标记为“加密”的条目

第44 / 44页

桌面谷歌发现漏洞

谷歌的桌面搜索软件非常好,它会暴露出你计算机上你不知道的漏洞。

上个月,谷歌发布了其桌面搜索软件的测试版:谷歌桌面搜索。安装在你的Windows电脑上,它会为你的数据文件创建一个可搜索的索引,包括文字处理文件,电子表格,演示文稿,电子邮件,缓存的网页和聊天会话。这是个好主意。Windows的搜索能力一直很平庸,谷歌很好地解决了这个问题。

有一些安全问题,不过。问题是GDS索引并查找您可能不喜欢的文档。例如,GDS搜索浏览器的缓存。这样它就可以找到您访问过的旧网页,包括网上银行总结,从Web电子邮件程序和受密码保护的个人网页发送的个人消息。

GDS还可以检索加密的文件。不,它不会破坏加密或保存密钥的副本。然而,它搜索Windows缓存,可以完全绕过一些加密程序。如果你把程序安装在有多个用户的电脑上,您可以搜索所有用户的文档和网页。

GDS没有做错什么;它按照预期的方式索引和搜索文档。这些漏洞是由于ie浏览器的设计,歌剧,Firefox,PGP和其他程序。

首先,Web浏览器不应存储SSL加密的页面或带有个人电子邮件的页面。如果他们真的储存了它们,他们至少应该先问用户。

第二,将解密文件的副本留在缓存中的加密程序设计得不好。无论GDS是否搜索,这些文件都存在。

第三,GDS在计算机上搜索多个用户的文件和Web页面的能力在首次被发现时受到了广泛的关注。这完全没有问题。您必须是计算机上的管理员才能执行此操作,这样你就可以访问所有人的文件。

一些人将这些问题归咎于谷歌,并提出,错,谷歌会修复它们。如果谷歌屈服于公众的压力,修改GDS以避免泄露机密信息,会怎么样?潜在的问题仍然存在:私有网页仍然在浏览器的缓存中;加密程序仍会将纯文本文件的副本留在操作系统的缓存中;管理员仍然可以窃听他或她可以访问的任何人的计算机。唯一会改变的是,这些漏洞将再次对普通计算机用户隐藏起来。

最后,这只会损害安全性。

GDS非常擅长搜索。它是如此的好,它暴露了你的电脑上的漏洞,你不知道。现在你知道了,向软件供应商施压以修复它们。不要向信使开枪。


这篇文章最初出现在周刊

11月29日发布,2004年上午11:15·查看评论

信:Lexar JumpDrives

最近我谈到了Lexar的JumpDrives中的一个安全漏洞。我收到了公司的这封电子邮件:

发件人:Diane Carlini
主题:Lexar的JumpDrive

@在有经验的黑客可能监控和访问安全区域的情况下,Pight的发现揭示了轻微的安全风险。这只是1.0版中的情况,其中包括安全措施。Lexar的JumpDrive Secure 2.0设备现在包括基于256位AES加密技术的软件。有了这个新产品,JumpDrive Secure 2.0提供了当今常见的最高级别的数据保护。必威官方最新下载

将联系已注册的JumpDrive Secure客户,告知他们版本1中的此安全建议。

我没有技术资料,无论是从Lexar还是@Stage,它证实或反驳了这一主张。

11月5日发布,2004年上午9:53·查看评论

狗舍:Vadium技术

另一个一次性PAD系统。网站上没有很多细节,但这一点说明了一切:

“基于正在申请专利的技术和18年的详尽研究,Vadium的Alphacipher加密系统(TM)实现真正的数字一次性密码。一次性的Pad是唯一一种加密数据的方法,在这种方法中,保护的强度不受高等数学突破和计算机处理能力不断增长所带来的日益增长的威胁的影响。计算能力的持续加速增长被证明是目前所有其他流行加密方法的一个严重威胁。”

我不断地对一次性PAD系统源源不断的流感到惊讶。每隔几个月,就会有另一家公司相信,他们终于找到了制造一次性商用pad系统的方法。他们宣布,都被嘲笑了,然后消失。这是密码学的永动机。


