adv

solidot此次改版内容包括服务器更新、编程语言、网站后台管理的优化、页面和操作流程的优化等。
加密技术
AnkhMorpork(36532)
发表于2015年12月03日 15时11分 星期四
来自一小步
Let’s Encrypt项目从12月3日起开放Beta测试,也就是说感兴趣的网站管理员不再需要等待邀请了。Let’s Encrypt旨在让每个网站都能使用HTTPS加密,它签名的证书已被所有主流浏览器信任。但目前存在的一些问题使它推迟了正式推出的时间:只支持Linux,软件运行需要root权限,不支持nginx,子域名需要个别配置,在使用多台服务器的网站上设置过于复杂。
加密技术
AnkhMorpork(36532)
发表于2015年11月21日 21时57分 星期六
来自但已经死亡
2014年,流行加密工具TrueCrypt背后的匿名开发者突然宣布项目终止,并且公开警告使用TrueCrypt不安全。但对其进行安全审计的结论是TrueCrypt是一款相对精心设计的加密软件,没有发现故意植入后门的证据。最新的分析报告也得出了使用TrueCrypt加密数据是安全的结论。最新分析获得了德国联邦信息技术安全办公室的资助。报告也披露了多个之前未发现的程序bug,其中最严重的bug与使用一个Windows编程接口生成密钥使用的随机数有关,该漏洞降低了攻击者猜测解密密钥的难度。但由于开发已经终止,这些漏洞可能永远也得不到修正。
加密技术
AnkhMorpork(36532)
发表于2015年11月19日 19时25分 星期四
来自但便于老大哥监视
巴黎恐怖袭击之后,在没有证据的情况下加密或者是强加密技术变成了政府官员或立法议员攻击的目标。《纽约时报》11月15日援引未具名的欧洲官员的话报道,攻击者使用了未说明的加密技术协调攻击。这篇报道(互联网档案馆的镜像)随后从网站上撤下。隔了一天,《纽约时报》又发表了一篇内容相近的报道,但加了一句“没有提供证据”。现在,美国知名参议员麦凯恩(John McCain)表示想要将政府无法破解的加密宣布为非法。彭博社的Leonid Bershidsky认为,即使在加密技术中植入后门也不会阻止恐怖分子。911事件的恐怖分子使用的是未加密的Hotmail,只是在描述中将世贸中心用其它名称替代。从恐怖分子的角度看,他们不可能会去用常用的加密通信工具。在商业加密通信工具中植入后门不会阻止下一次的袭击。
加密技术
AnkhMorpork(36532)
发表于2015年11月17日 11时29分 星期二
来自政府表示需要加密后门
法国官员称,伊斯兰国的成员从叙利亚通过加密通讯与袭击者联系。这一消息传出之后,美国的前情报官员和媒体分析人员立即将矛头对准了NSA告密者 Edward Snowden,称他曝光NSA的大规模监视是在向恐怖组织通风报信。前CIA局长 James Woolsey在多个采访中称Snowden手上沾了血。他们认为恐怖组织根据他的泄密而改变通信方式,导致美国和法国的情报机构无法阻止巴黎袭击的发生。这些指责有些牵强,因为恐怖组织使用加密通信的历史至少有15年。而目前公开的其它信息显示加密通信的元数据已经足以提前向法国发出袭击即将发生的预警。美国情报官员在两个月前就警告法国政府伊斯兰国正在策划袭击。法国在10月8日参与对伊斯兰国的作战就是为了阻止正在计划的袭击。
英国
lx1(25847)
发表于2015年11月03日 12时55分 星期二
来自英国欢迎出口级
英国将在本周公布新的法律,禁止互联网和社交媒体公司使用它们自己都破解不了的强加密去加密客户通信内容(比如端对端加密)。新的法律 Investigatory Powers Bill要求科技公司和服务供应商在警方或间谍机构通过搜查令提出要求后提供未加密的通信内容。英国首相卡梅伦(David Cameron)说,不能让网络成为恐怖分子、恋童癖和犯罪分子的“安全港”。
Intel
