adv

solidot此次改版内容包括服务器更新、编程语言、网站后台管理的优化、页面和操作流程的优化等。
加密技术
lx1(25847)
发表于2015年10月16日 16时18分 星期五
来自防火长城有超算
很早就有流言称NSA能解密大量的互联网加密流量,Edward Snowden泄露的机密文件证实NSA建立了规模巨大的基础设施去拦截和解密HTTPS或VPN加密流量。在本周的ACM计算机和通信安全会议上,十多名安全研究人员(其中包括约翰霍普金斯的教授Matthew Green)发表论文《Imperfect Forward Secrecy:How Diffie-Hellman Fails in Practice》(PDF),警告被称为Logjam的弱Diffie-Hellman密钥交换攻击。Logjam是一种新的TLS协议漏洞,允许中间人将建立加密连接使用的密钥长度降级到512位的出口级。这一攻击影响所有支持DHE_EXPORT加密算法的服务器,影响所有浏览器。Diffie-Hellman被广泛用于SSH、IPsec和TLS的会话密钥交换,研究人员发现在实际使用中Diffie-Hellman的安全性没有预期的高,第一个原因是大量的服务器仍然使用或支持出口级的密钥长度。但更为糟糕的是,大量HTTPS、SSH和VPN服务器都使用广泛共享的、硬编码的素数用于密钥交换,这显著的减轻了攻击成本。研究人员的演示显示,他们可以将80%支持DHE_EXPORT的服务器加密连接降级到出口级,他们估计一个国家级的攻击者能破解1024位的素数,而破解一个最常用的1024位素数将允许中间人被动监听100万最流行HTTPS域名中的18%;破解第二常用的1024位素数将允许攻击者被动破译最多66%的VPN服务器和 26%的SSH服务器。在研究人员发出警告之后,主要浏览器已经拒绝了弱DH密钥交换。
USA
lx1(25847)
发表于2015年10月12日 18时41分 星期一
来自我们的后门NSA一直在用
关于iPhone等数字设备的数据加密问题,奥巴马政府在与硅谷的争执中做出了让步。奥巴马政府认定,只要让美国执法和情报机构获取这些信息,就必定会造成一个裂缝,可能被中国、俄罗斯、网络犯罪分子和恐怖分子所利用。奥巴马政府的这个决定激怒了FBI和其他执法机构,它基本上同意了苹果、Google、微软,以及美国一些顶级密码专家和计算机科学家的看法:如果要求科技公司和智能手机制造商向政府提供“后门”,或者开放源代码和加密密钥,千千万万的美国人将更容易受到黑客攻击。
加密技术
WinterIsComing(31822)
发表于2015年09月24日 11时58分 星期四
来自火花四射
美国和西欧的政府及执法机构最近一直强烈批评强加密。许多网络安全行业的人士称,完全禁止就像试图把加密这个魔鬼重新塞回瓶子里一样。他们提出,不可能保证为让政府能读取加密系统而创造的技术永远不会落入黑客手中。71岁的著名密码学家Whitfield Diffie说,当系统“最简单”时,运转得最出色。这意味着,试图创建一种政府要求的特殊访问渠道只会产生反作用。“如果你在基本工具方面妥协,你很可能会使外国政府能够利用你,”他说。上世纪90年代的“加密战争”跟当前的战争相比小巫见大巫,Diffie说,“加密对整个数字经济都极其重要。自从上次(将近20年前)我们打加密战争以来,它出现了极大的演变。”如今,政府抵制加密要难得多,因为它已经被“非常、非常广泛地使用”。网络安全的威胁也大得多,包括中国、俄罗斯在内的民族国家将资源大量投入网络间谍活动,而资金充足的有组织犯罪网络也正在锤炼自己的技能。
加密技术
WinterIsComing(31822)
发表于2015年09月23日 13时09分 星期三
来自我党是绝不会后撤的
仅仅公示一天,印度政府就在公众压力下撤回了受争议的加密政策草案。印度通信和信息技术部长Ravi Shankar Prasad说他在读过草案后认识到其中的部分描述会引起误解,因此要求撤回重写措辞。根据撤回前的草案,公民和企业必须保存加密信息和明文信息90天,以在需要时提供给警方或其它执法机构。这一描述引发了广泛的争议。
