版网站,在使用过程中有任何问题或建议,请与很忙的管理员联系。
加密技术
AnkhMorpork(36532)
发表于2016年01月20日 12时51分 星期三
来自开销大
CyanogenMod开发者宣布关闭短信加密服务WhisperPush。WhisperPush是短信加密协议TextSecure的一种实现,能自动对短信进行端对端加密(如果接收方使用CyanogenMod或TextSecure),CyanogenMod是在2013年将其整合到系统中的。开发者现在表示将不再支持WhisperPush功能,WhisperPush服务将于2016年2月1日关闭。WhisperPush是一项服务器端的实现,因此自CM10.2起的分支都会受到影响。开发者表示将会继续支持短信加密协议,但维护自己的实现有很多障碍,他们推荐依靠这项服务的用户改用 Signal
加密技术
AnkhMorpork(36532)
发表于2016年01月18日 19时31分 星期一
来自库克不怕被穿小鞋
《连线》援引知情人士的消息报道,白宫前不久召集科技公司领导人讨论反恐问题,苹果CEO库克(Tim Cook)在会上抨击了奥巴马政府官员没有发表公开声明,捍卫没有后门的强加密。与会者包括了白宫幕僚长、总检察长、国土安全部部长、NSA局长Michael Rogers、FBI局长James Comey、国家安全总监James Clapper。
加密技术
AnkhMorpork(36532)
发表于2016年01月13日 17时02分 星期三
来自法国药丸
法国国民议会正考虑立法禁止强加密。禁止加密的修正案是庞大的数字共和国法案的一部分,由保守党共和党成员提出。法国议会将在本周审查和辩论数字共和国法案。禁止强加密是为了回应2015年法国巴黎发生的两起致命恐怖袭击,但没有证据显示恐怖分子使用了强加密进行联络,他们使用的是未加密的通信工具。对于强加密,数字共和国法案先扬后贬,称赞了它保护用户数据的重要性,但很快批评它对国家安全的影响,称法国必须采取行动迫使设备制造商,在案件调查和法官监管下,向执法部门提供访问设备的方法——用通俗的话说就是后门。
加密技术
AnkhMorpork(36532)
发表于2016年01月11日 18时17分 星期一
来自政府表示很开心
已步入花甲之年的加密学大师David Lee Chaum是众多密码协议的发明人,也是数字货币的早期提出者。他的最新项目是匿名网络原型cMix(PDF),设计从法律层面和技术层面修正现有匿名网络Tor的问题。cMix由Chaum与美国、英国和荷兰四所大学的密码专家联合开发,研究人员计划在新的密码协议基础上构建Tor的替代匿名网络PrivaTegrity。Chaum称,cMix有着更好的安全性,能达到与Tor相同的传输速度,没有Tor网络节点的弱点。但为了让政府和监管者开心,cMix内置了后门。Chaum说,除了用于曝光暗网的罪犯,他不准备使用后门
加密技术
AnkhMorpork(36532)
发表于2016年01月07日 15时24分 星期四
来自我们自驾公交但不骑自行车
安全研究员 Guido Vranken报告了针对流加密的HTTPS Bicycle攻击(PDF),目前常用的加密技术是块加密,块加密的安全性高于流加密。HTTPS  Bicycle攻击允许攻击者通过检查HTTPS加密流量提取出一些有用的信息,比如密码的长度,然后根据密码长度展开暴力破解攻击。这种攻击技术可以用于发现cookie头的长度, GPS地理位置信息、IPv4地址,等等。HTTPS  Bicycle攻击可用于追溯分析许多年前的HTTPS流量。
加密技术
AnkhMorpork(36532)
发表于2016年01月05日 12时02分 星期二
来自与荷兰断交
荷兰政府发表了一份强有力的声明,反对为了执法和情报机构的目的而推行弱加密。荷兰此举发生在英国和中国政府立法要求企业提供方法访问加密流量之际,而美国立法议员也考虑引入类似的立法。荷兰政府支持强加密对于互联网安全以及保护公民隐私、企业、政府和荷兰经济的重要性。上个月,荷兰议会承诺向OpenSSL资助50万欧元。荷兰安全和司法部长Ard van der Steur指出,弱加密会将互联网流量暴露给犯罪分子、恐怖分子和外国情报机构。