lx1(25847)
发表于2015年10月28日 15时01分 星期三
来自龙芯支持
今天的计算机和网络安全都始于一个假设:某个领域我们能信任。举例来说,通过互联网传输加密数据,我们会假定执行加密的计算机是可信的,接收加密数据的端点能安全解密。这个假设是可疑的,值得重新思考。今天的计算机包含了多个供应商的产品,BIOS、硬件厂商的驱动、操作系统...这里有一个很长的信任链,我们需要盲目信任这个链条上的每一家供应商,寄望它们没有设置后门或者是不小心引入了实现上的漏洞 。安全桌面操作系统Qubes OS创始人Joanna Rutkowska发表一份研究报告(PDF、HTML),认为英特尔的x86平台是有害的。她分析了英特尔的安全技术如 VT-d、TXT、Boot Guard,Intel Management Engine (ME) 等等,指出这些技术存在很多严重漏洞,而英特尔没有从根本上修复了漏洞,而是采用了权宜的方法,如加固和沙盒去削弱攻击造成的破坏。Joanna没有分析AMD处理器,但认为AMD存在与英特尔相似的问题。
加密技术
lx1(25847)
发表于2015年10月21日 18时28分 星期三
来自挡住中间人
旨在让每个网站都能使用HTTPS加密的非赢利组织Let’s Encrypt达到了一个新的里程碑:获得了IdenTrust  Root CA的交叉签名,被所有主流浏览器信任。Let’s Encrypt项目获得了Mozilla、思科、Akamai、IdenTrust和EFF等组织的支持,由Linux基金会托管。它在9月中旬颁发了第一个证书,计划于11月16日向公众开放免费签名服务。
加密技术
lx1(25847)
发表于2015年10月21日 17时47分 星期三
来自工程师起的名字
去年OpenSSL的高危漏洞Heartbleed曝光之后,Google创建了OpenSSL分支BoringSSL,但表示无意取代OpenSSL。现在,BoringSSL已被绝大部分Google产品使用,包括 Chromium、 Android M和其它Google产品服务。Google开发者David Benjamin说,BoringSSL和OpenSSL难以在同一进程共存,它们会发生冲突。他表示,他是从一个空目录开始创建OpenSSL的分支的,大量的OpenSSL组件都没有并入BoringSSL。在创建分支时OpenSSL有 46.8万行代码,而BoringSSL如今也只有20万行代码。他进一步解释了两者在底层上的差异,包括错误信息、解析、随机数生成等等。
加密技术
lx1(25847)
发表于2015年10月16日 16时18分 星期五
来自防火长城有超算
很早就有流言称NSA能解密大量的互联网加密流量,Edward Snowden泄露的机密文件证实NSA建立了规模巨大的基础设施去拦截和解密HTTPS或VPN加密流量。在本周的ACM计算机和通信安全会议上,十多名安全研究人员(其中包括约翰霍普金斯的教授Matthew Green)发表论文《Imperfect Forward Secrecy:How Diffie-Hellman Fails in Practice》(PDF),警告被称为Logjam的弱Diffie-Hellman密钥交换攻击。Logjam是一种新的TLS协议漏洞,允许中间人将建立加密连接使用的密钥长度降级到512位的出口级。这一攻击影响所有支持DHE_EXPORT加密算法的服务器,影响所有浏览器。Diffie-Hellman被广泛用于SSH、IPsec和TLS的会话密钥交换,研究人员发现在实际使用中Diffie-Hellman的安全性没有预期的高,第一个原因是大量的服务器仍然使用或支持出口级的密钥长度。但更为糟糕的是,大量HTTPS、SSH和VPN服务器都使用广泛共享的、硬编码的素数用于密钥交换,这显著的减轻了攻击成本。研究人员的演示显示,他们可以将80%支持DHE_EXPORT的服务器加密连接降级到出口级,他们估计一个国家级的攻击者能破解1024位的素数,而破解一个最常用的1024位素数将允许中间人被动监听100万最流行HTTPS域名中的18%;破解第二常用的1024位素数将允许攻击者被动破译最多66%的VPN服务器和 26%的SSH服务器。在研究人员发出警告之后,主要浏览器已经拒绝了弱DH密钥交换。