加密技术
WinterIsComing(31822)
发表于2015年09月22日 20时39分 星期二
来自为了孩子
印度公布了加密政策草案,其中的一些规定引发了印度人的担忧。草案规定公民和企业必须保存所有加密信息和明文拷贝90天,以在需要的时候提供给执法机构。《印度时报》用一个标题说,这项规定意味着删除 WhatsApp、Google Hangout或苹果iMessage信息可能会在印度变成非法。草案还规定由政府定义加密的算法和密钥的长度。
加密技术
WinterIsComing(31822)
发表于2015年09月02日 11时53分 星期三
来自所有人都应该透明政府除外
土耳其逮捕了三名Vice News的雇员(最初有4人被捕,3名记者和1名司机,司机后来被释放),指控他们“参与恐怖活动”,原因是其中一人的笔记本电脑上发现了常被伊斯兰国使用的加密软件。律师认为这很荒谬,认为土耳其政府此举是试图将国际记者赶出冲突区域。Vice欧洲新闻负责人,Kevin Sutcliffe说,土耳其法官的指控是毫无根据的,土耳其是企图恐吓记者和审查报道。土耳其政府否认这些说法,声称司法独立,不受政府影响。
加密技术
WinterIsComing(31822)
发表于2015年08月30日 14时58分 星期日
来自2016年选举
中国将在2016年完成建造和启用世界最长的量子通信网络。中国正在建造长约2000公里的北京至上海量子光纤线路。官方新华社称它无法被监听,能向用户提供最安全的加密保障。新华社称到2030年中国的量子网络将延伸到全世界。这条线路将被中央政府、军方和重要企业机构如银行使用。领导该项目的中国科技大学量子物理学家潘建伟称,任何中国城市,只要想要,都可以建造量子通信网络。他称中国在该领域领先世界。
加密技术
WinterIsComing(31822)
发表于2015年08月15日 23时14分 星期六
来自没有后门
真正实用的量子计算机还没有变成现实,但NSA已经提前开始准备。量子计算机在并行处理上远胜于经典计算机,很多经典计算机难以破解的加密算法对于量子计算机不再是难题。NSA宣布了过渡到抗量子计算机加密算法的计划。NSA称它将以开放透明的方式开发下一代加密算法组件。
加密技术
WinterIsComing(31822)
发表于2015年08月12日 15时20分 星期三
来自隧道
OpenSSH项目宣布发布OpenSSH 7.0。新版本要是淘汰和停用一批不安全的加密技术,未来版本还会在这上面继续清理工作。OpenSSH 7.0将拒绝长度低于1024位的RSA密钥(以前是768位),默认停用基于MD5的HMAC算法、blowfish-cbc、cast128-cbc;停止支持SSH v1协议和 v00 cert格式,sshd_config(5) PermitRootLogin默认选项修改为禁止密码,以及一些bug修正和漏洞修补,等等。
微软
WinterIsComing(31822)
发表于2015年08月04日 18时01分 星期二
来自保驾十九大
我们访问的HTTPS网站使用了TLS协议加密连接。TLS协议一般是使用RSA公钥算法。RSA算法是使用大素数相乘生成一对密钥,其中一个公开称之为公钥,另一个则是私钥。你可以通过因式分解利用公钥破解出私钥,但只要密钥足够长,你破解的时间将会接近无限,也就是不可能破解。但在1994年,数学家 Peter Shor证明,量子计算机可以很容易找出一个密钥背后的素数。Shor的量子算法也可以修改用于破解椭圆曲线加密——RSA的一种替代加密算法,也被TLS协议所使用。现在,微软研究院、半导体制造商NXP和昆士兰理工大学的研究团队开发出了让量子计算机也无法破解的TLS加密算法。他们的测试显示,新的强加密导致数据移动速率比椭圆曲线加密慢了21%。研究人员表示这一速率惩罚是合理的。
加密技术
WinterIsComing(31822)
发表于2015年07月27日 19时26分 星期一
来自古墓碟影
