adv

solidot新版网站常见问题,请点击这里查看。
Facebook
WinterIsComing(31822)
发表于2015年06月02日 13时13分 星期二
来自Google很不爽
Facebook宣布启用GPG加密邮件通知。Facebook称,它是通过安全连接向用户邮箱发送通知邮件,但邮件内容本身是明文的,任何能访问邮件账号的人都能看到内容。为了更好的保护用户的隐私,Facebook将开始通过GPG加密通知邮件。用户可以在自己的个人资料页添加 OpenPGP公钥(如图),这些公钥将用于端对端加密来自Facebook的通知邮件,Facebook还将用自己的密钥签名出站邮件。对于如何使用OpenPGP,Facebook建议用户参考EFF的指南
加密技术
WinterIsComing(31822)
发表于2015年05月21日 17时29分 星期四
来自女王殿下的臣子
澳大利亚上个月通过了国防贸易管控法案,法律将于明年生效,违法者将面临最高10年的徒刑。澳大利亚国防部有一个国防和战略商品清单,列出了被认为对国防和国家安全重要的限制出口技术。被列入清单的军民两用技术就包括了加密技术,密钥强度超过512位的加密技术被限制出口。Monash大学的数学教师Daniel Mathews指出,按照新的法律,从事加密技术教育也将会是非法的。新的法律覆盖甚广,开源隐私软件,信息安全研究与教育,以及整个计算机安全行业包容其中。
加密技术
WinterIsComing(31822)
发表于2015年05月20日 15时54分 星期三
来自观摩一下
英国政府在2012年解密了图灵(Alan Turing)写于70年前的两篇密码破解论文。两篇论文被认为是图灵在布莱切利公园破解德国Enigma码期间完成的,其中一篇推测是写于1941年4月到1942年4月之间,因为论文提到“希特勒52岁了”。当时,这两篇论文没有被数字化,你必须到英国国家档案馆去提出申请才能浏览。现在,两篇论文《The Applications of Probability to Cryptography》(PDF)和《The Statistics of Repetitions》(PDF)已经数字化并发布在预印本网站arXiv上。
加密技术
WinterIsComing(31822)
发表于2015年05月08日 20时08分 星期五
来自查CPU水表
在现代处理器上,有很多因素会影响执行相同指令集所需的时间。如果有人能多次精确的测量执行时间,会看到时间的变化或称之为抖动(jitter)。一个不能直接访问CPU硬件的攻击者不可能预测这一抖动,因此它能成为随机数生成器所需的熵的一个优质来源。内核开发者Stephan Müller发表了一篇技术论文描述了基于CPU执行时间抖动的真随机数生成器,他同时也释出了实现算法的补丁集
加密技术
WinterIsComing(31822)
发表于2015年04月16日 16时28分 星期四
来自等Android 6实现
越来越多的人意识到需要加密储存在设备上的敏感数据,如手机等移动设备很容易丢失或失窃。在Linux内核,加密文件系统需要使用扩展模块如 eCryptfsdm-crypt。这些模块能有效工作,但对文件系统的性能有副作用。Google曾宣布Android Lollipop将默认启用加密,但它最终放弃了这一计划,原因被认为就是加密对性能有影响。如果加密内置在文件系统中,那么Linux可能能提供更好的性能。目前Linux文件系统还没有一个内置加密选项。但改变即将发生: ext4文件系统维护者Ted Ts'o公布了一组补丁为ext4加入加密功能,这组补丁由eCryptfs的原作者Michael Halcrow主导开发。eCryptfs的性能问题源于它的堆叠属性,它是堆叠在文件系统如ext4之上,将加密直接整合在ext4内将能消除堆叠带来的各种问题。
加密技术
WinterIsComing(31822)
发表于2015年04月14日 15时47分 星期二
来自封杀HTTPS
Mozilla安全工程师Richard Barnes和Martin Thomson 起草了抛弃不安全的HTTP全面转移到HTTPS的计划。HTTP是以明文传输信息,任何服务器和客户端之间的中间人很容易监视甚至纂改信息,“大炮”就是基于明文信息的中间人攻击方式,全面迁移到HTTPS将能遏制此类攻击。Richard称,使用明文传输信息的时代已经结束,新一代的Web需要使用加密的HTTPS。
