adv

致长期以来一直关注solidot的海内外朋友,请点击这里查看。
加密技术
WinterIsComing(31822)
发表于2015年04月14日 15时47分 星期二
来自封杀HTTPS
Mozilla安全工程师Richard Barnes和Martin Thomson 起草了抛弃不安全的HTTP全面转移到HTTPS的计划。HTTP是以明文传输信息,任何服务器和客户端之间的中间人很容易监视甚至纂改信息,“大炮”就是基于明文信息的中间人攻击方式,全面迁移到HTTPS将能遏制此类攻击。Richard称,使用明文传输信息的时代已经结束,新一代的Web需要使用加密的HTTPS。
加密技术
WinterIsComing(31822)
发表于2015年04月10日 12时46分 星期五
来自一加密就屏蔽
Linux基金会宣布它将托管Let's Encrypt项目和互联网安全研究组(ISRG)。Let’s Encrypt CA项目由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,向网站自动签发和管理免费证书,加速将Web从HTTP过渡到HTTPS。ISRG则是开发Let’s Encrypt CA的非营利组织。Linux基金会执行董事Jim Zemlin说,Web作为我们生活的一部分已有几十年了,但网络中的数据共享仍然面临危险。
加密技术
WinterIsComing(31822)
发表于2015年04月03日 12时50分 星期五
来自请放心使用
审计开源加密软件TrueCrypt的Open Crypto Audit项目公布了完整的审计结果(PDF)。TrueCrypt是流行的加密软件,但从未进行过安全审计,在NSA大规模监控活动曝光之后安全研究人员发起了对TrueCrypt的完整安全审计。然而就在安全审计过程中,TrueCrypt背后的匿名开发者突然宣布终止项目,警告说使用TrueCrypt不安全。但发起者决定继续审计工作。根据完整的审计结果,TrueCrypt是一款相对而言精心设计的加密软件,没有发现故意植入后门的证据,也没有发现导致软件出现漏洞的严重设计缺陷。TrueCrypt终止开发之后有开发者发起了Fork,如CipherShed
加密技术
WinterIsComing(31822)
发表于2015年03月10日 16时20分 星期二
来自因为你们没有方滨兴校长
在英国首相卡梅伦(David Cameron)试图屏蔽加密和匿名通信工具两个月后,英国国会科技办公室的最新简报认为,至少就Tor而言,屏蔽在技术上是不可能的。英国Tor用户同时在线人数多达10万。简报称,屏蔽在线匿名工具目前不被视为可接受的政策选择,即使想屏蔽也面临技术挑战。简报引用了Tor和中国之间的持续战斗,指出被称为网桥的秘密Tor网络入口节点很难屏蔽。
加密技术
WinterIsComing(31822)
发表于2015年03月04日 12时57分 星期三
来自有绰号的漏洞
研究人员周二披露了一个新的SSL/TLS漏洞:Freak Attack,并设立了一个专门的网站警告Freak攻击。该漏洞允许攻击者拦截存在漏洞的客户端与服务器端之间的HTTPS链接,迫使它们降级使用“出口级”的密钥——也就是能被破解的不安全加密技术。所谓的出口级加密算法是指美国政府批准出口的512位RSA密钥。研究人员发现包括OpenSSL和Safari浏览器在内的SSL客户端接受弱RSA密钥。
加密技术
WinterIsComing(31822)
发表于2015年02月07日 21时36分 星期六
来自重写一遍
电子邮件加密软件GnuPG项目已获得了19万欧元的公众捐款,6万美元的Linux基金会Core Infrastructure Initiative资助,以及从Facebook 和Stripe分别获得每年5万美元的捐款,它有了足够多的资金可以雇佣多名全职开发者。但长期人手不足的GnuPG项目接下来的任务将会很艰巨:代码由于缺少维护而日益复杂,它将如何分配捐款?约翰霍普金斯大学的密码学教授Matt Green称他曾指派学生去分析GnuPG的源代码寻找漏洞,结果学生个个叫苦不迭,"上帝啊,请永远不要再让我做同样的事情。"Green教授说,代码的主要问题是它已经好多年没有恰当维护了,代码在新版的开发过程中已变得过度复杂。代码中可能隐藏着漏洞,而对复杂加密程序进行安全审计将至少需要10万美元。Google和雅虎发起的End-to-End项目试图重写GPG代码。