Linux加密工具Tomb发布了v2.1版。Tomb由一个ZShell脚本和一个桌面整合应用构成,使用标准的GNU工具如gpg,设计以易于使用的方式为系统提供强加密功能。它支持密钥分离,一个密钥可以保存在U盘上;支持隐写,二维码纸面备份,离线搜索,等等。在TrueCrypt被开发者放弃之后,它是众多的接替者之一
加密技术
WinterIsComing(31822)
发表于2015年07月16日 20时41分 星期四
来自用超级计算机瞬间破解
计算机科学家警告,利用弱点破解加密Web连接的技术正日益变得实用。而针对RC4加密算法的攻击也可用于破解使用WPA-TKIP协议保护的无线网络。研究人员早就知道,RC4中的统计偏差让攻击者可能预测出加密算法编码信息使用的部分伪随机比特。2013年,科学家设计出利用弱点的攻击方法,但需要2000小时才能正确猜测出认证cookie包含的字符。现在,在改进技术之后研究人员将破解所需的时间降低到75小时,正确率达到94%。而对 WPA-TKIP网络的类似攻击只需要一个小时。研究人员建议停止使用RC4加密算法。
加密技术
WinterIsComing(31822)
发表于2015年07月16日 14时55分 星期四
来自优衣库门
Rhino Security Labs开发的匿名WIFI设备项目Proxyham突然取消,原计划在安全会议Def Con上发表演讲的计划也同时取消。有人说是该项目被认为违反了法律,另一些人认为整个项目本来就是营销。Proxyham使用了一个 Raspberry Pi电路板,利用 900 MHz的超高频波段连接最远2.5英里外的公开WIFI来隐藏设备的物理位置。即便遭到跟踪,跟踪者也只能发现距离很遥远的一个IP。设备的工作原理和蹭网没多少区别,类似的产品事实上已经存在。
加密技术
WinterIsComing(31822)
发表于2015年07月10日 12时17分 星期五
来自所以我们不推荐加密
《华尔街日报》刊登了一篇长文介绍了知名安全专家Moxie Marlinspike,他曾是被Twitter收购的WhisperSystems公司CTO,目前是Open Whisper Systems的创始人。Marlinspike开发的加密应用已被Facebook的WhatsApp采用,提供加密通讯功能。对于加密通讯应用,英国首相和美国总统都对此表示担忧,认为会被恐怖分子利用。这也让Marlinspike这位留着长辫极其注重隐私的程序员成为争议的焦点人物。他开发的短信和电话加密应用 Signal甚至成为白宫会议谈论的话题。前NSA合同工Edward Snowden鼓励人们使用Marlinspike发布的任何应用。密码学者、霍普金斯教授Matthew Green曾让他的学生去研究Marlinspike的代码,出乎他意料的是没有在代码中发现任何错误。Google的安全研究员Morgan Marquis-Boire说,他很少信任别人写的隐私工具,而Marlinspike是他信任的少数人之一。Marlinspike在2013年离开Twitter,之后获得Open Technology Fund的130万美元资金去开发加密通讯应用,加密通讯被认为可以帮助全世界的亲民主运动。
USA
WinterIsComing(31822)
发表于2015年07月08日 20时41分 星期三
来自不能上也要上
14位世界知名的密码学专家,其中包括Ronald L. Rivest(RSA中的R)、Peter G. Neumann,Harold Abelson、Susan Landau和 Bruce Schneier,共同完成一份报告(PDF)。他们的结论是没有可行的技术方案,能在不危及世界机密数据和关键基础设施的情况下允许美国和英国政府通过后门访问加密通信。在Edward J. Snowden曝光NSA监视科技巨头数据中心之间的未加密通信之后,苹果、微软和Google等都开始加密企业和用户数据,执法机构和情报机构抱怨加密威胁到了他们监视恐怖主义、绑架等违法犯罪活动的能力。英国首相David Cameron甚至威胁要封杀加密通信。NSA局长Michael S. Rogers也提出了一个类似后门的方案。