加密技术
AnkhMorpork(36532)
发表于2015年12月23日 19时02分 星期三
来自你的秘密我知道
Juniper的ScreenOS上周曝出了两个后门,其中一个是硬编码的密码,另一个则与加密有关,而后者最令人感兴趣。Juniper在安全公告中只是简单的说,这个后门可能允许掌握必要知识的攻击者解密VPN流量。每一个理性的人都知道,解密加密流量并非是一件简单的事情,没有Juniper试图说的那么轻松。加密专家和安全研究员对此展开了分析。Ralf-Philipp Weinmann在一篇分析文章中指出,过去几年,Juniper NetScreen设备整合了一个可能有后门的随机数生成器,基于NSA的Dual_EC_DRBG算法。在2012年的某个时间,某未知方进一步破坏了NetScreen的代码,使得相同的后门能被用于监听NetScreen的连接。这次修改没有获得Juniper的授权,但最为重要的是攻击者对加密机制没有作出大的改动,只修改了几个参数。约翰霍普金斯的教授Matthew Green指出,ScreenOS使用Dual_EC已经有很长一段时间,它没有使用NSA在算法中默认的一个32字节常数Q,而是使用了一个替代的Q值。此外ScreenOS是以一种非标准的方式使用Dual_EC,它没有用Dual_EC生成所有的随机数,而是将其作为一个seed,用于一个基于3DES的随机数生成器ANSI X9.17。ANSI X9.17的后期处理会导致Dual_EC后门无效,但修改参数的攻击者恢复了Q值。他认为这件事证明执法机构想要加密后门是一个糟糕的主意,后门能被其他攻击者利用。
加密技术
AnkhMorpork(36532)
发表于2015年12月22日 16时37分 星期二
来自NSA要超级计算机
美国民主党总统候选人希拉里呼吁通过一个“曼哈顿工程”项目,帮助执法机构破解加密通信。苹果CEO库克认为任何破解加密的努力都会伤害守法公民,希拉里对此表示不会强迫苹果这样的公司向执法机构提供加密密钥,她认为需要一个类似曼哈顿的项目将政府和科技界联合起来,让他们认识到彼此不是敌人而是合作伙伴。如果恐怖分子转移到执法机构无法事先或事后破解的加密通信,这对任何人都没有好处。希拉里表示对技术不是十分了解,美国必须平衡自由和安全,隐私和安全。库克则在60分钟上说,隐私与国家安全之间不存在取舍。美国应该两者兼备。
加密技术
AnkhMorpork(36532)
发表于2015年12月20日 22时59分 星期日
来自好多扇门
Juniper本周发出安全警告,它的防火墙产品运行的固件被发现含有“未授权代码”——被第三方植入后门的委婉说法,它发布了新版固件修复了漏洞。安全专家比较了新旧固件的差异注意到了几个与椭圆曲线伪随机数生成器有关的16进制值变化。安全研究人员Ralf-Philipp Weinmann和密码学教授Matthew Green 怀疑基于椭圆曲线的伪随机数生成器的某个值是常数。这令人想起了NSA力推纳入政府加密标准的Dual_EC_DRBG(双椭圆曲线确定性随机比特生成器),该算法也被认为存在后门,允许了解内情的攻击者预测加密后的输出结果。目前还无法确定Juniper究竟发生了什么,不清楚是否与NSA以及有缺陷的Dual_EC_DRBG有关。值得一提的,Juniper曾在2010年遭到极光攻击
加密技术
AnkhMorpork(36532)
发表于2015年12月11日 20时58分 星期五
来自
2016年之后,主流浏览器将停止支持使用SHA-1哈希算法签名的证书。但仍然有大量网站的数字证书使用这种弱加密算法签名,仍然有很多人使用不支持SHA256的过时浏览器,社交巨人Facebook和云服务公司CloudFlare为此宣布了受争议的“退路计划”,让这些网站和用户继续使用弱加密连接,他们的观点是有加密总比没有加密好。Facebook说,全世界7%的浏览器不支持新标准最低要求的SHA256函数。CloudFlare的估计是超过3700万网民将无法访问依靠新哈希算法签名证书的加密网站。两家公司都提出了退路计划,使用基于SHA-1的证书向仍然用旧浏览器的用户传递HTTPS加密的网页。CloudFlare 说,中国网站阿里巴巴正在实现这一机制。
