标记为“加密”的条目

第41页共45页

类星体加密

有人知道最微弱的线索吗他们在这里说什么是吗?如果我不得不猜测,它只是另一个随机数生成器。这听起来绝对不像两台望远镜指向同一把钥匙,但却能产生同一把钥匙——现在那个会很酷的。

美国国家信息与通信技术研究所正试图为一种使用类星体电磁波的加密系统申请专利。

据日本经济新闻社报道,这项技术用于通过射电望远镜接收宇宙无线电波,加密然后重新传输它们。因为宇宙波是不规则的,其他人几乎不可能破译它们。一位发言人说,该系统可用于传输国家机密和其他敏感信息。

射电望远镜可以通过观察事先选定的特定类星体发射的宇宙波模式来破译信息。即使加密数据被盗,没有适当的类星体无线电信号是不可能读到它的。

唯一能真正破解密码的方法就是知道编码者使用的是哪个射电望远镜,以及它指向的是什么类星体。只有到那时,你才有机会破译它。

我可以看到关于主页在Nikkei.net Interactive上,但如果不登录就无法了解这个故事。

发表于3月27日,2006年下午1:21查看评论

射频识别标签的功率分析

这个是Yossi Oren和Adi Shamir的伟大作品:

摘要(摘要)

我们展示了对无源RFID标签的第一次功率分析攻击。与标准的功率分析攻击相比,这种攻击是独一无二的,因为它需要无身体接触设备受到攻击。虽然此处描述的特定攻击要求攻击者将数据实际传输到受攻击的标记,功率分析部分本身只需要一个接收天线。这意味着可以设计这种攻击的变体,以便攻击者完全被动当它获取数据时,使攻击很难被发现。作为概念的证明,我们描述了在超高频频率范围内对1类1代EPC标签的密码提取攻击。下面介绍的攻击让对手发现这样一个标签的杀戮密码,然后,禁用它。这种攻击可以很容易地适应查找2代标签的访问和杀掉密码。我们攻击的主要意义在于它的含意——任何内置在标签中的加密功能都需要设计成能够抵抗电源分析,实现这一阻力是一项对标签的价格和读取范围都有影响的任务。

我对该行业的反应的猜测是:低估结果,假装这不是问题。

发表于3月17日,2006年下午12:22查看评论

关于格莱姆·里奇·布利利的不幸法庭裁决

他说:“这是一个很好的选择。”联邦法院规定金融机构没有义务加密客户数据库。“:

在可能对金融机构产生广泛影响的法律决定中,最近,一家法院裁定,一家学生贷款公司没有疏忽大意,也没有根据《格莱姆-里奇-布利利法案》对落入坏人手中的笔记本电脑上的客户数据库进行加密的义务。

基本上,布拉索斯高等教育服务公司的雇员,股份有限公司。,在家里使用的笔记本电脑上有客户信息。电脑被偷了,一位顾客起诉布拉索斯。

法官驳回了诉讼。然后他进一步说:

明显地,虽然认识到Gram Leach Bliley确实要求金融机构保护客户记录不受未经授权的访问,凯尔法官认为,该法令“并不禁止任何人在家庭办公室的笔记本电脑上使用敏感数据”。并且不要求“存储在笔记本电脑上的任何非公开个人信息都应加密”。

我对案件的法律价值一无所知,我对格莱姆·里奇·布利利是否要求金融公司在其权限内加密个人数据也没有意见。但我知道,作为一个社会,我们需要迫使公司对我们的个人数据进行加密。公司不会自己这样做——市场只是不鼓励这种行为——所以立法或责任是唯一可用的机制。如果法律不这样做,我们需要另一个。

编辑添加(2/22):一些评论在这里.

2月21日发布,2006年下午1:34查看评论

丢失便携式设备的风险

去年七月一日博客关于在越来越小的设备中存储越来越多数据的风险。

上周我写了我的第十个wired.com关于主题:

关键是现在很容易丢失大量信息。二十年前,有人可以闯进我的办公室复制每个客户档案,每封信件,关于我职业生涯的一切。今天,他要做的就是偷我的电脑。或者我的便携式备份驱动器。或者我的一小叠DVD备份。此外,他可以潜入我的办公室复制所有的数据,我永远也不知道。

这个问题不会很快消失。

有两种解决方案是有意义的。首先是保护数据。像pgp disk这样的硬盘加密程序允许您加密单个文件,文件夹或整个磁盘分区。一些制造商销售内置加密的USB U盘。一些PDA制造商开始增加密码保护——不如加密好,但至少对他们的设备来说还有一些售后市场的PDA加密程序。

第二种解决方案是在设备丢失时远程删除数据。这仍然是一个新想法,但我相信它将在企业市场上获得吸引力。如果你给一个员工一个黑莓手机作为商业用途,如果他丢失了设备的内存,您希望能够擦除它。因为设备一直在线,这是一个很容易添加的功能。

