adv

各位朋友大家好,欢迎您进入solidot新版网站,在使用过程中有任何问题或建议,请与很忙的管理员联系。
安全
WinterIsComing(31822)
发表于2014年12月31日 09时16分 星期三
来自大脑暂时安全
Shawn the R0ck 写道 "Tor项目的核心成员Jacob Appelbaum在欧洲最大的黑客会议CCC上的演讲震撼和感动了无数的人,也公布一些关于NSA在密码学战场方面的信息,从其NSA的材料来看,包括PPTP,使用PSK的IPSEC甚至SSH都可能是在NSA有能力监控和破解的范畴,先存储密钥协商的过程然后再爆破的确是NSA强项,好消息是NSA最痛恨的OTR和PGP应该是暂时安全的,甚至很多情报部门都在使用,这次名为"Reconstructing narratives - transparency in the service of justice"的演讲中Jacob对自由软件运动的发起人大胡子RMS给与了极高的评价,认为RMS在自由开源与安全相关的问题上的判断非常准确。"
USA
WinterIsComing(31822)
发表于2014年12月29日 18时14分 星期一
来自用QQ的路过
Tor项目开发者Jacob Appelbaum和Aaron Gibson等人在德国《明镜周刊》上发表文章,根据Edward Snowden泄露的机密文件报道了NSA及其盟友如何跟踪、解密和关联在线通信的不同方式。NSA及其盟友每天拦截了大量加密HTTPS连接,根据一份文件,NSA计划到2012年晚些时候一天能破解1千万拦截的HTTPS连接。情报机构最感兴趣的是用户输入密码的时刻。文件披露了一些不安全和能成功破解的应用如Skype和VPN,也透露了一些目前仍然安全的加密工具和方法。对NSA而言,无处不在的加密对情报收集工作是“一大威胁”。其中一种“灾难性威胁”是用户组合多种匿名和加密工具。NSA文件透露了一个目标组合使用了Tor、即时聊天工具 CSpace和语音聊天工具ZRTP,导致NSA几乎完全无法跟踪目标的通信。ZRTP中的Z代表PGP作者 Phil Zimmermann。前不久停止开发的加密软件Truecrypt对NSA而言也是一大挑战。
加密技术
WinterIsComing(31822)
发表于2014年12月18日 12时02分 星期四
来自台前幕后
即将过去的一年,多个基础性的开源软件被发现了严重安全漏洞。这些开源项目的一个共同点:被广泛使用,但维护人手匮乏。人手匮乏的一个原因是缺乏资金资助,无法雇佣多名全职的开发者。PGP加密软件的GPL替代GnuPG项目存在类似的问题,它只有一名工资很低的全职开发者,为了雇佣两名有经验的开发者它需要一年12万欧元的资金。GnuPG项目现有的资产余额只有4.7万,它发起了筹款活动,目标是12万欧元。开发者Werner表示,过去几年他们难以获得 GnuPG相关合同,导致最后只剩下一个人在维持,他早有关闭公司之意,但2013年Edward Snowden的勇敢行动让他意识到公众对隐私工具会有更高的需求,而继续维持GnuPG项目有其价值。
加密技术
WinterIsComing(31822)
发表于2014年12月15日 16时51分 星期一
来自等免费证书出来
《华盛顿邮报》报道,Edward Snowden在卡托研究所一个与监视有关的座谈会上通过视频连线呼吁亚马逊默认启用加密,以防止政府获取客户阅读习惯的信息。亚马逊支持加密,但没有默认启用,Snowden认为亚马逊的做法在道德上是不负责任的。在Snowden曝光NSA大规模监视活动之后,主要网站如Google、Facebook和Yahoo都拥抱了更安全的加密方案。Snowden举例说,如果一位用户在亚马逊上浏览《1984》或其它政治行动主义相关的书籍,无论你身在何处,不管司法管辖权,政府都能知道,“这是道德上的不负责任。”他呼叫加密全世界的在线图书馆。
加密技术
WinterIsComing(31822)
发表于2014年12月05日 12时21分 星期五
来自光速时代不差几毫秒
