标记为“加密”的条目

第2页共45页

G7支持加密后门

本月在巴黎举行的七国集团内务部长会议上,一个”结果文档“:

鼓励互联网公司为其产品和服务建立合法的接入解决方案,包括加密的数据,为了让执法部门和主管当局获取数字证据,当它被删除或托管在位于国外或加密的IT服务器上时,在不采用任何特定技术的情况下,同时确保规则法和适当的流程保护支持互联网公司的援助。一些七国集团国家强调不禁止的重要性,限制,或者削弱加密;

政策制定者们有一种奇怪的看法,即黑客攻击加密系统的密钥管理系统与黑客攻击系统的加密算法有根本不同。区别只是技术上的;效果是一样的。两者都是削弱加密的方法。

4月23日发布,2019年上午9:14查看评论

解密密码术?

A最近的文章夸大了释放每个地穴,请使用正式方法创建的密码库,用于证明针对特定攻击的安全性。

这个量子杂志文章推出了一系列“蛇油”警铃。作者的Github自述文件更精确、更精确,并说明了这是一个多么酷的项目。但它不是“防黑客密码”。

4月5日发布,2019年上午9:31查看评论

中科院补发100多万张弱证书

结果发现,该软件是一组用于生成公钥证书的CA有缺陷的:他们创建的随机序列号只有63位,而不是所需的64位。对外行来说这似乎不是什么大问题,但这一位的变化意味着序列号只有所需熵的一半。这真的不是安全问题;序列号用于防止涉及弱散列函数的攻击,我们不再允许这些弱散列函数。不过,中科院重新颁发证书是件好事。标准的要点是要遵守。

发表于3月18日,2019年上午6:23查看评论

我在法庭判决中被传唤

一个我共同撰写的文章--我的第一篇法律杂志文章是引用马萨诸塞州最高法院——州最高法院——在一个关于强制解密的案件中。

这是第一个,在脚注1中:

我们理解“密码”这个词与手机用户可能熟悉的其他术语同义,如个人身份号码或“密码”。每个术语指的是字母或数字的个性化组合,当用户手动输入时,“解锁”一部手机。为了简单起见,我们使用“密码”从头到尾。一般见:克尔和施耐尔,加密解决方案,106地理位置洛杉矶989年,990年,994年,998(2018年)。

这是第二个,在脚注5中:

我们认识到,普通的手机用户可能不熟悉加密技术的复杂性。例如,尽管输入密码“解锁”一部手机,密码本身不是“加密密钥”这会解密手机的内容。见Kerr&Schneier,在995。相反,“输入[密码]将解密[加密]密钥,启用要处理的密钥并解锁电话。对于临时用户来说,这两个阶段的过程是不可见的。”身份证件.因为加密技术的技术细节在我们的分析中不起作用,他们不值得再无聊了。因此,我们将输入密码视为有效地解密手机内容。为了更详细地讨论加密技术,一般见Kerr&Schneier,.

发表于3月15日,2019年下午2:38查看评论

加密数据库的数据泄漏

马修·格林有一个非常有趣关于加密数据库信息泄漏的博客文章。它描述了最近的工作保罗·格鲁布斯,Marie Sarah Lacharit_,布赖斯·米努德,和肯尼思G。帕特森。

即使是总结也太多了,所以读一下。

发表于3月1日,2019年上午5:59查看评论

论密码管理器的安全性

新研究关于密码管理器的安全性,特别是1密码,达什兰,基帕斯,最后一关。这项工作专门研究主机上的密码泄漏。也就是说,密码管理器是否意外地将密码的纯文本副本留在内存中?