但在这两种解决方案普遍存在之前,最好的选择是注意并删除数据。从您的黑莓删除旧电子邮件,手机上的短信服务和通讯簿上的旧数据——定期。找到那个调用日志,并偶尔清除它。不要把所有东西都放在笔记本电脑上,只有你可能真正需要的文件。

编辑添加(2/2):荷兰陆军军官迷路的一个记忆棒与阿夫冈任务的细节。

2月1日发布,2006年上午10:32查看评论

米勒在OpenSSH上

有趣的采访以下内容:

Federico Biancuzzi采访OpenSSH开发人员Damien Miller,讨论即将发布的4.3版中包含的功能,公钥加密协议详细信息,基于时间的攻击和反蠕虫措施。

12月22日发布,2005年上午11:53查看评论

蛇油研究自然

蛇油不仅用于商业产品。这是一项研究出版(在收费墙后面)在自然就这么多了。

本文建议利用电光系统中的混沌来产生一个伪随机光序列。然后将其添加到消息中以防止被拦截。现在,利用混沌建立加密系统的思想在密码界已经尝试了很多次,总是失败。但是自然文章没有显示出熟悉以前的加密工作的迹象。

发布的系统有一个明显的问题,即它不包含任何形式的消息认证,因此,在传输过程中发送欺骗消息或篡改消息是很简单的。

但仔细研究一下这家报纸的数据,就会发现一个更为根本的问题。没有钥匙。任何拥有有效接收器的人都可以解码密文。没有密钥等于没有安全性,你剩下的是一个完全破碎的系统。

我给克劳迪奥R发了电子邮件。米拉索,通讯作者,关于没有钥匙,得到了这样的回复:“要从混乱的载体中提取信息,你需要复制载体本身。这只能通过一个与发射器特性匹配的激光器来实现,比如说,2-5%以内。具有这种相似性的半导体激光器必须从同一晶圆中仔细选择。即使您必须测试它们,因为它们仍然可能太不同,不同步。我们讨论一把硬件钥匙。操作条件(电流,反馈长度和耦合强度)是关键的一部分。”

我来翻译一下。他说在制造过程中有一把硬件钥匙烙进了系统。(它来自激光器的制造偏差。)没有办法改变这一领域的关键。如果任何发射器/接收器丢失或被盗,就无法恢复安全性。他们不知道攻击者构建兼容接收器有多困难,甚至是一个可调接收器,可以听各种编码。

这篇论文永远不会通过任何权威的密码学期刊或会议的同行评审。我很惊讶它被接受了自然,请竞争激烈的期刊我不知道为什么自然正在就超出其通常能力范围的主题发表文章,但在我看来自然因为缺乏这方面的专业知识而在这里被烧死了。

公平地说,该报非常谨慎地回避了安全问题,几乎什么也没说:“另外,混沌载波提供了一定程度的内在隐私,它可以补充(通过强大的硬件加密)经典(基于软件)和量子密码系统。”现在,“一定程度的内在隐私”大约为零。但除此之外,他们非常谨慎地说出自己的主张。

例如,摘要说:“混沌信号被提议作为宽带信息载体,有可能在数据传输中提供高水平的鲁棒性和保密性。”但没有人透露这个提议是假的,从隐私的角度来看。最后一段的后面写着“在这个基础上,应该有可能开发出可靠、经济有效的安全通信系统,利用混沌动力学的深层特性。”不披露“混沌动力学”实际上与“安全”无关部分。最后一段讨论“智能加密技术”(参考一篇讨论混沌加密的论文)“制定主动窃听规避策略”(无论这意味着什么),等等。如果你不仔细分析他们的话,也不了解这个领域,这就足够了,您可能会觉得这是安全通信方面的一大进步。似乎有助于更仔细地免责声明。

通信安全被列为研究这种通信技术的动机之一。把这列为一个动机,没有解释他们的实验装置实际上对通信安全毫无用处,充其量是值得怀疑的。

同时,新闻界写了一些传达错误印象的文章。科学新闻有一个文章这称赞这是通信隐私的一项重大成就。

它称之为“新的加密策略”。混沌加密通信,“每秒1 GB的混沌加密信息。”很明显,通信安全方面就是科学新闻正在写。如果作者知道他们的方案对通信安全毫无用处,他们解释得不太好。

还有一个新科学家文章标题为“让混乱保护你的秘密安全”这是一种“新的密码技术,他说:“这是一个很好的选择。”但我找不到这篇文章的全文。

这是更多讨论其安全好处的文章。在后者中,米拉索说:“我们未来的主要任务”就是“定义,测试,并校准我们的系统可以提供的安全性。”

以及他们的项目网页说“计算机速度的不断提高威胁着安全”传统密码学(这是伪造的),并建议使用物理层混沌作为解决这一问题的方法。这被列为项目的目标。

这里有一个教训。这是研究人员进行的研究,在密码学方面没有任何记录,提交给一本没有密码学背景的杂志,有谁知道在密码学方面有什么样的经验?密码学是一门微妙的学科,在没有必要的经验和培训的情况下,尝试设计新的密码系统是一条通向不安全的捷径。

怎么了?自然是吗?没有物理训练的密码学家比认为他们有能力评估物理研究更清楚。如果物理论文被提交到密码学杂志上,作者很可能会被轻轻地转到一本物理杂志上——我们不希望我们的密码学会议接受一篇关于他们无法评估的主题的论文。为什么会自然当物理学家试图做密码研究时,情况会有什么不同吗?