卡内基梅隆大学、西班牙电信和都灵理工大学的研究人员在ACM CoNEXT上发表了一篇论文(PDF),量化了网站从HTTP切换到HTTPS所付出的代价。今天越来越多的网站和服务开始启动加密,HTTPS加密Web流量占到总流量的一半,其中YouTube这样的流媒体网站首次有50%的流量是经过HTTPS,这一切证明了Web的完整加密是可行的。但启用HTTPS是有代价的。研究人员分析了启用加密对延迟、消耗数据和客户端电池寿命的影响。他们发现,HTTPS的“S”会使得页面加载时间增加了50%,增加10%到20%的耗电。此外,HTTPS还会影响缓存增加数据开销和功耗,以及父母控制和病毒扫描等也会受到影响。
加密技术
WinterIsComing(31822)
发表于2014年12月02日 23时58分 星期二
来自百度也加密了
Shawn the R0ck 写道 "SSL/TLS在过去的多年当中都在安全领域扮演者重要的角色,多年来也受到了公众的忽视,当一系列的事件发生后,从BEAST/CRIMELucky-13heartbleed,另外一方面Snowden哥哥的故事也让整个世界增添了一些色彩,之后我们终于相信了EFF在2011年就已经强调的TLS v1.2的重要性...回到系统管理员和信息安全从业人员面对的日常问题之一:如何使用加密手段保护你的网站。Qualys的SSL Labs在2013年为社区提供了一份手册《SSL/TLS部署最佳实践》(原文链接),参考这份文档或许会省掉你一些时间。"
加密技术
WinterIsComing(31822)
发表于2014年11月19日 11时25分 星期三
来自先把CNNIC移出根证书
Mozilla、思科、Akamai、IdenTrust、EFF和密歇根大学研究人员宣布Let’s Encrypt CA项目,计划为网站提供免费SSL证书,加速将Web从HTTP过渡到HTTPS。Let’s Encrypt CA项目计划从2015年夏天开始向任何需要加密证书的网站自动发行和管理免费证书。部署HTTPS的最大障碍是HTTPS所需证书的复杂性、官僚主义和费用,Let’s Encrypt项目的目标是解决这些问题,将证书安装的时间减少到20到30秒。Let’s Encrypt CA将由非赢利组织Internet Security Research Group (ISRG)运营。
加密技术
WinterIsComing(31822)
发表于2014年11月10日 14时25分 星期一
来自下一届领导人的名字你们是刺探不到的
中国正在建造世界第一条长距离量子加密通信网络。量子加密的线路被认为难以监听和渗透。中国建造的这条量子光纤线路连接北京和上海,领导该项目的中国科技大学量子物理学家潘建伟称,“我们从Edward Snowden事件中了解到我们总是被攻击。因为我们购买的大部分产品都来自外国公司,我们想要加快项目。这非常紧急,因为传统加密技术不是中国发明的,所以我们想要开发自己的技术。”该项目耗资约6亿人民币,由中央军事委员会拨款,一开始将主要被中国工商银行用于资金转移,但潘建伟称最终中国所有的通信都能使用量子加密。美国国防部高级研究计划署也建造了一条量子通信线路,但规模要比中国的小得多。
加密技术
WinterIsComing(31822)
发表于2014年11月07日 20时22分 星期五
来自现代化
GnuPG项目modern分支的第一个版本2.1.0于11月6日释出GnuPG项目现在有三个分支:稳定版本Stable分支,最新开发版本Modern分支,以及经典版本Classic分支,其中Stable和Modern不能共存,但可以和Classic共存。Classic的版本是最早于2004年发布的1.4,而Stable的版本是最早于2006年发布的2.0,Modern 2.1最终会取代2.0的Stable,它的主要新功能是支持椭圆曲线加密算法。
安全
WinterIsComing(31822)
发表于2014年10月30日 15时50分 星期四
来自放在家里
Kolab Systems CEO Georg Greve在LinuxCon Europe会议上发表了演讲《谎言、该死的谎言和远程托管加密数据》,谈论了用户将数据储存在云里所面临的安全风险。他说,安全是一种情感性的主题,不存在全面的安全,安全是一个平衡的问题,平衡攻击者付出的代价和信息保护付出的代价。远程托管的数据面临着来自国家大规模监视、工业间谍和网络罪犯等方面的风险。他反复强调全面的安全不存在,尤其是在不付出方便代价的情况下是不可能存在的。他说,我们喜欢Google云的方便,但我们也想要能限制访问储存在那里的数据。美国公司的数据都受制于美国的法律,即使服务器的位置是在美国之外。如果你向其他人提供服务器,总有一天警察会找上门。他们会索要数据,有些国家索要的数据比其它国家多。有些国家会有法庭根据证据下达命令提出数据请求,但这些国家很少。我们大多数人都生活在警察造成的害处大于利处的国家。 Greve说,不存在可信软件这种东西,所有的软件都有bug,不可能100%安全,开源软件并不意味着你可以信任它,但至少你可以检查它的漏洞。你可以尽可能的使用开源代码,但构成系统安全重要部分的固件通常是不开源的。
