标记为“加密”的条目

第28页共45页

河豚在好极了

这个屏幕截图来自电影“好极了”他说,“我想我应该去看看。”电影开演17分52秒,它显示河豚被用作加密算法。

计算机显示器上的河豚代码

发表于1月21日,2011年下午2:36查看评论

窃听GSM电话

它是简单又便宜以下内容:

混沌计算机俱乐部(CCC)大会周二在柏林,一对研究人员演示了一种从开始到结束的窃听加密GSM手机通话和短信的方法,只使用四部15美元以下的电话作为网络“嗅探器”,一台笔记本电脑,以及各种开源软件。

加密很糟糕:

这个gsm黑客的几个单独的部分已经显示过了。在去年的同一事件中,GSM的64位A5/1加密解密能力得到了证明。例如。然而,网络运营商随后回应说,很难找到特定的电话,从空中选择正确的加密无线电信号,使理论解密危险最小化。

但是:

作为背景交流的一部分,GSM网络发送识别信息串,以及基本上是空的“你在吗?”信息。这些消息中的空白空间被缓冲区字节填满。尽管几年前已经出台了一个新的GSM标准,将这些缓冲区转换成随机字节,事实上,它们在今天基本上保持一致,以更古老的标准。

这使得研究人员能够高概率地预测这些加密系统消息的纯文本内容。这个,结合一个两兆字节的预计算加密密钥表(所谓的彩虹表)。允许破解程序在大约20秒内发现会话加密的密钥。

你注意到了吗?一个2兆字节的彩虹表。几年前,这种储存在很大程度上是理论上的。现在它既便宜又轻便。

发表于1月5日,2011年上午6:20查看评论

汽车防盗系统中的专有加密被破解

这个不应该是个惊喜:

Karsten Nohl对数十款汽车制造商和车型的评估发现了防盗系统与其他汽车电子设备集成方式的弱点。

防盗系统单元应牢固地连接到车辆的电子发动机控制单元上,使用汽车的内部数据网络。但这些网络通常使用比防盗系统本身弱的加密技术,使它们更容易破裂。

另外,甚至发现一家制造商使用车辆识别号作为该内部网络的秘密密钥。车辆识别号,用于识别单个车辆的唯一序列号,通常印在车上。“没有比这更弱的了。”诺尔说。

12月23日发布,2010年下午2:02查看评论

对ASP.NET的新攻击

它是严重的以下内容:

问题在于ASP.NET,微软流行的Web框架,实现AES加密算法,以保护这些应用程序在用户会话期间为存储信息而生成的cookie的完整性。一个常见的错误是假设加密保护cookie不被篡改,这样如果cookie中的任何数据被修改,cookie无法正确解密。然而,有很多方法可以在加密实现中犯错误,当密码中断时,它通常坏得很厉害。

“我们知道几个月前ASP.NET很容易受到攻击,但我们直到几周前才知道情况有多严重。结果表明,在其他框架中,ASP.NET中的漏洞是最关键的。简而言之,它完全破坏了ASP.NET安全性,泰昂说,和Juliano Rizzo一起,开发了对ASP.NET的攻击。

这是一个演示在攻击中,以及Microsoft安全咨询.更多文章.这次袭击背后的理论是在这里.

编辑添加(9/27):博客帖子来自斯科特·古思里。

编辑添加(9/28):有一个补丁.

编辑添加(10/13):更多文章。

9月27日发布,2010年上午6:51查看评论

主HDCP密钥已损坏

高带宽数字内容保护标准的主密钥——即在机顶盒和数字电视之间加密数字电视——已经破解并发布.(英特尔已确认关键是真实的。)后果是不清楚的以下内容:

但即使代码是真实的,它可能不会像十多年前在DVD上破解CSS那样立即助长盗版。与CSS不同,可以在软件中实现,HDCP需要自定义硬件。好莱坞的威胁模式,然后,黑客是否可以使用主密钥生成 类似DECS的高清节目,但是那些阴险的硬件制造商,也许在中国,最终可能会创建和销售黑市HDCP卡,允许免费复制受保护的高清晰度内容。

9月17日发布,2010年下午1:57查看评论

更多skein新闻

绞纱机是我的新哈希函数。好,“我的”是夸大;我是其中之一八位设计师.提交给NIST沙-3竞争,14种算法之一挑选出来的进入第二轮。这是绞纱纸;源代码是在这里.skein网站是在这里.