Vadium技术的网站

我的散文在一次性垫子上。


11月4日发布,2004年12:08·查看评论

狗舍:默塞德县

默塞德郡在加利福尼亚,他们解释了为什么他们选择选举系统和软件(ES&S)作为他们的电子投票机。有一堆模糊的选择标准,但这一条非常明确:“使用1064位加密,不是128,安全性较差。”

我实在太震惊了,不能再作进一步的评论。

链接

发布于10月25日,2004年下午3时25分·查看评论

DES的遗产

数据加密标准,或DES,是70年代中期国家标准局的发明者:第一个现代的,公共的,免费提供加密算法。二十多年来,DES是商业密码学的主力。

几十年来,DES已经被用来保护所有东西不受大型计算机数据库的影响,自动柜员机与银行之间的通讯联系,警车和警察局之间的数据传输。不管你是谁,我可以保证在你的生活中很多次,数据的安全性受到DES的保护。

就在上个月,前国家标准局——该机构现在被称为国家标准技术研究所,或NIST——提议撤销DES作为加密标准,这标志着联邦政府最重要的技术标准的终结,比ASCII更重要的一个,我会争辩。

今天,密码学是计算机安全最基本的工具之一,但30年前,它几乎不作为一门学术学科存在。在互联网只是一种好奇心的时代,密码学甚至不是公认的数学分支。密码总是很吸引人,但它们是基于字母的纸笔代码。在第二次世界大战期间的秘密政府实验室里,密码术进入了计算机时代,成为了数学。但是没有教授教,没有会议讨论,美国所有的密码研究都是在国家安全局进行的。

然后是德斯。

回到20世纪70年代早期,这是一个激进的想法。国家标准局决定应该有一个免费的加密标准。因为该机构希望它是非军事的,他们向公众征集加密算法。他们只有一个来自IBM实验室的严肃回应——数据加密标准。1976,DES成为政府“敏感但未分类”的标准加密算法。交通。包括个人的,财务和后勤信息。仅仅因为没有别的东西,公司在需要加密算法时就开始使用DES。当然,并不是每个人都相信DES是安全的。

当IBM提交DES作为标准时,国家安全局以外的任何人都没有任何专业知识来分析它。国家安全局对DES做了两次修改:修改了算法,而且它把钥匙的尺寸削减了一半以上。

算法的强度取决于两件事:数学有多好,钥匙有多长?打破算法的一个可靠方法是尝试所有可能的密钥。现代算法有一把钥匙,时间太长,这是不可能的;即使你用地球上所有的硅原子制造了一台计算机并运行了数百万年,你做不到。所以密码学家寻找捷径。如果数学不好,也许有一种方法可以更快地找到钥匙:“打破”算法。

国家安全局的变化引起了少数关注者的强烈抗议,都是关于“看不见的手”国家安全局的——这些调整没有公开,最后的设计——以及短键长度——没有给出任何理由。

但随之而来的是研究。可以毫不夸张地说,DES的出版创造了现代密码学的学术学科。第一批学术密码学家的职业生涯始于试图破解DES,或者至少试着理解NSA的做法。几乎所有的加密算法——公钥密码术,特别是,它们的根可以追溯到des。分析DES不同方面的论文今天仍在出版。

到1990年代中期,人们普遍认为,美国国家安全局能够通过尝试所有可能的密钥来破解DES。这种能力在1998年得到了证明,当一台价值22万美元的机器建成后,它可以在几天内强行使用des密钥。1985,学术界提出了一种DES变体,其数学相同,但关键较长,称为三重DES。多年来,这种变体已在更安全的应用中取代DES使用,但现在是制定新标准的时候了。在1997年,NIST要求用一种算法来代替DES。

这一过程说明了密码学从美国国家安全局的秘密技术向全球公共技术的彻底转变。NIST再次向公众征求算法,但这一次该机构收到了来自10个国家的15份意见书。我自己的算法,特福菲什是其中之一。经过两年的分析和辩论,NIST选择了比利时算法,Rijndael成为高级加密标准。

现在的密码学世界与30年前不同了。我们对密码术了解得更多,有更多的算法可供选择。AES不会像DES那样成为无所不在的标准。但它正在寻找进入银行安全产品的途径,互联网安全协议,甚至是电脑投票机。NIST标准是对质量和安全的禁锢,供应商也承认这一点。