加密技术
WinterIsComing(31822)
发表于2015年04月10日 12时46分 星期五
来自一加密就屏蔽
Linux基金会宣布它将托管Let's Encrypt项目和互联网安全研究组(ISRG)。Let’s Encrypt CA项目由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,向网站自动签发和管理免费证书,加速将Web从HTTP过渡到HTTPS。ISRG则是开发Let’s Encrypt CA的非营利组织。Linux基金会执行董事Jim Zemlin说,Web作为我们生活的一部分已有几十年了,但网络中的数据共享仍然面临危险。
加密技术
WinterIsComing(31822)
发表于2015年04月03日 12时50分 星期五
来自请放心使用
审计开源加密软件TrueCrypt的Open Crypto Audit项目公布了完整的审计结果(PDF)。TrueCrypt是流行的加密软件,但从未进行过安全审计,在NSA大规模监控活动曝光之后安全研究人员发起了对TrueCrypt的完整安全审计。然而就在安全审计过程中,TrueCrypt背后的匿名开发者突然宣布终止项目,警告说使用TrueCrypt不安全。但发起者决定继续审计工作。根据完整的审计结果,TrueCrypt是一款相对而言精心设计的加密软件,没有发现故意植入后门的证据,也没有发现导致软件出现漏洞的严重设计缺陷。TrueCrypt终止开发之后有开发者发起了Fork,如CipherShed
加密技术
WinterIsComing(31822)
发表于2015年03月10日 16时20分 星期二
来自因为你们没有方滨兴校长
在英国首相卡梅伦(David Cameron)试图屏蔽加密和匿名通信工具两个月后,英国国会科技办公室的最新简报认为,至少就Tor而言,屏蔽在技术上是不可能的。英国Tor用户同时在线人数多达10万。简报称,屏蔽在线匿名工具目前不被视为可接受的政策选择,即使想屏蔽也面临技术挑战。简报引用了Tor和中国之间的持续战斗,指出被称为网桥的秘密Tor网络入口节点很难屏蔽。
加密技术
WinterIsComing(31822)
发表于2015年03月04日 12时57分 星期三
来自有绰号的漏洞
研究人员周二披露了一个新的SSL/TLS漏洞:Freak Attack,并设立了一个专门的网站警告Freak攻击。该漏洞允许攻击者拦截存在漏洞的客户端与服务器端之间的HTTPS链接,迫使它们降级使用“出口级”的密钥——也就是能被破解的不安全加密技术。所谓的出口级加密算法是指美国政府批准出口的512位RSA密钥。研究人员发现包括OpenSSL和Safari浏览器在内的SSL客户端接受弱RSA密钥。
加密技术
WinterIsComing(31822)
发表于2015年02月07日 21时36分 星期六
来自重写一遍
电子邮件加密软件GnuPG项目已获得了19万欧元的公众捐款,6万美元的Linux基金会Core Infrastructure Initiative资助,以及从Facebook 和Stripe分别获得每年5万美元的捐款,它有了足够多的资金可以雇佣多名全职开发者。但长期人手不足的GnuPG项目接下来的任务将会很艰巨:代码由于缺少维护而日益复杂,它将如何分配捐款?约翰霍普金斯大学的密码学教授Matt Green称他曾指派学生去分析GnuPG的源代码寻找漏洞,结果学生个个叫苦不迭,"上帝啊,请永远不要再让我做同样的事情。"Green教授说,代码的主要问题是它已经好多年没有恰当维护了,代码在新版的开发过程中已变得过度复杂。代码中可能隐藏着漏洞,而对复杂加密程序进行安全审计将至少需要10万美元。Google和雅虎发起的End-to-End项目试图重写GPG代码。
加密技术
WinterIsComing(31822)
发表于2015年02月04日 19时10分 星期三
来自废物利用