加密技术
WinterIsComing(31822)
发表于2015年02月04日 19时10分 星期三
来自废物利用
英国布莱奇利庄园6号楼的重建中发现了破解纳粹Enigma码的机密文件,文件是在2013年发现的,它被用于屋顶保温。文件包含了艾伦·图灵所设计的密码分析技术Banburismus已知唯一的样本。Banburismus被用于加快Enigma码的破解。
加密技术
WinterIsComing(31822)
发表于2015年02月02日 13时33分 星期一
来自防止下一代领导人选举泄密
财新网刊登了量子通信的专题报道,宣称在量子通信领域中国处于全球领先位置。报道所指的量子通信主要是指量子密钥分发,文章主要围绕中国科技大学量子通信专家潘建伟的团队,称建国60周年国庆阅兵期间,潘建伟的团队在关键节点间构建量子通信热线,用于重要信息传送保障;2012年建成了有46个节点的合肥城域量子通信试验示范网;2013年建成济南量子通信试验网;为新华社在新闻大厦和金融信息交易所之间建立金融信息量子通信验证网;中共十八大等重要政治活动期间,在中南海、京西宾馆、人民大会堂之间建立的基于量子通信的高安全通信保障系统;2013年,中科院联合相关部门启动了上千公里的光纤量子通信骨干网工程“京沪干线”项目;北京市、上海市城域量子通信网将于2015年建成,预计到2016年就可以实现京沪广域量子保密通信,量子科学实验卫星也计划在2016年发射。
安全
WinterIsComing(31822)
发表于2015年01月22日 16时24分 星期四
来自看起来没问题
Edward Snowden公开的NSA机密文件显示,即使用户强加密了邮件内容,邮件的重要元数据仍旧是未加密的明文。元数据含有重要信息:发信者和收信者的地址、邮件主题行、邮件头,邮件转发服务器信息。Lavabit的创始人Ladar Levison和PGP 作者 Phil Zimmermann 因此在2013年发起了Dark Mail项目,试图开发新协议解决这些问题。Dark Mail项目去年底发布了替代现有邮件系统的Dark Internet Mail Environment (DIME)规格(PDF)。DIME系统包括了新的电子邮件消息格式和电子邮件交换和身份认证协议,它同时还努力保持了与现有系统的向后兼容性。DIME描绘了一种消息格式,其信息的每一个部分都分开加密,不同部分使用不同的密钥。因此邮件传输代理只能解密传输信息所需要的部分,而邮件发送代理能在不知道发信者和信息内容的情况下将邮件发送到正确用户的收件箱。它是如何做到的?一个DIME消息对象包含了三个部分:Next-Hop(目前邮件传输方法使用的未加密路由信息)、Envelope(分开加密的发信方和收信方信息)和Content(分开加密的消息头和消息体)。整个邮件传输过程是:发信方邮件服务器验证发信者身份,然后发送加密信息;发信方邮件服务器只能看到收信方邮件服务器的域名,不知道收信者的地址,它验证了收信方邮件服务器的身份后,将邮件转发给对方;收信方邮件服务器只能看到发信方邮件服务器的域名,它不知道发信者的地址,它验证发信方邮件服务器的身份后接收邮件;收信方邮件服务器解密收信者的用户名后将邮件发送到正确的收件箱;收信者与收信方邮件服务器验证身份后下载邮件,解密和阅读内容。
加密技术
WinterIsComing(31822)
发表于2015年01月15日 16时30分 星期四
来自一定见鬼了
双椭圆曲线确定性随机比特生成器(dual elliptic curve deterministic random bit generator,缩写Dual_EC_DRBG)是得到NSA支持并获得美国国家标准技术研究院的认可的伪随机数生成函数,它被研究人员发现存在能被美国情报机构利用的致命漏洞。现在,NSA研究主管Michael Wertheimer首次公开承认支持Dual_EC_DRBG的一个错误。但他没有承认Dual_EC_DRBG的漏洞是否是NSA有意植入的,只是表示“令人遗憾(regrettable)”,否认NSA试图破坏加密标准。
加密技术
WinterIsComing(31822)
发表于2015年01月13日 10时56分 星期二
来自不要让他赢