所以,国家安全局在密码学方面有多好?他们当然比学术界强。他们有更多的数学家在研究这些问题,他们花了更长的时间,他们可以接触到学术界发表的一切,而他们不需要公开自己的结果。但是,他们比最先进的技术领先一年吗?五年?一个十年?没有人知道。

学术界花了20年的时间才发现国家安全局“有所调整”实际上提高了DES的安全性。这意味着在70年代,国家安全局比最新技术领先20年。

今天,国家安全局还是更聪明的,但我们其他人正在迅速赶上。1999,学术界发现了另一种NSA算法的弱点,沙,国家安全局声称四年前才发现的。就在上周,有一份关于国家安全局的SHA-1的公开分析表明了我们认为国家安全局根本不知道的弱点。

也许现在我们只落后几年。


这篇文章最初发表在CNET.com

发布于10月6日,2004年下午6:05·查看评论

狗屋:雷克萨斯Jumpdrives

如果你读过Lexar的文档,他们的JumpDrive安全产品是安全的。“如果丢失或被盗,您可以放心,您保存的内容将保留在256位AES加密中。”听起来不错,但是安全专家是不可信的。@木桩决定检查。他们发现“密码可以在内存中观察到或直接从设备读取,没有篡改的证据。”更糟糕的是:密码“以XOR加密形式存储,无需任何身份验证即可直接从设备读取”。

故事的寓意是:不要相信像“256位AES”这样的魔法安全词汇。细节是魔鬼,而且很容易破坏安全。

虽然把事情搞砸了,但还是令人印象深刻。

雷克沙产品

@Stake的分析

10月1日发布,2004年下午9时45分·查看评论

新闻

上个月我写了一篇文章:“对Windowsxpsp2的冗长而有趣的评论,包括增加安全性的错失机会清单。值得一读:寄存器”。请务必阅读以下后续内容:
寄存器

萨瑟蠕虫的作者已被逮捕:
计算机世界
寄存器
并得到一份工作:
澳大利亚IT

关于恐怖主义警报心理的有趣文章:
津巴多

Treo的加密电子邮件客户端:
Treo中央

蜜网项目正在出版一年两期的CD-ROM和通讯。必威体育官方如果你参与了蜜网,这绝对值得一试。即使你不是,支持这一努力是值得的。
蜜罐系统

《首席信息官》杂志发表了一份关于企业信息安全的调查。我对调查有一些问题,但值得一读。
信息安全

在伊利诺伊州国会大厦,有人开枪打死了一个手无寸铁的保安逃走了。事件发生后的安全升级是——准备好了——将建筑准入政策从“检查id”更改为“check id”“登录”程序程序。首先,身份检查不会提高安全性。其次,为什么他们认为攻击者愿意伪造/窃取身份证?但他们不愿意在剪贴板上签名吗?
监护人

一个量子加密的TCP/IP网络:
都市报
Slashdot
NEC也有自己的量子密码研究成果:
据美国媒体

关于美国的安全故事新西兰大使馆。这是一个很好的教训,说明了不考虑当前问题以外的陷阱。
统治权

蠕虫的未来:
计算机世界

一个书签被称为暗器后被逮捕的老师:
圣彼得堡时报
还记得你带上飞机时能把人打晕的其他东西吗:手提包,笔记本电脑,精装书。牙线可以用作绞喉。而且,而且,哦…你明白了。

看来你可以用塑料笔的盖子打开氪石自行车锁。这种攻击作用于锁匠所谓的“印象”原理。管状锁尤其容易发生这种情况,因为所有的销钉都暴露在外,而那些需要很少技巧才能使用的工具可能相对简单。长期以来,一直有商用锁匠产品对圆形锁进行这种处理。一旦你有了做这件事的感觉,这很容易。我发现Kryptonite提出的解决方案——换一个直径更小的锁,这样特定品牌的笔就不能用了——特别有趣。
印度网站
《连线》杂志
自行车论坛

我经常讨论大多数防火墙是如何因为配置不正确而无效的。下面是对防火墙配置的一些研究:
IEEE计算机

从三英尺外读取RFID标签:
计算机世界

美国在线提供两项认证服务。它不是免费的:每月10美元加2美元。这是一个RSA安全令牌,这个数字每60秒就会改变一次。
个人电脑世界

反恐有它自己的蛇油:
量子睡床

10月1日发布,2004年晚上9:40·查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM有弹性