上周是第二次沙三候选会议.很多人提交了关于候选人的论文:密码分析论文,实施文件,性能比较,等。有两篇关于skein的密码分析论文。第一个是凯里·麦凯和普尔维·L。沃拉(演示纸张)。他们试图将线性密码分析扩展到比特群,以攻击三重密码(skein中的分组密码)。分析得不错,但没走多远。

第二个是Dmitry Khovratovich的一篇精彩的密码分析,Ivica Nikoli_,还有克里斯汀·雷伯格。他们用旋转反弹攻击(演示纸张)安装“已知密钥识别器攻击”在72发子弹中有57发比蛮力还快。这是一个新类型攻击--有些人甚至称之为“观察”。--社区仍在努力弄清它的含义。只有当攻击者能够同时操纵两个明文时,它才起作用。还有钥匙以结构化的方式。面对57轮的三头鱼,需要2个503个工作——几乎不比蛮力强。它只区分还原圆三个字母和随机排列;它实际上不恢复任何密钥位。

即使受到攻击,三面鱼的安全系数很高。也,攻击不影响斯金。但是,改变算法关键时刻表中的一个常量会使攻击变得不可能。NIST说他们允许第二轮调整,所以我们要做出改变。它不会影响任何性能数字或排除任何其他密码分析结果,但最好的攻击是72发中的33发。

我们对skein的更新,我们在会议上介绍的,是在这里.所有其他的论文和报告都是在这里.(我2008年关于SHA-3的论文是在这里,请我的2009年更新是在这里第二轮算法是:布莱克,蓝色的午夜愿望,库贝哈什,回声,赋格曲,gr_stl,哈西,金华,凯卡克,卢法,沙巴尔,沙维特-3,模拟人生,还有斯金。你可以找到所有的细节,以及他们密码分析的现状,在这里.到今年年底,NIST将选择大约五种算法进行第三轮测试。

在其他新闻中,我们再次向公众提供斯金马球衫。参加过两次SHA-3会议的人可能注意到了斯金队穿的时髦的黑色斯金马球衫。任何想买的人都可以买,按成本计算。细节(带照片)是在这里.所有订单必须在10月1日前收到。所有的衬衫都要一批做。

发布于9月1日,2010年上午6:01查看评论

维基解密保险文件

现在是一个有趣的发展:

在强大的美国政府声明谴责维基解密最近出版的77000份阿富汗战争文件,秘密泄露网站发布了一个神秘的加密文件,名为“保险”。

巨大的文件,张贴在阿富汗战争网页上在维基解密网站,是1.4 GB,并用AES256加密。文件的大小使页面上所有其他文件的大小总和相形见绌。该文件也已发布在Torrent下载网站上。

要么是1.4吉格令人尴尬的秘密文件,或1.4吉格随机数据变幅。没有办法知道。

如果维基解密想证明他们的“保险”是真的吗?他们应该这样做:

  1. 用单独的aes密钥加密每个文档。

  2. 请某人公开告诉他们选择随机文件。

  3. 仅发布该文档的解密密钥。

那将是令人信服的。

无论如何,一些细节可能是错的。文件可能未使用AES256加密。可能是河豚。可能是OpenSSL。可能是别的东西。更多信息在这里.

编辑添加(8/9):奇怪的伊朗人偏执狂以下内容:

一位伊朗的IT专家周三警告说,维基解密网站发布了一份神秘的下载文件,标记为“保险”,很可能是用来识别美国敌人信息中心的间谍软件。

“维基解密的神秘文件可能是情报收集的陷阱。”穆罕默迪星期三告诉FNA。

专家补充说,该文件将吸引美国的反对者,华盛顿的专家可以通过监测个人或组织对该文件的倾向和热情来确定他们的敌人中心。

8月4日发布,2010年上午7:52查看评论

阿联酋禁止黑莓

阿拉伯联合酋长国——迪拜,等。--威胁说禁令黑莓是因为他们不能偷听。

战斗的核心是获取黑莓手机传输的数据。RIM通过全球少数几个安全网络运营中心处理信息,这意味着大多数政府无法轻松地自行访问数据。阿联酋担心由于管辖权问题,法院不能强迫RIM从服务器上移交安全数据,在阿联酋以外。即使在国家安全形势下,一位知情人士说。

这是一个奇怪的故事,有几个原因:

1.阿联酋不能窃听黑莓流量,因为它是在RIM的服务器和手机之间加密的。这是有道理的,但是传统的电子邮件服务也没有什么不同。Gmail公司,例如,在谷歌服务器和用户计算机之间加密。大多数其他的网络邮件服务也是如此。黑莓手机的移动特性真的有那么不同吗?任何智能手机都可以通过加密的SSL通道访问Webmail,这真的不是问题吗?