如果卡梅伦(David Cameron)赢得下一届的选举,他可能会屏蔽WhatsApp、Snapchat甚至iMessage。在法国巴黎的《查理周刊》遭遇恐怖袭击之后,英国首相考虑禁止执法机构无法读取信息的加密通讯工具。他说,“在我们国家,我们能允许我们无法读取信息的通讯方法?”书信和电话通讯在极端情况以及从内政部获得授权令的情况下都可以被安全执法机构读取信息,但部分端对端加密的通讯工具即使有授权令也无法读取。WhatsApp、Snapchat、iMessage、FaceTime和Telegram等加密通讯工具都可能成为卡梅伦打击目标。隐私保护机构长期以来一直批评政府以安全的名义限制使用隐私保护工具的企图。
加密技术
WinterIsComing(31822)
发表于2015年01月07日 14时43分 星期三
来自以后强攻社会工程
Shawn the R0ck 写道 "从31C3黑客大会上公开的Snowden提供的材料显示,SSH也存在严重的隐患,为了让NSA的分析师无聊的生活更蛋疼,来自自由软件社区的stribika的分享了自由软件SSH的实现:OpenSSH相关的加固。stribika的文章不管是对于企业安全基线还是个人都具有实用性,他从ciphersuite的每个层面,包括密钥交换协议,对称加密算法,认证以及MAC等配置都进行了详细的讲解。大体选型的原则有几点:1,被污染的安标不能选;2,密钥强度得够;3,不能出现已知威胁 btw:关于SSL/TLS协议本身可以参考<SSL/TLS部署最佳实践"
安全
WinterIsComing(31822)
发表于2014年12月31日 09时16分 星期三
来自大脑暂时安全
Shawn the R0ck 写道 "Tor项目的核心成员Jacob Appelbaum在欧洲最大的黑客会议CCC上的演讲震撼和感动了无数的人,也公布一些关于NSA在密码学战场方面的信息,从其NSA的材料来看,包括PPTP,使用PSK的IPSEC甚至SSH都可能是在NSA有能力监控和破解的范畴,先存储密钥协商的过程然后再爆破的确是NSA强项,好消息是NSA最痛恨的OTR和PGP应该是暂时安全的,甚至很多情报部门都在使用,这次名为"Reconstructing narratives - transparency in the service of justice"的演讲中Jacob对自由软件运动的发起人大胡子RMS给与了极高的评价,认为RMS在自由开源与安全相关的问题上的判断非常准确。"
USA
WinterIsComing(31822)
发表于2014年12月29日 18时14分 星期一
来自用QQ的路过
Tor项目开发者Jacob Appelbaum和Aaron Gibson等人在德国《明镜周刊》上发表文章,根据Edward Snowden泄露的机密文件报道了NSA及其盟友如何跟踪、解密和关联在线通信的不同方式。NSA及其盟友每天拦截了大量加密HTTPS连接,根据一份文件,NSA计划到2012年晚些时候一天能破解1千万拦截的HTTPS连接。情报机构最感兴趣的是用户输入密码的时刻。文件披露了一些不安全和能成功破解的应用如Skype和VPN,也透露了一些目前仍然安全的加密工具和方法。对NSA而言,无处不在的加密对情报收集工作是“一大威胁”。其中一种“灾难性威胁”是用户组合多种匿名和加密工具。NSA文件透露了一个目标组合使用了Tor、即时聊天工具 CSpace和语音聊天工具ZRTP,导致NSA几乎完全无法跟踪目标的通信。ZRTP中的Z代表PGP作者 Phil Zimmermann。前不久停止开发的加密软件Truecrypt对NSA而言也是一大挑战。
加密技术
WinterIsComing(31822)
发表于2014年12月18日 12时02分 星期四
来自台前幕后
即将过去的一年,多个基础性的开源软件被发现了严重安全漏洞。这些开源项目的一个共同点:被广泛使用,但维护人手匮乏。人手匮乏的一个原因是缺乏资金资助,无法雇佣多名全职的开发者。PGP加密软件的GPL替代GnuPG项目存在类似的问题,它只有一名工资很低的全职开发者,为了雇佣两名有经验的开发者它需要一年12万欧元的资金。GnuPG项目现有的资产余额只有4.7万,它发起了筹款活动,目标是12万欧元。开发者Werner表示,过去几年他们难以获得 GnuPG相关合同,导致最后只剩下一个人在维持,他早有关闭公司之意,但2013年Edward Snowden的勇敢行动让他意识到公众对隐私工具会有更高的需求,而继续维持GnuPG项目有其价值。