USA
lx1(25847)
发表于2015年10月12日 18时41分 星期一
来自我们的后门NSA一直在用
关于iPhone等数字设备的数据加密问题,奥巴马政府在与硅谷的争执中做出了让步。奥巴马政府认定,只要让美国执法和情报机构获取这些信息,就必定会造成一个裂缝,可能被中国、俄罗斯、网络犯罪分子和恐怖分子所利用。奥巴马政府的这个决定激怒了FBI和其他执法机构,它基本上同意了苹果、Google、微软,以及美国一些顶级密码专家和计算机科学家的看法:如果要求科技公司和智能手机制造商向政府提供“后门”,或者开放源代码和加密密钥,千千万万的美国人将更容易受到黑客攻击。
加密技术
WinterIsComing(31822)
发表于2015年09月24日 11时58分 星期四
来自火花四射
美国和西欧的政府及执法机构最近一直强烈批评强加密。许多网络安全行业的人士称,完全禁止就像试图把加密这个魔鬼重新塞回瓶子里一样。他们提出,不可能保证为让政府能读取加密系统而创造的技术永远不会落入黑客手中。71岁的著名密码学家Whitfield Diffie说,当系统“最简单”时,运转得最出色。这意味着,试图创建一种政府要求的特殊访问渠道只会产生反作用。“如果你在基本工具方面妥协,你很可能会使外国政府能够利用你,”他说。上世纪90年代的“加密战争”跟当前的战争相比小巫见大巫,Diffie说,“加密对整个数字经济都极其重要。自从上次(将近20年前)我们打加密战争以来,它出现了极大的演变。”如今,政府抵制加密要难得多,因为它已经被“非常、非常广泛地使用”。网络安全的威胁也大得多,包括中国、俄罗斯在内的民族国家将资源大量投入网络间谍活动,而资金充足的有组织犯罪网络也正在锤炼自己的技能。
加密技术
WinterIsComing(31822)
发表于2015年09月23日 13时09分 星期三
来自我党是绝不会后撤的
仅仅公示一天,印度政府就在公众压力下撤回了受争议的加密政策草案。印度通信和信息技术部长Ravi Shankar Prasad说他在读过草案后认识到其中的部分描述会引起误解,因此要求撤回重写措辞。根据撤回前的草案,公民和企业必须保存加密信息和明文信息90天,以在需要时提供给警方或其它执法机构。这一描述引发了广泛的争议。
加密技术
WinterIsComing(31822)
发表于2015年09月22日 20时39分 星期二
来自为了孩子
印度公布了加密政策草案,其中的一些规定引发了印度人的担忧。草案规定公民和企业必须保存所有加密信息和明文拷贝90天,以在需要的时候提供给执法机构。《印度时报》用一个标题说,这项规定意味着删除 WhatsApp、Google Hangout或苹果iMessage信息可能会在印度变成非法。草案还规定由政府定义加密的算法和密钥的长度。
加密技术
WinterIsComing(31822)
发表于2015年09月02日 11时53分 星期三
来自所有人都应该透明政府除外
土耳其逮捕了三名Vice News的雇员(最初有4人被捕,3名记者和1名司机,司机后来被释放),指控他们“参与恐怖活动”,原因是其中一人的笔记本电脑上发现了常被伊斯兰国使用的加密软件。律师认为这很荒谬,认为土耳其政府此举是试图将国际记者赶出冲突区域。Vice欧洲新闻负责人,Kevin Sutcliffe说,土耳其法官的指控是毫无根据的,土耳其是企图恐吓记者和审查报道。土耳其政府否认这些说法,声称司法独立,不受政府影响。
加密技术
