adv

致长期以来一直关注solidot的海内外朋友,请点击这里查看。
加密技术
AnkhMorpork(36532)
发表于2016年03月04日 12时30分 星期五
来自大数据管理
在各大科技公司加固安全的时候,亚马逊却削弱了它的Fire OS 5的安全功能。Fire OS是基于开源Android Open Source Project代码的Android分支,整合了亚马逊的服务,移除了Google的服务。但在旧版的Fire OS中,用户可以选择设备加密,而在最近释出的Fire OS 5版本中,该功能被移除了。亚马逊官方的回应是消费者不使用本地设备加密功能,所以它就在更新中移除了。Fire OS 5运行在亚马逊开发的Fire平板和智能手机上。
加密技术
AnkhMorpork(36532)
发表于2016年03月03日 16时57分 星期四
来自政府准备要求后门
Facebook高管 Diego Dzodan 因为多次拒绝法庭命令交出WhatsApp数据而遭到逮捕,在被拘留一天之后法官下令释放了他。WhatsApp的Android版(iOS版没有)自2014年起启用了端对端加密,这意味着甚至连母公司Facebook也无法访问信息的明文内容。法官Ruy Pinheiro形容Dzodan的拘留是“非法胁迫”。WhatsApp是与开发Signal的Open Whisper Systems合作去升级安全,实现端对端的加密。
加密技术
AnkhMorpork(36532)
发表于2016年03月02日 11时01分 星期三
来自我们崇尚明文 只有恐怖分子才用加密
美国计算机学会(ACM)宣布了2015年度图灵奖得主:前Sun首席安全官 Whitfield Diffie和斯坦福教授Martin E. Hellman,以表彰他们在现代加密学上的重要贡献。1976年,Diffie和Hellman发表了突破性的论文《加密学的新方向》(PDF),提出了公钥加密和数字签名的思想。被广泛使用的密钥交换协议DH是以他们的名字命名的。图灵奖被誉为计算机科学领域的诺贝尔奖,在获得Google的捐赠后其奖金也达到了100万美元。ACM主席Alexander L. Wolf称,加密主题是今天媒体关注的中心,被视为事关国家安全,影响政府-私营部门的关系,吸引了数十亿美元的资金投入到研究开发上。Google的杰出科学家Andrei Broder说,公钥加密系统是今天互联网行业的基础,确保了通信的完整性和保密性。
加密技术
AnkhMorpork(36532)
发表于2016年02月19日 12时49分 星期五
来自用手机干扰
以色列特拉维夫大学的一组研究员利用旁路攻击方法窃取了相邻房间内(墙壁厚度15厘米)的不联网笔记本上的解密私钥。他们的方法是测量目标机器发射出的电磁辐射,测量设备的成本在3000美元左右。在测试中,研究人员向目标机器发送了使用GnuPG加密的信息,然后在目标机器使用私钥解密过程中测量其泄露的电磁辐射,对信号进行处理后获得的信息可用于提取密钥。整个过程仅仅只需要几秒钟时间。研究人员已经发表了他们的论文(PDF),并计划在将在下个月举行的RSA会议上演示他们的研究,而GnuPG的开发者也发布了抵抗旁路攻击的补丁。
加密技术
AnkhMorpork(36532)
发表于2016年02月18日 18时40分 星期四
来自你有孩子吗
美国政府正准备与硅谷科技公司打一场可能将会影响深远的加密技术诉讼,它们的第一个对手将是苹果公司。苹果公开拒绝了帮助FBI解密手机的要求。双方都为这场官司最终将打到最高法院做准备,并且案件可能会促使国会采取行动。而在另一方面,政府官员继续宣称加密通信与恐怖袭击的关联性,即使目前并没有确凿证据。NSA局长Michael Rogers说,参与去年11月巴黎恐怖袭击的恐怖分子至少部分使用了加密通信,使得NSA无法提前对法国发出警告,他表示如果没有加密通信恐怖袭击将不会发生。他承认加密增加了NSA执行任务的难度。
加密技术