加密技术
AnkhMorpork(36532)
发表于2015年12月11日 11时42分 星期五
来自我们的企业很听话
在巴黎和加州圣贝纳迪诺恐怖袭击之后,FBI局长James Comey呼吁科技公司停止默认启用端对端加密——好让FBI能再次监视通信。Comey希望苹果等公司能拦截私人信息,将其转交给执法机构。提供端对端加密的科技公司声称他们无法破解加密通信,即使法庭命令它们破解。Comey 对此并不买账,他认为这不是一个技术问题,他指出许多提供安全服务的企业仍然能遵守法庭命令。Comey认为这是一个商业问题,科技公司提供端对端加密是因为他们认为客户想要,他们通过改进加密去打击竞争对手。
加密技术
AnkhMorpork(36532)
发表于2015年12月07日 19时52分 星期一
来自技术从不中立
加州大学戴维斯分校的计算机科学教授Phillip Rogaway发表了一篇论文《加密学工作的道德品质》(PDF),从罗素—爱因斯坦宣言谈起,认为在后Snowden时代加密学社区在抵制大规模监视上负有责任。他认为加密学并不算是“技术中立”,而是一种天生的政治工具。科学家必须假设对他们所做的一切负有责任,因为如果剥离道德约束,科学和技术都会将我们带到一个噩梦般的世界。然而今天严重关切工作的社会影响的科学家和工程师已经极其罕见了,甚至称得上是神话了。他曾经问过候选教职工有关计算机科学的伦理责任,其中一位从事数据挖掘的研究人员承认她感觉不到任何社会责任,“我是一个没有灵魂的躯体。”
加密技术
AnkhMorpork(36532)
发表于2015年12月03日 15时11分 星期四
来自一小步
Let’s Encrypt项目从12月3日起开放Beta测试,也就是说感兴趣的网站管理员不再需要等待邀请了。Let’s Encrypt旨在让每个网站都能使用HTTPS加密,它签名的证书已被所有主流浏览器信任。但目前存在的一些问题使它推迟了正式推出的时间:只支持Linux,软件运行需要root权限,不支持nginx,子域名需要个别配置,在使用多台服务器的网站上设置过于复杂。
加密技术
AnkhMorpork(36532)
发表于2015年11月21日 21时57分 星期六
来自但已经死亡
2014年,流行加密工具TrueCrypt背后的匿名开发者突然宣布项目终止,并且公开警告使用TrueCrypt不安全。但对其进行安全审计的结论是TrueCrypt是一款相对精心设计的加密软件,没有发现故意植入后门的证据。最新的分析报告也得出了使用TrueCrypt加密数据是安全的结论。最新分析获得了德国联邦信息技术安全办公室的资助。报告也披露了多个之前未发现的程序bug,其中最严重的bug与使用一个Windows编程接口生成密钥使用的随机数有关,该漏洞降低了攻击者猜测解密密钥的难度。但由于开发已经终止,这些漏洞可能永远也得不到修正。
加密技术
AnkhMorpork(36532)
发表于2015年11月19日 19时25分 星期四
来自但便于老大哥监视
巴黎恐怖袭击之后,在没有证据的情况下加密或者是强加密技术变成了政府官员或立法议员攻击的目标。《纽约时报》11月15日援引未具名的欧洲官员的话报道,攻击者使用了未说明的加密技术协调攻击。这篇报道(互联网档案馆的镜像)随后从网站上撤下。隔了一天,《纽约时报》又发表了一篇内容相近的报道,但加了一句“没有提供证据”。现在,美国知名参议员麦凯恩(John McCain)表示想要将政府无法破解的加密宣布为非法。彭博社的Leonid Bershidsky认为,即使在加密技术中植入后门也不会阻止恐怖分子。911事件的恐怖分子使用的是未加密的Hotmail,只是在描述中将世贸中心用其它名称替代。从恐怖分子的角度看,他们不可能会去用常用的加密通信工具。在商业加密通信工具中植入后门不会阻止下一次的袭击。
