标记为“加密”的条目

第38页共45页

意大利的窃听

加密电话是意大利的大企业作为对窃听的防御:

刺激加密销售的并不是意大利地方法官授权的合法窃听——尽管有关这些电话的信息也经常泄露给媒体——而是互联网上窃听技术的广泛应用,这造成了越来越多的业余窃听者。这些窥探者在意大利媒体上已经为窃听名人谈话做好了准备。

5月2日发布,2007年下午1:02查看评论

柠檬的安全市场

一年多以前,我写的关于越来越多的数据丢失风险,因为越来越多的数据适合越来越小的包。今天我旅行时用一个4-GB的USB记忆棒做备份。我喜欢方便,但如果我失去了微小的东西,我就冒着所有数据的风险。

加密是这个问题的明显解决方案——我使用pgpdisk——但是证券听起来更好:它会在一系列错误的密码尝试后自动删除自己。该公司还提出了一系列令人印象深刻的声明:该产品是委托生产的,最终批准,法国情报局;它被许多军队和银行使用;它的技术是革命性的。

不幸的是,唯一令人印象深刻的是它的傲慢,当tweakers.net完全破产它的安全性。没有数据自毁功能。密码保护可以很容易地绕过。数据甚至没有加密。作为一种安全的存储设备,证券化是相当无用的。

在表面上,这只是另一个蛇油安全故事。但还有一个更深层次的问题:为什么有那么多坏的安全产品?不仅仅是设计好的安全性很难——尽管它很难——而且不仅仅是这样任何人都可以设计他自己不能破坏的安全产品。为什么平庸的安全产品胜过市场上的好产品?

1970年,美国经济学家乔治·阿克洛夫写了一篇论文叫做柠檬市场'“(摘要和支付条款在这里),请建立了不对称信息理论。他最终因他的工作获得了诺贝尔奖,它着眼于卖方比买方更了解产品的市场。

阿克洛夫用二手车市场来说明他的想法。二手车市场包括好车和坏车(柠檬)。卖方知道哪一个,但买家无法分辨出两者的区别——至少在他完成购买之前是这样。我会把数学留给你的,但最终的结果是,买主的买价是基于一辆质量一般的二手车的价值。

这意味着最好的车是卖不出去的;他们的价格太高了。这意味着这些最好的车的车主不会把他们的车投放市场。然后开始螺旋运动。从市场上撤走优质汽车会降低买家愿意支付的平均价格,然后很好的车就不再卖了,从市场上消失。然后是好车,等等,直到只剩下柠檬。

在卖方的产品信息比买方多的市场中,坏产品会把好产品赶出市场。

计算机安全市场与阿克洛夫柠檬市场有许多相同的特点。抢占加密USB记忆棒市场。几家公司生产加密USB驱动器--金士顿几天前给我寄了一封信——但即使是我也不能告诉你金斯顿的提议是否比Securstick更好。或者如果它比其他加密的USB驱动器更好。他们使用相同的加密算法。他们提出同样的安全要求。如果我看不出区别,大多数消费者也无法做到这一点。

当然,制作一个真正安全的USB驱动器要贵得多。良好的安全设计需要时间,也必然意味着限制功能。好的安全测试需要更多的时间,尤其是如果产品是好的。这意味着不太安全的产品会更便宜,更快上市,更具特色。在这个市场上,更安全的USB驱动器将会丢失。

我看到这种事情在计算机安全中反复发生。在20世纪80年代末和90年代初,有一百多个竞争的防火墙产品。少数“获胜”的人不是最安全的防火墙;它们是那些容易设置的,使用方便,不会给用户带来太多麻烦。因为买家不能根据相对的安全价值做出购买决定,他们基于这些其他标准。入侵检测系统,或ID,市场也以同样的方式发展,在那之前是杀毒市场。成功的少数产品不是最安全的,因为买家看不出有什么区别。

你如何解决这个问题?你需要经济学家所谓的“信号”。一种让买家分辨差异的方法。保修是一个常见的信号。或者,一个独立的汽车修理工能分辨出好的汽车和柠檬,买家可以雇佣他的专业技术。世俗的故事证明了这一点。如果有一个消费者倡导者小组拥有评估不同产品的专业知识,然后柠檬就会暴露出来。

安全性,首先,似乎退出销售.

但是安全测试既昂贵又缓慢,一个独立的实验室不可能测试所有的东西。不幸的是,证券化的曝光是一个例外。这是一个简单的产品,一旦有人想看,就很容易暴露出来。一个复杂的软件产品——防火墙,一个IDS——很难很好地测试。而且,当然,当你测试它的时候,供应商在市场上有一个新版本。

实际上,我们必须依靠各种平庸的信号来区分好的安全产品和坏的安全产品。标准化是一个信号。广泛使用的AES加密标准已经降低,虽然没有消除,市场上劣质加密算法的数量。声誉是一个更常见的信号;我们根据销售公司的声誉选择安全产品,与之关联的某个安全向导的声誉,杂志评论,来自同事的建议或媒体的普遍关注。

所有这些信号都有它们的问题。即使是产品评论,这应该和调整者的安全审查一样全面,很少是这样。许多防火墙比较审查都将重点放在审查人员可以轻松衡量的事情上,就像每秒的数据包,而不是产品的安全性。在IDS比较中,你可以找到相同的伪造“签名数”比较。买主们把那些东西收起来;在缺乏深刻理解的情况下,他们乐于接受肤浅的数据。

市场上有这么多普通的安全产品,很难找到一个高质量的信号,供应商没有强烈的动机来投资开发好的产品。而那些卖主往往会安静地孤独地死去。

这篇文章最初出现有线电视。

编辑添加(4/22):斜线点线.