AnkhMorpork(36532)
发表于2016年02月03日 17时59分 星期三
来自华人
一款被网管和安全人员广泛使用的网络工具被发现一个严重的加密漏洞,该漏洞可能是故意植入的,允许攻击者秘密窃听加密通讯。网络工具Socat释出了更新已经修复了这个漏洞。当用户使用Diffie-Hellman密钥交换算法去创建密钥,算法会选择一个安全素数,但Socat被发现植入了一个硬编码的1024位DH参数,而这个参数还不是素数。这段代码被认为是于2015年1月整合到代码中的,代码递交者是Zhigang Wang,他报告了一个问题递交了一个补丁,根据其递交的帖子他当时在甲骨文工作。Wang至今还没有对此作出解释。
加密技术
AnkhMorpork(36532)
发表于2016年01月22日 18时54分 星期五
来自罚款金额需要提高100倍
在纽约议员提出法案要求智能手机供应商能按照执法的需要解密用户手机之后,加州议员Jim Cooper递交了类似的提案,要求设备制造商和操作系统供应商如苹果、三星和Google能解密用户的设备。提案如果变成法律(通过参议院、众议院和州长的批准),将适用于2017年1月后在加州销售的智能手机,违反一次将被罚款2500美元。纽约议员的提案是为了反恐,而这位加州议员则是为了解决贩卖人口的问题。
加密技术
AnkhMorpork(36532)
发表于2016年01月20日 19时30分 星期三
来自政府管理方式
伦敦大学学院的Steven Murdoch博士发现,英国官方的语音通信加密标准有后门,能被情报机构拦截和监听通信。语音通信加密标准Secure Chorus实现了英国情报总局设计的加密协议 MIKEY-SAKKE,其创建和共享加密密钥的方式允许电信供应商作为中间人嵌入到通信中,允许第三方解密过去和未来的通话。他称,总是存在一个向所有用户生成和分发私钥的第三方,而第三方因此有能力解密加密的通话内容。其他人评论认为这可能并非是什么邪恶政府阴谋,而是设计如此
加密技术
AnkhMorpork(36532)
发表于2016年01月20日 12时51分 星期三
来自开销大
CyanogenMod开发者宣布关闭短信加密服务WhisperPush。WhisperPush是短信加密协议TextSecure的一种实现,能自动对短信进行端对端加密(如果接收方使用CyanogenMod或TextSecure),CyanogenMod是在2013年将其整合到系统中的。开发者现在表示将不再支持WhisperPush功能,WhisperPush服务将于2016年2月1日关闭。WhisperPush是一项服务器端的实现,因此自CM10.2起的分支都会受到影响。开发者表示将会继续支持短信加密协议,但维护自己的实现有很多障碍,他们推荐依靠这项服务的用户改用 Signal
加密技术
AnkhMorpork(36532)
发表于2016年01月18日 19时31分 星期一
来自库克不怕被穿小鞋
《连线》援引知情人士的消息报道,白宫前不久召集科技公司领导人讨论反恐问题,苹果CEO库克(Tim Cook)在会上抨击了奥巴马政府官员没有发表公开声明,捍卫没有后门的强加密。与会者包括了白宫幕僚长、总检察长、国土安全部部长、NSA局长Michael Rogers、FBI局长James Comey、国家安全总监James Clapper。
加密技术
AnkhMorpork(36532)
发表于2016年01月13日 17时02分 星期三
来自法国药丸
法国国民议会正考虑立法禁止强加密。禁止加密的修正案是庞大的数字共和国法案的一部分,由保守党共和党成员提出。法国议会将在本周审查和辩论数字共和国法案。禁止强加密是为了回应2015年法国巴黎发生的两起致命恐怖袭击,但没有证据显示恐怖分子使用了强加密进行联络,他们使用的是未加密的通信工具。对于强加密,数字共和国法案先扬后贬,称赞了它保护用户数据的重要性,但很快批评它对国家安全的影响,称法国必须采取行动迫使设备制造商,在案件调查和法官监管下,向执法部门提供访问设备的方法——用通俗的话说就是后门。