英国布莱奇利庄园6号楼的重建中发现了破解纳粹Enigma码的机密文件,文件是在2013年发现的,它被用于屋顶保温。文件包含了艾伦·图灵所设计的密码分析技术Banburismus已知唯一的样本。Banburismus被用于加快Enigma码的破解。
加密技术
WinterIsComing(31822)
发表于2015年02月02日 13时33分 星期一
来自防止下一代领导人选举泄密
财新网刊登了量子通信的专题报道,宣称在量子通信领域中国处于全球领先位置。报道所指的量子通信主要是指量子密钥分发,文章主要围绕中国科技大学量子通信专家潘建伟的团队,称建国60周年国庆阅兵期间,潘建伟的团队在关键节点间构建量子通信热线,用于重要信息传送保障;2012年建成了有46个节点的合肥城域量子通信试验示范网;2013年建成济南量子通信试验网;为新华社在新闻大厦和金融信息交易所之间建立金融信息量子通信验证网;中共十八大等重要政治活动期间,在中南海、京西宾馆、人民大会堂之间建立的基于量子通信的高安全通信保障系统;2013年,中科院联合相关部门启动了上千公里的光纤量子通信骨干网工程“京沪干线”项目;北京市、上海市城域量子通信网将于2015年建成,预计到2016年就可以实现京沪广域量子保密通信,量子科学实验卫星也计划在2016年发射。
安全
WinterIsComing(31822)
发表于2015年01月22日 16时24分 星期四
来自看起来没问题
Edward Snowden公开的NSA机密文件显示,即使用户强加密了邮件内容,邮件的重要元数据仍旧是未加密的明文。元数据含有重要信息:发信者和收信者的地址、邮件主题行、邮件头,邮件转发服务器信息。Lavabit的创始人Ladar Levison和PGP 作者 Phil Zimmermann 因此在2013年发起了Dark Mail项目,试图开发新协议解决这些问题。Dark Mail项目去年底发布了替代现有邮件系统的Dark Internet Mail Environment (DIME)规格(PDF)。DIME系统包括了新的电子邮件消息格式和电子邮件交换和身份认证协议,它同时还努力保持了与现有系统的向后兼容性。DIME描绘了一种消息格式,其信息的每一个部分都分开加密,不同部分使用不同的密钥。因此邮件传输代理只能解密传输信息所需要的部分,而邮件发送代理能在不知道发信者和信息内容的情况下将邮件发送到正确用户的收件箱。它是如何做到的?一个DIME消息对象包含了三个部分:Next-Hop(目前邮件传输方法使用的未加密路由信息)、Envelope(分开加密的发信方和收信方信息)和Content(分开加密的消息头和消息体)。整个邮件传输过程是:发信方邮件服务器验证发信者身份,然后发送加密信息;发信方邮件服务器只能看到收信方邮件服务器的域名,不知道收信者的地址,它验证了收信方邮件服务器的身份后,将邮件转发给对方;收信方邮件服务器只能看到发信方邮件服务器的域名,它不知道发信者的地址,它验证发信方邮件服务器的身份后接收邮件;收信方邮件服务器解密收信者的用户名后将邮件发送到正确的收件箱;收信者与收信方邮件服务器验证身份后下载邮件,解密和阅读内容。
加密技术
WinterIsComing(31822)
发表于2015年01月15日 16时30分 星期四
来自一定见鬼了
双椭圆曲线确定性随机比特生成器(dual elliptic curve deterministic random bit generator,缩写Dual_EC_DRBG)是得到NSA支持并获得美国国家标准技术研究院的认可的伪随机数生成函数,它被研究人员发现存在能被美国情报机构利用的致命漏洞。现在,NSA研究主管Michael Wertheimer首次公开承认支持Dual_EC_DRBG的一个错误。但他没有承认Dual_EC_DRBG的漏洞是否是NSA有意植入的,只是表示“令人遗憾(regrettable)”,否认NSA试图破坏加密标准。
加密技术
WinterIsComing(31822)
发表于2015年01月13日 10时56分 星期二
来自不要让他赢