12月7日发布,2005年上午6:36查看评论

磁条阅读器的所有权可能是非法的。

这是伊利诺伊州账单即:

规定非法占有,使用,或者允许使用,任何材料,硬件,或专门设计或主要用于从伊利诺伊州官方身份证的条形码或磁条中读取加密语言的软件,残疾人身份证,驾驶执照,或者允许。

全文是在这里.

11月11日发布,2005年上午11:45查看评论

嗅探密码很容易

据美国媒体以下内容:

她说,大约一半的酒店使用共享网络媒体(即一个集线器对一个以太网交换机)。因此,酒店里任何志同道合的人都能嗅到你发送的任何纯文本密码。大多数无线接入点也是共享媒体;甚至需要WEP密钥的网络也常常允许普通用户嗅探彼此的密码。

她说,在一个过夜的酒店住宿中收集的密码平均数是118,如果您放弃了50%的使用以太网交换机的连接,而没有广播密码。

绝大多数人,41%,是基于HTTP的密码,然后是电子邮件(SMTP,波普2,imap)40%。最后19%由资金转移定价构成,质量控制中心,SNMP,抿,电话网,还有一些其他类型的。

作为一名安全专家,我的朋友经常参加安全会议,教授安全课程。她指出,她在这些场所收集的密码数量平均高于非安全地点。那些本应比任何人都更了解安全的人,似乎对他们公司的远程访问水平高于正常水平,但没有使用任何类型的密码保护。

在一次会议上,她听取了世界上最重要的思科安全专家之一的笔记本电脑广播12种不同的登录类型和密码在演示。哎哟!

我有兴趣分析那个密码数据库。这些密码中有多少是英语单词?常用密码字典中的百分比是多少?使用混合用例的百分比是多少?或者数字,还是标点?不同密码长度的频率分布是什么?

真正的密码数据很难获得。在这些数据中有一篇有趣的研究论文。

11月9日发布,2005年下午2:39查看评论

狗窝:莱克萨紧锁

你认为我们应该告诉这些人沙一号不是加密算法是吗?

由Lexar开发,新的安全解决方案基于160位加密技术,并使用sha-1(安全哈希算法)。国家标准技术研究所(NIST)批准的标准。160位加密技术是目前最有效和被广泛接受的安全解决方案之一。

这似乎不是打字错误。他们更详细地解释自己在这里以下内容:

Lexar向我们提供了以下关于如何保护锁紧卡上的数据的解释:(我们了解加密是在卡和相机/计算机之间的通信层上进行的,而不是数据本身)。

“Lexar采用了一种独特的策略来保护紧锁卡上的数据。紧锁卡始终是“锁定”的。换句话说,在紧锁卡与主机或主机相机之间发生关键授权过程之前,任何计算机或相机都不能从紧锁卡读取或写入数据。该授权过程采用160位HMAC SHAH-1加密算法。”

10月3日发布,2005年上午8:22查看评论

狗舍:秘密

我已经很久没吃过了。

密码看起来像是另一个一次性垫蛇油产品:

大多数文件加密使用的方法都是通过数学方法将密码散列到一个更大的数字,并依赖于逆转此过程所花费的时间来防止未经授权的解密。如果密钥长度大于或等于128位,这种方法在大多数情况下都能很好地工作,但由于这些方法确实有可预测的模式,所以它们可以被破解。CPU的速度正在以很快的速度增长,如果运气好和/或有足够的计算机,这些加密方法可能会被击败。XORIT使用XOR加密方法(也称为Vernam加密),该方法可以拥有与要加密的文件大小相同的密钥。因此,如果要加密一个5MB文件,然后你就可以得到一个有效的4000万位密钥了!这几乎是任何计算机都无法破解的,尤其是当您认为文件还必须检查每个组合,以查看是否被解密。换句话说,这是另一种方式,由于Xorit没有给出通过/失败的结果,所以蛮力方法很难实现。事实上,如果使用的密钥文件大小相同或大于源文件,并且不重用密钥文件,则无法解密该文件,不管电脑有多快。此外,密钥文件可以是任何东西-程序,交换文件,你的猫的图像,甚至音乐文件。

令人惊讶的是,还有一些人相信在这种胡说八道中。在保护他们之前,请看我的散文在蛇油上。

9月28日发布,2005年下午1:25查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。