加密技术
AnkhMorpork(36532)
发表于2016年01月11日 18时17分 星期一
来自政府表示很开心
已步入花甲之年的加密学大师David Lee Chaum是众多密码协议的发明人,也是数字货币的早期提出者。他的最新项目是匿名网络原型cMix(PDF),设计从法律层面和技术层面修正现有匿名网络Tor的问题。cMix由Chaum与美国、英国和荷兰四所大学的密码专家联合开发,研究人员计划在新的密码协议基础上构建Tor的替代匿名网络PrivaTegrity。Chaum称,cMix有着更好的安全性,能达到与Tor相同的传输速度,没有Tor网络节点的弱点。但为了让政府和监管者开心,cMix内置了后门。Chaum说,除了用于曝光暗网的罪犯,他不准备使用后门
加密技术
AnkhMorpork(36532)
发表于2016年01月07日 15时24分 星期四
来自我们自驾公交但不骑自行车
安全研究员 Guido Vranken报告了针对流加密的HTTPS Bicycle攻击(PDF),目前常用的加密技术是块加密,块加密的安全性高于流加密。HTTPS  Bicycle攻击允许攻击者通过检查HTTPS加密流量提取出一些有用的信息,比如密码的长度,然后根据密码长度展开暴力破解攻击。这种攻击技术可以用于发现cookie头的长度, GPS地理位置信息、IPv4地址,等等。HTTPS  Bicycle攻击可用于追溯分析许多年前的HTTPS流量。
加密技术
AnkhMorpork(36532)
发表于2016年01月05日 12时02分 星期二
来自与荷兰断交
荷兰政府发表了一份强有力的声明,反对为了执法和情报机构的目的而推行弱加密。荷兰此举发生在英国和中国政府立法要求企业提供方法访问加密流量之际,而美国立法议员也考虑引入类似的立法。荷兰政府支持强加密对于互联网安全以及保护公民隐私、企业、政府和荷兰经济的重要性。上个月,荷兰议会承诺向OpenSSL资助50万欧元。荷兰安全和司法部长Ard van der Steur指出,弱加密会将互联网流量暴露给犯罪分子、恐怖分子和外国情报机构。
加密技术
AnkhMorpork(36532)
发表于2015年12月23日 19时02分 星期三
来自你的秘密我知道
Juniper的ScreenOS上周曝出了两个后门,其中一个是硬编码的密码,另一个则与加密有关,而后者最令人感兴趣。Juniper在安全公告中只是简单的说,这个后门可能允许掌握必要知识的攻击者解密VPN流量。每一个理性的人都知道,解密加密流量并非是一件简单的事情,没有Juniper试图说的那么轻松。加密专家和安全研究员对此展开了分析。Ralf-Philipp Weinmann在一篇分析文章中指出,过去几年,Juniper NetScreen设备整合了一个可能有后门的随机数生成器,基于NSA的Dual_EC_DRBG算法。在2012年的某个时间,某未知方进一步破坏了NetScreen的代码,使得相同的后门能被用于监听NetScreen的连接。这次修改没有获得Juniper的授权,但最为重要的是攻击者对加密机制没有作出大的改动,只修改了几个参数。约翰霍普金斯的教授Matthew Green指出,ScreenOS使用Dual_EC已经有很长一段时间,它没有使用NSA在算法中默认的一个32字节常数Q,而是使用了一个替代的Q值。此外ScreenOS是以一种非标准的方式使用Dual_EC,它没有用Dual_EC生成所有的随机数,而是将其作为一个seed,用于一个基于3DES的随机数生成器ANSI X9.17。ANSI X9.17的后期处理会导致Dual_EC后门无效,但修改参数的攻击者恢复了Q值。他认为这件事证明执法机构想要加密后门是一个糟糕的主意,后门能被其他攻击者利用。
加密技术
AnkhMorpork(36532)
发表于2015年12月22日 16时37分 星期二