加密技术
AnkhMorpork(36532)
发表于2015年11月17日 11时29分 星期二
来自政府表示需要加密后门
法国官员称,伊斯兰国的成员从叙利亚通过加密通讯与袭击者联系。这一消息传出之后,美国的前情报官员和媒体分析人员立即将矛头对准了NSA告密者 Edward Snowden,称他曝光NSA的大规模监视是在向恐怖组织通风报信。前CIA局长 James Woolsey在多个采访中称Snowden手上沾了血。他们认为恐怖组织根据他的泄密而改变通信方式,导致美国和法国的情报机构无法阻止巴黎袭击的发生。这些指责有些牵强,因为恐怖组织使用加密通信的历史至少有15年。而目前公开的其它信息显示加密通信的元数据已经足以提前向法国发出袭击即将发生的预警。美国情报官员在两个月前就警告法国政府伊斯兰国正在策划袭击。法国在10月8日参与对伊斯兰国的作战就是为了阻止正在计划的袭击。
英国
lx1(25847)
发表于2015年11月03日 12时55分 星期二
来自英国欢迎出口级
英国将在本周公布新的法律,禁止互联网和社交媒体公司使用它们自己都破解不了的强加密去加密客户通信内容(比如端对端加密)。新的法律 Investigatory Powers Bill要求科技公司和服务供应商在警方或间谍机构通过搜查令提出要求后提供未加密的通信内容。英国首相卡梅伦(David Cameron)说,不能让网络成为恐怖分子、恋童癖和犯罪分子的“安全港”。
Intel
lx1(25847)
发表于2015年10月28日 15时01分 星期三
来自龙芯支持
今天的计算机和网络安全都始于一个假设:某个领域我们能信任。举例来说,通过互联网传输加密数据,我们会假定执行加密的计算机是可信的,接收加密数据的端点能安全解密。这个假设是可疑的,值得重新思考。今天的计算机包含了多个供应商的产品,BIOS、硬件厂商的驱动、操作系统...这里有一个很长的信任链,我们需要盲目信任这个链条上的每一家供应商,寄望它们没有设置后门或者是不小心引入了实现上的漏洞 。安全桌面操作系统Qubes OS创始人Joanna Rutkowska发表一份研究报告(PDF、HTML),认为英特尔的x86平台是有害的。她分析了英特尔的安全技术如 VT-d、TXT、Boot Guard,Intel Management Engine (ME) 等等,指出这些技术存在很多严重漏洞,而英特尔没有从根本上修复了漏洞,而是采用了权宜的方法,如加固和沙盒去削弱攻击造成的破坏。Joanna没有分析AMD处理器,但认为AMD存在与英特尔相似的问题。
加密技术
lx1(25847)
发表于2015年10月21日 18时28分 星期三
来自挡住中间人
旨在让每个网站都能使用HTTPS加密的非赢利组织Let’s Encrypt达到了一个新的里程碑:获得了IdenTrust  Root CA的交叉签名,被所有主流浏览器信任。Let’s Encrypt项目获得了Mozilla、思科、Akamai、IdenTrust和EFF等组织的支持,由Linux基金会托管。它在9月中旬颁发了第一个证书,计划于11月16日向公众开放免费签名服务。
加密技术
lx1(25847)
发表于2015年10月21日 17时47分 星期三
来自工程师起的名字
去年OpenSSL的高危漏洞Heartbleed曝光之后,Google创建了OpenSSL分支BoringSSL,但表示无意取代OpenSSL。现在,BoringSSL已被绝大部分Google产品使用,包括 Chromium、 Android M和其它Google产品服务。Google开发者David Benjamin说,BoringSSL和OpenSSL难以在同一进程共存,它们会发生冲突。他表示,他是从一个空目录开始创建OpenSSL的分支的,大量的OpenSSL组件都没有并入BoringSSL。在创建分支时OpenSSL有 46.8万行代码,而BoringSSL如今也只有20万行代码。他进一步解释了两者在底层上的差异,包括错误信息、解析、随机数生成等等。