WinterIsComing(31822)
发表于2015年08月30日 14时58分 星期日
来自2016年选举
中国将在2016年完成建造和启用世界最长的量子通信网络。中国正在建造长约2000公里的北京至上海量子光纤线路。官方新华社称它无法被监听,能向用户提供最安全的加密保障。新华社称到2030年中国的量子网络将延伸到全世界。这条线路将被中央政府、军方和重要企业机构如银行使用。领导该项目的中国科技大学量子物理学家潘建伟称,任何中国城市,只要想要,都可以建造量子通信网络。他称中国在该领域领先世界。
加密技术
WinterIsComing(31822)
发表于2015年08月15日 23时14分 星期六
来自没有后门
真正实用的量子计算机还没有变成现实,但NSA已经提前开始准备。量子计算机在并行处理上远胜于经典计算机,很多经典计算机难以破解的加密算法对于量子计算机不再是难题。NSA宣布了过渡到抗量子计算机加密算法的计划。NSA称它将以开放透明的方式开发下一代加密算法组件。
加密技术
WinterIsComing(31822)
发表于2015年08月12日 15时20分 星期三
来自隧道
OpenSSH项目宣布发布OpenSSH 7.0。新版本要是淘汰和停用一批不安全的加密技术,未来版本还会在这上面继续清理工作。OpenSSH 7.0将拒绝长度低于1024位的RSA密钥(以前是768位),默认停用基于MD5的HMAC算法、blowfish-cbc、cast128-cbc;停止支持SSH v1协议和 v00 cert格式,sshd_config(5) PermitRootLogin默认选项修改为禁止密码,以及一些bug修正和漏洞修补,等等。
微软
WinterIsComing(31822)
发表于2015年08月04日 18时01分 星期二
来自保驾十九大
我们访问的HTTPS网站使用了TLS协议加密连接。TLS协议一般是使用RSA公钥算法。RSA算法是使用大素数相乘生成一对密钥,其中一个公开称之为公钥,另一个则是私钥。你可以通过因式分解利用公钥破解出私钥,但只要密钥足够长,你破解的时间将会接近无限,也就是不可能破解。但在1994年,数学家 Peter Shor证明,量子计算机可以很容易找出一个密钥背后的素数。Shor的量子算法也可以修改用于破解椭圆曲线加密——RSA的一种替代加密算法,也被TLS协议所使用。现在,微软研究院、半导体制造商NXP和昆士兰理工大学的研究团队开发出了让量子计算机也无法破解的TLS加密算法。他们的测试显示,新的强加密导致数据移动速率比椭圆曲线加密慢了21%。研究人员表示这一速率惩罚是合理的。
加密技术
WinterIsComing(31822)
发表于2015年07月27日 19时26分 星期一
来自古墓碟影
Linux加密工具Tomb发布了v2.1版。Tomb由一个ZShell脚本和一个桌面整合应用构成,使用标准的GNU工具如gpg,设计以易于使用的方式为系统提供强加密功能。它支持密钥分离,一个密钥可以保存在U盘上;支持隐写,二维码纸面备份,离线搜索,等等。在TrueCrypt被开发者放弃之后,它是众多的接替者之一
加密技术
WinterIsComing(31822)
发表于2015年07月16日 20时41分 星期四
来自用超级计算机瞬间破解
计算机科学家警告,利用弱点破解加密Web连接的技术正日益变得实用。而针对RC4加密算法的攻击也可用于破解使用WPA-TKIP协议保护的无线网络。研究人员早就知道,RC4中的统计偏差让攻击者可能预测出加密算法编码信息使用的部分伪随机比特。2013年,科学家设计出利用弱点的攻击方法,但需要2000小时才能正确猜测出认证cookie包含的字符。现在,在改进技术之后研究人员将破解所需的时间降低到75小时,正确率达到94%。而对 WPA-TKIP网络的类似攻击只需要一个小时。研究人员建议停止使用RC4加密算法。