加密技术
WinterIsComing(31822)
发表于2014年10月14日 17时50分 星期二
来自残暴
在加密软件TrueCrypt停止开发之后,要寻找TrueCrypt的替代,可能没有VeraCrypt比更好的了VeraCrypt是TrueCrypt的分支,于2013年6月发布,法国安全顾问Mounir Idrassi是项目的主要开发者。Idrassi创建VeraCrypt分支的动机是在2012年他被要求在客户产品中整合TrueCrypt,他评估了TrueCrypt代码后发现它存在一些问题,TrueCrypt的主要弱点是不能防御暴力破解攻击。在加密系统分区时,TrueCrypt使用PBKDF2-RIPEMD160算法进行1000次迭代;对于标准容器和非系统分区,TrueCrypt最多迭代2000次。相比之下,VeraCrypt使用PBKDF2-RIPEMD160算法对系统分区迭代327,661次,对于标准容器和非系统分区,迭代次数进一步增加到655,331次,大幅增加暴力破解难度。结果是,VeraCrypt打开加密分区的速度略慢,而它的加密格式也不兼容于TrueCrypt。另一个TrueCrypt分支CipherShed项目则努力兼容TrueCrypt加密格式。
安全
WinterIsComing(31822)
发表于2014年09月30日 15时40分 星期二
来自屏蔽CloudFlare
提供CDN、防DDos攻击等云计算服务的CloudFlare宣布向包括免费用户在内的所有客户提供免费SSL支持。CloudFlare将为大约200万不受保护的网站加入SSL支持,以前SSL支持只提供给每月至少支付20美元的客户。浏览器先连接到CloudFlare的服务器接收CloudFlare提供的证书,然后CloudFlare连接目标网站服务器获取内容,它充当了某种反向代理的功能。这项被称为Universal SSL的服务对免费用户有限制,CloudFlare只支持扩展支持Server Name Indication(SNI)协议的现代浏览器,这意味着它不支持IE6及之前版本、运行Android 2.2或更旧版本的Android浏览器。
加密技术
WinterIsComing(31822)
发表于2014年09月20日 22时40分 星期六
来自每一个项目都有一天会消失
流行加密工具TrueCrypt背后的匿名开发者在今年早些时候突然宣布项目终止开发,并警告使用TrueCrypt不安全,软件可能包含未修正的安全问题。TrueCrypt作者自己写的开源许可证对fork有很多限制,而TrueCrypt的一位开发者认为在参考TrueCrypt源代码的情况下重写并不需要太多工作。现在,一群开发者宣布fork终止已经开发的TrueCrypt,创建CipherShed项目,将在标准的开源许可证下公开源代码。
加密技术
WinterIsComing(31822)
发表于2014年09月09日 18时32分 星期二
来自NSA有超级计算机
Google官方博客宣布,将在Chrome浏览器中逐渐降低SHA-1证书的安全指示。但有意思的是Google.com目前使用的也是SHA-1签名的证书,但证书将在3个月内过期,Google将从2015年起使用SHA-2签名的证书。SHA-1算法目前尚未发现严重的弱点,但伪造证书所需费用正越来越低:在2005年,王小云等人证明SHA-1能在更短的时间内找到碰撞;2012年,Jesse Walker估计找到一组SHA-1碰撞需要200万美元,但这一费用到2017年会降至17.3万美元。
加密技术
WinterIsComing(31822)
发表于2014年09月01日 20时20分 星期一
来自争取19大继续用