如果卡梅伦(David Cameron)赢得下一届的选举,他可能会屏蔽WhatsApp、Snapchat甚至iMessage。在法国巴黎的《查理周刊》遭遇恐怖袭击之后,英国首相考虑禁止执法机构无法读取信息的加密通讯工具。他说,“在我们国家,我们能允许我们无法读取信息的通讯方法?”书信和电话通讯在极端情况以及从内政部获得授权令的情况下都可以被安全执法机构读取信息,但部分端对端加密的通讯工具即使有授权令也无法读取。WhatsApp、Snapchat、iMessage、FaceTime和Telegram等加密通讯工具都可能成为卡梅伦打击目标。隐私保护机构长期以来一直批评政府以安全的名义限制使用隐私保护工具的企图。
加密技术
WinterIsComing(31822)
发表于2015年01月07日 14时43分 星期三
来自以后强攻社会工程
Shawn the R0ck 写道 "从31C3黑客大会上公开的Snowden提供的材料显示,SSH也存在严重的隐患,为了让NSA的分析师无聊的生活更蛋疼,来自自由软件社区的stribika的分享了自由软件SSH的实现:OpenSSH相关的加固。stribika的文章不管是对于企业安全基线还是个人都具有实用性,他从ciphersuite的每个层面,包括密钥交换协议,对称加密算法,认证以及MAC等配置都进行了详细的讲解。大体选型的原则有几点:1,被污染的安标不能选;2,密钥强度得够;3,不能出现已知威胁 btw:关于SSL/TLS协议本身可以参考<SSL/TLS部署最佳实践"
安全
WinterIsComing(31822)
发表于2014年12月31日 09时16分 星期三
来自大脑暂时安全
Shawn the R0ck 写道 "Tor项目的核心成员Jacob Appelbaum在欧洲最大的黑客会议CCC上的演讲震撼和感动了无数的人,也公布一些关于NSA在密码学战场方面的信息,从其NSA的材料来看,包括PPTP,使用PSK的IPSEC甚至SSH都可能是在NSA有能力监控和破解的范畴,先存储密钥协商的过程然后再爆破的确是NSA强项,好消息是NSA最痛恨的OTR和PGP应该是暂时安全的,甚至很多情报部门都在使用,这次名为"Reconstructing narratives - transparency in the service of justice"的演讲中Jacob对自由软件运动的发起人大胡子RMS给与了极高的评价,认为RMS在自由开源与安全相关的问题上的判断非常准确。"
USA
WinterIsComing(31822)
发表于2014年12月29日 18时14分 星期一
来自用QQ的路过
Tor项目开发者Jacob Appelbaum和Aaron Gibson等人在德国《明镜周刊》上发表文章,根据Edward Snowden泄露的机密文件报道了NSA及其盟友如何跟踪、解密和关联在线通信的不同方式。NSA及其盟友每天拦截了大量加密HTTPS连接,根据一份文件,NSA计划到2012年晚些时候一天能破解1千万拦截的HTTPS连接。情报机构最感兴趣的是用户输入密码的时刻。文件披露了一些不安全和能成功破解的应用如Skype和VPN,也透露了一些目前仍然安全的加密工具和方法。对NSA而言,无处不在的加密对情报收集工作是“一大威胁”。其中一种“灾难性威胁”是用户组合多种匿名和加密工具。NSA文件透露了一个目标组合使用了Tor、即时聊天工具 CSpace和语音聊天工具ZRTP,导致NSA几乎完全无法跟踪目标的通信。ZRTP中的Z代表PGP作者 Phil Zimmermann。前不久停止开发的加密软件Truecrypt对NSA而言也是一大挑战。
加密技术
WinterIsComing(31822)
发表于2014年12月18日 12时02分 星期四
来自台前幕后
即将过去的一年,多个基础性的开源软件被发现了严重安全漏洞。这些开源项目的一个共同点:被广泛使用,但维护人手匮乏。人手匮乏的一个原因是缺乏资金资助,无法雇佣多名全职的开发者。PGP加密软件的GPL替代GnuPG项目存在类似的问题,它只有一名工资很低的全职开发者,为了雇佣两名有经验的开发者它需要一年12万欧元的资金。GnuPG项目现有的资产余额只有4.7万,它发起了筹款活动,目标是12万欧元。开发者Werner表示,过去几年他们难以获得 GnuPG相关合同,导致最后只剩下一个人在维持,他早有关闭公司之意,但2013年Edward Snowden的勇敢行动让他意识到公众对隐私工具会有更高的需求,而继续维持GnuPG项目有其价值。