2.第二步。这是一个孤立的行动复杂的谈判在阿联酋和RIM之间。

阿联酋禁令,预计10月初11岁,是“不断尝试失败的结果,可追溯到2007年,把黑莓服务带到阿联酋。符合阿联酋电信条例,国家电信管理局周日表示。禁令不影响电话和短信服务。

以下内容:

阿联酋想让RIM在国内定位服务器,对其具有法律管辖权的;RIM提供了3000个客户的数据访问权,那个人说。

在禁令生效前一个多月没有理由宣布禁令,而不是刺激RIM以某种方式做出反应。

三。谁先眨眼并不明显。RIM在阿联酋拥有大约50万用户。RIM不想失去这些用户,但阿联酋不想激怒那些人,或者。阿联酋需要他们在本国工作和做生意,尤其是随着房地产价格持续下跌。

第四章。印度,中国,俄罗斯威胁要把黑莓手机赶出去,但当RIM的时候却变得心软了同意“解决问题”,这是“允许他们窃听”的代码。

大多数国家都与RIM谈判了协议,使其安全机构能够监控和破译这些交通。例如,俄罗斯的两大移动电话提供商,MTS和Vimpelcom,在他们同意向联邦安全局提供访问权限后,就开始销售黑莓手机。我们解决了这个问题,Vimpelcom说。“我们提供了访问权限。”

中国移动(ChinaMobile)推出黑莓(BlackBerry)服务被推迟,直到RIM与中国达成协议,允许中国监控流量。

同样地,上周,在RIM同意解决担忧后,印度解除了禁止黑莓服务的威胁。

[…]

尽管如此,尽管RIM拒绝就其与任何政府的安排细节发表评论,周一,RIM发表了一份不透明的声明:“RIM既尊重政府的监管要求,也尊重企业和消费者的安全和隐私需求。”

他们是怎么做到的?他们在那些国家安装了RIM服务器吗?允许政府进入交通?他们是否从其他地方的服务器将原始流量输送回这些国家?他们是不是答应在被问到时交出任何数据?

RIM制造了了不起的事关于用户数据的安全性,但我不知道该相信多少:

RIM说黑莓网络的建立是为了“没有人,包括RIM,无法访问“”客户数据,它从离开设备时就被加密了。它还补充说,RIM将“无法满足任何密钥解密数据的请求”,因为公司没有钥匙。

黑莓网络的设计“排除了RIM或任何第三方在任何情况下读取加密信息的能力,”RIM的声明说。而且,黑莓服务器的位置无关紧要,公司说,因为没有解密密钥就无法解密它们上的数据。

我是不是错过了什么?RIM没有提供文件存储服务,用户加密数据存储在其服务器上的位置。RIM正在提供通信服务。当数据在RIM服务器和黑莓手机之间加密时,必须加密通过所以RIM可以访问明文。

无论如何,RIM已经证明它有能力解决阿联酋的问题。就像丘吉尔和阿斯特夫人的假故事一样,剩下的就是在价格上达成一致。

5.作为记录,我完全不知道这是什么我从路透社上引用的话故事的真正含义是:

“如果你想偷听你的人,然后你禁止他们使用任何东西,说 布鲁斯施耐尔,英国电信首席安全技术官。“基本问题是黑莓和服务器之间存在加密。我们发现这个问题与加密有关。”

希望在电话采访中我没有那么语无伦次。

编辑添加(8/5):我可能已经和路透社做了一个了结。在昨天的电话采访中,我说:“RIM关于黑莓安全的措辞谨慎的声明旨在让他们的客户感觉更好,同时给公司足够的空间去拧它们。”乔纳森·齐特林分离其中之一。

8月3日发布,2010年上午11:08查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。