东芝在量子密码通信的实用化方面取得了进展。东芝成功使用普通线路进行了量子密码通信的实证实验,率先实现了使用量子密码的64处据点经由专用线路同时向1处集中数据的技术,为量子密码在互联网领域的应用开辟了道路。东芝力争5年后将量子密码通信推向实用。量子密码通信将有助于应对光纤线路上发生的窃取信息等愈发严重的网络攻击行为。量子密码通信指的是通过光纤传递经过加密处理的数据以及密钥的信息交流手段。外部人员非法窃取信息时,光便会发生变化,密钥将被毁坏。窃取者便无法获得数据。东芝研究开发中心表示,根据量子力学原理,可以100%发现窃取信息者。
加密技术
WinterIsComing(31822)
发表于2014年08月27日 18时42分 星期三
来自貌似GOA要不行了
即将发布的Firefox 32将支持防止中间人攻击的Public Key Pinning机制。Public Key Pinning允许网站详细说明网站的有效证书是哪一家CA发行的,不再随便接受Firefox证书管理器内的数百家Root CA之一发行的证书。这一机制可以抵御中间人攻击和恶意CA。如果证书不匹配,Firefox将会显示出错信息,拒绝连接。Firefox 32将会默认启用Pinning,用户如果需要可在配置中将属性 security.cert_pinning.enforcement_level设为0后关闭这项功能。
安全
WinterIsComing(31822)
发表于2014年08月22日 20时00分 星期五
来自防不胜防
以色列特拉维夫大学的研究人员演示了一种针对GnuPG加密软件的旁路攻击:只要触摸笔记本电脑暴露在外面的金属部分就能窃取解密密钥。笔记本电脑的金属部分,如USB端口的屏蔽物和散热器的散热片,它们被认为水平高度都是一致的,但笔记本电脑内的电场会导致它们发生微小的波动,这种变化能被测量,会泄露密钥的信息。测量可通过直接在笔记本金属部分接上数字化仪完成,但这样太明显了。研究人员发现,可以通过连接端口屏蔽物远端和人类触摸的方式进行测量获取信息。
加密技术
WinterIsComing(31822)
发表于2014年08月08日 20时54分 星期五
来自 Snowden的成就
电子邮件加密将是大势所趋。雅虎周四表示,将加入竞争对手谷歌的行列明年推出基于PGP加密的安全邮件系统,有了这个安全邮件系统,黑客和政府官员基本上无从得知用户发送的信息内容。即便是邮件服务提供商自身也无法破译用户发送的信息内容。 如果这两家公司能顺利完成这一任务,则标志着他们在采用先进隐私技术保护这一广为使用的用户服务方面迈出了第一步。雅虎和谷歌表示,加密工具将设置为可选功能,用户可以自己选择启动或者关闭。两家公司员工均表示,双方的工程师频繁互相谈起这个项目。这一加密工具将依赖于PGP。PGP对普通用户来说使用起来困难而繁琐,但雅虎和谷歌正努力使PGP对于普通用户来说更加简便可用。
加密技术
WinterIsComing(31822)
发表于2014年07月15日 11时56分 星期二
来自人家还在改
 OpenSSL分支LibreSSL portable刚刚发布了第一个版本2.0.0(已更新到2.0.1),虽然版本号是2.0.0,但它只是一个预览版,不应该用于生产环境。测试已经发现,LibreSSL的伪随机生成器(PRNG)存在安全漏洞,安全性不如它fork的OpenSSL PRNG:OpenSSL PRNG的两次不同调用返回不同的结果,而LibreSSL PRNG的两次不同调用返回的却是相同结果,它检测fork()函数创建父进程克隆的机制存在安全漏洞。
加密技术
WinterIsComing(31822)
发表于2014年07月10日 19时48分 星期四
来自英社万岁
英国22岁的计算机科学专业研究生Christopher Wilso因为拒绝交出电脑加密密码而被送进监狱关押半年。Wilson被控用电话向Northumbria警方谎报将发生网络攻击并说服警方作为应对攻击的预防措施而临时下线网站。为了愚弄警方Wilson使用了一个能改变声音的设备。Wilson还被控在悼念被枪杀女警官的Facebook网页上故意发布煽动性信息。Wilson是在2012年10月引起警方注意,Newcastle大学副校长收到了两封恐吓信,恐吓信是通过他就学的Northumbria大学服务器发送出去的,警方获得搜查证搜查Wilson的家,扣押了多台计算机设备。Wilson否认恐吓信是他发送的。调查人员想要查看他的加密电脑,Wilson交出了50个密码但没有一个正确。法官还以国家安全的理由命令他交出密码,因为不配合他最终被监禁半年。