所有密码管理器,我们在“不运行”时检查了足够安全的用户机密州。也就是说,如果要从磁盘中提取密码数据库,并且使用了强主密码,然后,强行使用密码管理器在计算上是禁止的。

每个密码管理器也试图从内存中清除秘密。但是剩余的缓冲区仍然包含秘密,很可能是由于内存泄漏,丢失内存引用,或者复杂的GUI框架,它们不公开内部内存管理机制来清除机密。

这在1“密码”7中最为明显,其中有秘密,包括主密码及其相关的密钥,处于锁定和解锁状态。这与1“密码”4不同,最多在哪里,“正在运行且未锁定”中会显示一个条目。状态和主密码以模糊形式存在于内存中,但很容易恢复。如果成功解锁后1Password4清除了主密码存储区域,它将符合我们之前概述的所有提议的安全保证。

本文并不打算批评特定的密码管理器实现;然而,它是建立一个合理的最低基线,所有密码管理员都应该遵守。很明显,所有密码管理器都试图清除和敏感的内存。然而,由于各种原因,每个密码管理器无法执行正确的机密清理。

例如:

当用户输入主密码时,lastpass会混淆主密码,当密码管理器进入解锁状态时,只有当存在用户交互时,数据库条目才会被解密到内存中。然而,ISE报告说,这些条目在软件进入锁定状态后仍存在于内存中。由于内存泄漏,研究人员还可以提取主密码并与密码条目交互。

keepass从内存中删除主密码,不可恢复。然而,工作流中的错误允许研究人员提取与交互的凭证条目。对于Windows API,有时候,包含解密条目的各种内存缓冲区可能无法正确清除。

这是否重要取决于你是否认为你的电脑值得信任。

有几个人给我发邮件问我为什么密码安全不包括在评估中,以及是否存在相同的漏洞。我对前者的猜测是密码安全并不像其他人那么受欢迎。(这有两个原因:1)我不怎么宣传,并且2)它没有一个简单的方法来同步跨设备的密码,或者将密码数据存储在云中。)至于后者:我们试图对密码进行安全编码,而不是将明文密码留在内存中。

所以,独立的安全评估人员:看看密码安全.

也,记住在许多基于云的密码管理器中发现的漏洞回到2014年是吗?

新闻文章.斜线点线.

2月25日发布,2019年上午6:23查看评论

侵入GCHQ后门

上周,我评估了安全性最近的GCHQ后门通信系统提案。继续辩论,EFF的内特·卡多佐和塞思·肖恩解释如何检测这种后门:

事实上,我们认为,当ghost功能处于活动状态时——以GCHQ作者描述的方式将秘密窃听成员悄悄地插入到另一个端到端的加密对话中——至少可以用四种不同的技术(目标和某些第三方)检测到它。二元逆向工程,加密侧通道,网络流量分析,以及事故日志分析。此外,事故日志分析可能导致无关的第三方找到使用中的幽灵的证据,二元逆向工程甚至有可能导致研究人员找到在客户端禁用幽灵功能的方法。显然,这些可能性都不适合执法或整个社会。虽然我们已经从理论上推断出了一些缓解措施,这些缓解措施可能会使鬼魂无法被特定的技术察觉,它们还可能在必要的规模部署时给网络带来相当大的成本,以及创建新的潜在安全风险或检测方法。

对该体系的其他评论是由苏珊·兰多马修·格林.

编辑添加(1/26):好评论如何击败后门检测。

编辑添加(3/1):又一篇好文章关于后门的安全风险。

1月25日发布,2019年上午6:08查看评论

El Chapo的加密被他的IT顾问打败了

令人印象深刻警察工作以下内容:

以一种使他的生命陷入危险的大胆行动,国际贸易组织顾问最终给了联邦调查局。2011年,他将网络服务器从加拿大转移到荷兰,并告诉卡特尔的领导人,这是一次例行的升级,之后,他的系统就拥有了秘密加密密钥。

荷兰语文章这是一个黑莓系统。

El Chapo让他的IT人员安装了“…在他给妻子的“专用电话”上,一个叫做flexispy的间谍软件,艾玛·科罗内尔·艾斯普罗,还有他的两个情人,包括一个前墨西哥议员。”联邦调查局的IT人员交出钥匙时也使用了同样的软件。然而,我们再次吸取教训,后门可以用来对付你。

而且不需要IT人员的许可。一个好的情报机构可以在不知情或不同意的情况下使用IT人员的授权。这就是为什么国家安全局搜索系统管理员.

斜线点线.黑客新闻线.波音波音邮递.

编辑添加(2/12):良好信息在这里.

发表于1月16日,2019年上午6:53查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。