来自NSA要超级计算机
美国民主党总统候选人希拉里呼吁通过一个“曼哈顿工程”项目,帮助执法机构破解加密通信。苹果CEO库克认为任何破解加密的努力都会伤害守法公民,希拉里对此表示不会强迫苹果这样的公司向执法机构提供加密密钥,她认为需要一个类似曼哈顿的项目将政府和科技界联合起来,让他们认识到彼此不是敌人而是合作伙伴。如果恐怖分子转移到执法机构无法事先或事后破解的加密通信,这对任何人都没有好处。希拉里表示对技术不是十分了解,美国必须平衡自由和安全,隐私和安全。库克则在60分钟上说,隐私与国家安全之间不存在取舍。美国应该两者兼备。
加密技术
AnkhMorpork(36532)
发表于2015年12月20日 22时59分 星期日
来自好多扇门
Juniper本周发出安全警告,它的防火墙产品运行的固件被发现含有“未授权代码”——被第三方植入后门的委婉说法,它发布了新版固件修复了漏洞。安全专家比较了新旧固件的差异注意到了几个与椭圆曲线伪随机数生成器有关的16进制值变化。安全研究人员Ralf-Philipp Weinmann和密码学教授Matthew Green 怀疑基于椭圆曲线的伪随机数生成器的某个值是常数。这令人想起了NSA力推纳入政府加密标准的Dual_EC_DRBG(双椭圆曲线确定性随机比特生成器),该算法也被认为存在后门,允许了解内情的攻击者预测加密后的输出结果。目前还无法确定Juniper究竟发生了什么,不清楚是否与NSA以及有缺陷的Dual_EC_DRBG有关。值得一提的,Juniper曾在2010年遭到极光攻击
加密技术
AnkhMorpork(36532)
发表于2015年12月11日 20时58分 星期五
来自
2016年之后,主流浏览器将停止支持使用SHA-1哈希算法签名的证书。但仍然有大量网站的数字证书使用这种弱加密算法签名,仍然有很多人使用不支持SHA256的过时浏览器,社交巨人Facebook和云服务公司CloudFlare为此宣布了受争议的“退路计划”,让这些网站和用户继续使用弱加密连接,他们的观点是有加密总比没有加密好。Facebook说,全世界7%的浏览器不支持新标准最低要求的SHA256函数。CloudFlare的估计是超过3700万网民将无法访问依靠新哈希算法签名证书的加密网站。两家公司都提出了退路计划,使用基于SHA-1的证书向仍然用旧浏览器的用户传递HTTPS加密的网页。CloudFlare 说,中国网站阿里巴巴正在实现这一机制。
加密技术
AnkhMorpork(36532)
发表于2015年12月11日 11时42分 星期五
来自我们的企业很听话
在巴黎和加州圣贝纳迪诺恐怖袭击之后,FBI局长James Comey呼吁科技公司停止默认启用端对端加密——好让FBI能再次监视通信。Comey希望苹果等公司能拦截私人信息,将其转交给执法机构。提供端对端加密的科技公司声称他们无法破解加密通信,即使法庭命令它们破解。Comey 对此并不买账,他认为这不是一个技术问题,他指出许多提供安全服务的企业仍然能遵守法庭命令。Comey认为这是一个商业问题,科技公司提供端对端加密是因为他们认为客户想要,他们通过改进加密去打击竞争对手。
加密技术
AnkhMorpork(36532)
发表于2015年12月07日 19时52分 星期一
来自技术从不中立
加州大学戴维斯分校的计算机科学教授Phillip Rogaway发表了一篇论文《加密学工作的道德品质》(PDF),从罗素—爱因斯坦宣言谈起,认为在后Snowden时代加密学社区在抵制大规模监视上负有责任。他认为加密学并不算是“技术中立”,而是一种天生的政治工具。科学家必须假设对他们所做的一切负有责任,因为如果剥离道德约束,科学和技术都会将我们带到一个噩梦般的世界。然而今天严重关切工作的社会影响的科学家和工程师已经极其罕见了,甚至称得上是神话了。他曾经问过候选教职工有关计算机科学的伦理责任,其中一位从事数据挖掘的研究人员承认她感觉不到任何社会责任,“我是一个没有灵魂的躯体。”