USA
WinterIsComing(31822)
发表于2015年06月20日 17时08分 星期六
来自阅后即焚
知名安全专家Bruce Schneier在《连线》上发表文章认为,中国和俄罗斯很可能早在Snowden之前就获得了NSA的相关机密文件。中国和俄罗斯都有专业的情报机构,如果Snowden这样的合同工都能访问和收集NSA的机密文件,凭什么认为职业特工无法做到?Schneier几乎百分之百肯定中国和俄罗斯已经拥有了Snowden的文档拷贝,错不在Snowden本人,而最有可能是访问机密文件的记者,他也处理过部分Snowden文档,作为一名偏执的加密专家,他深知完美的安全是不存在的。有许多名记者持有Snowden文档的拷贝,他们不太可能有能力躲避全世界的情报机构。
加密技术
WinterIsComing(31822)
发表于2015年06月17日 23时37分 星期三
来自公共CA
旨在让每个网站都能使用HTTPS加密的Let's Encrypt项目公布了发布时间表:下个月签发第一张免费证书、9月14日开放系统接受任意域名的证书签发请求。Let's Encrypt发表了一篇文章介绍了证书签发的流程:只需要在网站服务器上安装Let's Encrypt,生成密钥交换密钥和认证域名的工作主要由它完成,这个程序是开源的,源代码托管在GitHub上,任何人都可以审查,它是用Python语言编写的。
加密技术
WinterIsComing(31822)
发表于2015年06月16日 19时28分 星期二
来自M$比中国公司要好
知名加密技术专家Bruce Schneier推荐Windows用户使用微软的BitLocker加密磁盘,称他寻找的是最不坏的选择。BitLocker是Windows内置的文件加密技术,最初是Schneier的同事Niels Ferguson设计的,但在Windows 8中BitLocker发生了许多改变,引发了安全社区的怀疑,比如移除了Ferguson设计的Elephant Diffuser。The Intercept的Micah Lee称,微软解释说移除Elephant Diffuser是出于性能和兼容性上的考虑。Schneier同意Micah Lee的说法,如果你真的不信任私有系统,那么你应该迁移到Linux,你要么信任你自己写的软件,要么信任其他人为你写的软件。
加密技术
WinterIsComing(31822)
发表于2015年06月11日 16时50分 星期四
来自遭奥主席严辞拒绝
代表微软、苹果、Facebook和IBM等科技公司的两大行业组织联合致函美国总统奥巴马,督促美国政府不要寻求在加密技术中立法加入官方后门。软件信息行业协会和信息技术行业委员会在一封措辞强烈的信函中称:促进在线经济的持续增长,消费者对数字产品和服务的信任是必不可少的组成部分。因此,我们请求您不要推行任何政策或提议,去要求或鼓励企业削弱他们的技术,包括削弱加密技术和创建加密的后门。
移动
WinterIsComing(31822)
发表于2015年06月10日 18时10分 星期三
来自美国的公司遵守美国的法律
彭博社报道,比利时执法部门在周一的联合突袭中逮捕了两名恐怖分子嫌疑人,向另外三人发出了逮捕令。比利时称它与美国当局合作监视了WhatsApp上的嫌疑人通信。 WhatsApp及其母公司Facebook拒绝置评。那么问题是:WhatsApp配合了美国当局的监视,还是美国破解了WhatsApp的加密系统?WhatsApp从去年11月开始启用端对端加密,理论上WhatsApp也无法阅读通信内容。但不清楚恐怖分子是否使用了加密,因为不是所有WhatsApp版本都支持端对端加密,如iOS版本就不支持。即使内容加密了,NSA或FBI仍然可能通过收集到的元数据了解嫌疑人之间的联络网。对WhatsApp加密方案的分析发现,破解加密信息在理论上并不是不可能,因为密钥是源自于用户的密码。