4月19日发布,2007年上午7:59查看评论

蓝光裂了

蓝光DRM系统破碎的,请尽管细节不多。是同一个人打破了高清DVD系统上个月。(两者都使用AAC。)

正如我之前写的,这两个系统的设计都应该能够从这样的黑客攻击中恢复。我们将了解恢复功能作品.

蓝光和高清DVD都允许在受到攻击时更新解密密钥,例如,通过播放软件使播放高清晰度电影变得不可能,而这种软件被认为是脆弱的或有缺陷的。因此,muslix64的工作有效地引发了黑客和娱乐业之间的猫捉老鼠游戏,消费者可能会面临兼容性问题,同时为娱乐业坚持将最终有缺陷的DRM技术推给不情愿的公众而买单。

编辑添加(1/29):应该阅读部分系列关于这个话题。

发表于1月26日,2007年下午12:47查看评论

美国政府对所有笔记本电脑进行加密

这个是个好主意:

为了解决去年因笔记本电脑被盗或丢失而经常出现的数据泄露问题,萨奇布·阿里写道,联邦调查局正计划使用全磁盘加密(FDE)在所有政府拥有的计算机上。

“6月23日,2006年a总统授权要求所有机构的笔记本电脑对硬盘上的数据进行完全加密。美国政府目前正在进行最大的单侧并排比较与竞争用于选择全磁盘加密产品。选定的产品将部署在美国数百万台计算机上。联邦政府空间。这将是有史以来最大的单一实施,以及所有有关比赛的信息是公开的.评估将在90天内结束。您可以查看所有供应商竞争要求清单”他说,“我想我应该去看看。”

当然,加密所有的东西都是多余的,但这比找出要加密的内容和不加密的内容容易得多。我真的很喜欢有一个公开的竞争来选择使用哪种加密程序。这无疑是厂商之间的高风险竞争,但有可能提高所有产品的安全性。我早就说过,政府为提高计算机安全所能做的最好的事情之一就是利用其巨大的购买力向供应商施压以提高其安全性。我希望胜利者能在合同之外进行大量的销售,而对于失败者来说,要纠正他们的不足,这样他们下次会做得更好。

旁注:密钥托管是要求,请在政府或企业应用中有意义的东西:

能够安全托管和恢复symetric[sic]加密密钥

我想知道国家安全局是否参与了评估,如果它的分析被公开的话。

发表于1月3日,2007年下午2:00查看评论

关于联合国轰炸机代码的更多信息

上个月我张贴关于泰德·卡钦斯基的纸笔密码术。似乎他发明了自己的密码,直到警察在他的私人文件中找到了对密码的描述,他们才能破解。

我找到的链接来自KPIX,哥伦比亚广播公司在旧金山地区的分支机构。写完之后,电台联系了我,要求我对联合国炸弹袭击者密码系统的其他部分进行评论。未来的故事(在线视频)。

我提到了五页新的联合国轰炸机证据(1个,请,请,请4,请和5个)。所有的五页纸都是联合国轰炸机写的,但在我看来很明显,第4页和第5页,不是卡钦斯基自己的钥匙,是密码分析员试图破解联合国炸弹袭击者密码的笔记。

无论如何,这一切都很迷人。

发表于1月3日,2007年上午6:59查看评论

联合国轰炸机代码

这个很有趣。泰德·卡钦斯基用代码写道:

在一本用代码写的小日记里,他记录了他对自己所犯罪行的想法。密码太难了,一位消息人士说,中情局无法破解它——除非有人在其他文件中找到了钥匙本身,然后翻译。

看看照片.这是一本手册,纸笔密码。有人知道算法的细节吗?

12月6日发布,2006年下午12:53查看评论

攻击银行卡密码

Omer Berkman和Odelia Moshe Ostrovsky的研究论文:别针断裂的轻得无法忍受“:

摘要。我们描述了对金融PIN处理API的新攻击。这些攻击适用于交换机和验证设施。这些攻击非常严重,攻击者只需对每个暴露的pin执行一个或两个api调用,就可以暴露客户的pin。其中一个攻击只使用translate函数,这是每个开关中必需的函数。其他攻击滥用了允许客户在线选择其PIN的功能。有些攻击可以应用于交换机,即使被攻击的功能需要颁发者的密钥,而这些密钥在交换机上不存在。这尤其令人不安,因为人们普遍认为,如果没有相应的密钥,则要求颁发者的密钥的功能不会造成任何损害。

基本上,本文描述了ATM密码在国际金融网络上加密和传输的一个固有缺陷。使他们容易受到银行内恶意内幕人士的攻击。

攻击最令人不安的一个方面是,你只有像网络上最不可信的银行一样安全。而不只是要相信你自己的发行银行,他们有很好的安全防范内幕欺诈,你也必须信任网络上的其他金融机构。如果你从另一家银行的自动柜员机上取钱,另一家银行的内部人员可能会破解你的ATM密码。

作者告诉我他们已经联系了主要的信用卡公司和银行。也没有收到多少回应。他们认为现在是时候提醒公众了。

11月17日发布,2006年上午7:31查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。