加密技术
WinterIsComing(31822)
发表于2014年12月15日 16时51分 星期一
来自等免费证书出来
《华盛顿邮报》报道,Edward Snowden在卡托研究所一个与监视有关的座谈会上通过视频连线呼吁亚马逊默认启用加密,以防止政府获取客户阅读习惯的信息。亚马逊支持加密,但没有默认启用,Snowden认为亚马逊的做法在道德上是不负责任的。在Snowden曝光NSA大规模监视活动之后,主要网站如Google、Facebook和Yahoo都拥抱了更安全的加密方案。Snowden举例说,如果一位用户在亚马逊上浏览《1984》或其它政治行动主义相关的书籍,无论你身在何处,不管司法管辖权,政府都能知道,“这是道德上的不负责任。”他呼叫加密全世界的在线图书馆。
加密技术
WinterIsComing(31822)
发表于2014年12月05日 12时21分 星期五
来自光速时代不差几毫秒
卡内基梅隆大学、西班牙电信和都灵理工大学的研究人员在ACM CoNEXT上发表了一篇论文(PDF),量化了网站从HTTP切换到HTTPS所付出的代价。今天越来越多的网站和服务开始启动加密,HTTPS加密Web流量占到总流量的一半,其中YouTube这样的流媒体网站首次有50%的流量是经过HTTPS,这一切证明了Web的完整加密是可行的。但启用HTTPS是有代价的。研究人员分析了启用加密对延迟、消耗数据和客户端电池寿命的影响。他们发现,HTTPS的“S”会使得页面加载时间增加了50%,增加10%到20%的耗电。此外,HTTPS还会影响缓存增加数据开销和功耗,以及父母控制和病毒扫描等也会受到影响。
加密技术
WinterIsComing(31822)
发表于2014年12月02日 23时58分 星期二
来自百度也加密了
Shawn the R0ck 写道 "SSL/TLS在过去的多年当中都在安全领域扮演者重要的角色,多年来也受到了公众的忽视,当一系列的事件发生后,从BEAST/CRIMELucky-13heartbleed,另外一方面Snowden哥哥的故事也让整个世界增添了一些色彩,之后我们终于相信了EFF在2011年就已经强调的TLS v1.2的重要性...回到系统管理员和信息安全从业人员面对的日常问题之一:如何使用加密手段保护你的网站。Qualys的SSL Labs在2013年为社区提供了一份手册《SSL/TLS部署最佳实践》(原文链接),参考这份文档或许会省掉你一些时间。"
加密技术
WinterIsComing(31822)
发表于2014年11月19日 11时25分 星期三
来自先把CNNIC移出根证书
Mozilla、思科、Akamai、IdenTrust、EFF和密歇根大学研究人员宣布Let’s Encrypt CA项目,计划为网站提供免费SSL证书,加速将Web从HTTP过渡到HTTPS。Let’s Encrypt CA项目计划从2015年夏天开始向任何需要加密证书的网站自动发行和管理免费证书。部署HTTPS的最大障碍是HTTPS所需证书的复杂性、官僚主义和费用,Let’s Encrypt项目的目标是解决这些问题,将证书安装的时间减少到20到30秒。Let’s Encrypt CA将由非赢利组织Internet Security Research Group (ISRG)运营。
加密技术
WinterIsComing(31822)
发表于2014年11月10日 14时25分 星期一
来自下一届领导人的名字你们是刺探不到的
中国正在建造世界第一条长距离量子加密通信网络。量子加密的线路被认为难以监听和渗透。中国建造的这条量子光纤线路连接北京和上海,领导该项目的中国科技大学量子物理学家潘建伟称,“我们从Edward Snowden事件中了解到我们总是被攻击。因为我们购买的大部分产品都来自外国公司,我们想要加快项目。这非常紧急,因为传统加密技术不是中国发明的,所以我们想要开发自己的技术。”该项目耗资约6亿人民币,由中央军事委员会拨款,一开始将主要被中国工商银行用于资金转移,但潘建伟称最终中国所有的通信都能使用量子加密。美国国防部高级研究计划署也建造了一条量子通信线路,但规模要比中国的小得多。