标记为“加密”的条目

第5页共45页

普林斯顿的物联网检查员工具

普林斯顿大学的研究人员发布了物联网检查员,请一种通过检查通过互联网发送的数据来分析物联网设备的安全性和隐私性的工具。他们已经用这个工具研究了一系列不同的物联网设备。从他们的博客文章以下内容:

发现3:许多物联网设备与一大批不同的第三方联系

在很多情况下,消费者希望他们的设备与制造商的服务器联系,但与其他第三方目的地的通信可能不是消费者期望的行为。

我们发现许多物联网设备与第三方服务通信,消费者通常不知道。我们在物联网设备网络流量分析中发现了许多第三方通信实例。一些例子包括:

  • 三星智能电视。在通电后的第一分钟,电视与谷歌Play对话,双击,Netflix公司,范丹戈诺,斯波提菲,哥伦比亚广播公司微软全国广播公司,国家橄榄球联盟,迪泽,以及Facebook——即使我们没有在其中任何一家公司注册或创建账户。

  • AMCREST WiFi安全摄像头。摄像头通过https与cellphonepush.quickddns.com进行主动通信。QuickDDNS是由大华运营的动态DNS服务提供商。大华也是一家安全摄像机制造商,虽然Amcrest的网站没有提到大华。AMCREST客户服务部通知我们,大华是原设备制造商。

  • 卤代烟雾探测器。智能烟雾探测器与broker.xively.com通信。xively提供MQTT型服务,这使得制造商可以与其设备进行通信。

  • 吉利灯泡。吉利智能灯泡与gw.tuyaus.com通信,由图雅经营,一家中国公司,也提供MQTT服务。

我们还研究了一些其他设备,例如三星智能相机和TP-Link智能插头,发现了与第三方的通信,从NTP池(时间服务器)到视频存储服务。

他们的前两个发现是“许多物联网设备缺乏基本的加密和认证”并且“用户行为可以从加密的物联网设备流量中推断出来。”那里没有惊喜。

博宁博宁邮递.

相关:物联网耻辱堂.

5月1日发布,2018年上午6:32查看评论

ISO拒绝的两种NSA算法

国际标准化组织已经拒绝两种对称加密算法:西蒙和斯派克.这些算法均由国家安全局设计,并于2013年公开。它们针对物联网设备等小型和低成本处理器进行了优化。

使用NSA设计的密码的风险,当然,包括国家安全局设计的后门。就个人而言,我怀疑他们有后门。我总是喜欢看到国家安全局设计的密码术(尤其是其关键时间表)。这就像在研究外星人的技术。

编辑添加(5/14):为什么算法拒绝.

4月25日发布,2018年上午6:54查看评论

俄罗斯禁止发电报

俄罗斯有禁止安全消息应用程序电报。它在制造一个绝对混乱的禁令--阻塞1600万IP地址,请许多属于亚马逊和谷歌云——甚至不清楚它是否有效。但是,更重要的是,我不相信电报是首先确保安全.

这么奇怪的故事。如果你想要安全消息,使用信号。如果你担心手机信号本身会引起怀疑,使用WhatsApp。

4月23日发布,2018年下午2:15查看评论

遗忘DNS

有趣的主意以下内容:

…我们提出了遗忘的dns(odns),这是一种新的DNS生态系统设计,允许当前的DNS服务器保持不变,并增加移动和静止数据的隐私。在ODNS系统中,两个客户端都是用本地冲突解决程序修改的,还有一个新的.odns权威名称服务器。为了防止窃听者学习信息,DNS查询必须加密;客户机为www.foo.com生成一个请求,生成会话密钥k,加密请求的域,并附加TLD域.odns,导致www.foo.com k.odns。客户转发,在“附加信息”中,会话密钥在.odns权威服务器的公钥(k pk)下加密。递归解析程序的DNS查询记录,然后将其转发到.odns的权威名称服务器。权威服务器用他的私钥解密会话密钥,然后用会话密钥解密请求的域。然后,权威服务器将DNS请求转发到相应的名称服务器,充当递归解析器。当名称服务器看到传入的DNS请求时,他们不知道自己来自哪些客户;此外,窃听器无法将客户端与其相应的DNS查询连接起来。

新闻文章.

4月18日发布,2018年上午6:29查看评论

破坏后门加密

这个是一个非常有趣的研究结果。本文证明了双方可以通过一个带有后门的通信系统来建立一个安全的通信通道。这是一个理论结果,所以这并不是说创建这个频道有多容易。对对手的假设是相当合理的:每一方都可以创造自己的随机性,而且政府并不是一直在偷听网络的每一个部分。

这一结果让我想起了20世纪80年代和90年代关于潜意识渠道的许多工作,以及如何在已识别系统之上构建匿名通信系统的概念。基本上,总是可以在任何封闭系统的周围和外部覆盖一个系统。

他说:“这是一个很好的选择。”如何破坏后门加密:对解密所有密文的对手的安全,“由Thibaut horel和Sunoo公园、Silas Richelson和Vinod Vaikuntanathan设计。

摘要:在这项工作中,我们研究了在一个政府可以读取其公民所有加密通信的世界中,安全和不可检测的点对点通信的可行性。我们认为,世界上唯一允许的通信方法是通过政府授权的加密方案,用政府授权的密钥实例化。双方不能简单地加密其他加密方案的密文,因为公民试图在政府知识之外进行交流(例如,通过对看似不是自然语言明文的字符串进行加密,将被逮捕。我们假设的一个保证是,政府强制实施一个加密方案,在语义上对外界是安全的:当政府认为保护人民与外国实体的通信是有利的时候,这也许是一个合理的假设。但是后来,对于拥有所有密钥并有能力解密的对手,语义安全有什么好处?

我们表明,即使在所描述的悲观情景中,公民可以安全地、不被察觉地交流。用我们的术语来说,这转化为一个积极的声明:所有语义安全的加密方案都支持下意识的通信。非正式地,这意味着爱丽丝和鲍勃之间有一个双方协议,双方交换看似正常对话的密文,即使是对知道密钥的人,也可以阅读相应的明文。然而,在协议结束时,爱丽丝将把她的秘密消息传给鲍勃。我们的安全定义要求对手无法分辨Alice和Bob是否只是使用强制加密方案进行正常对话,或者他们正在使用授权的加密方案进行下意识的通信。

我们的话题可能被认为广泛地属于隐写术的范畴:在看似无辜的信息中隐藏秘密通信的科学,或者遮盖物体。然而,我们处理的是被覆盖对象(即比平常更强大的对手,我们利用我们的覆盖对象是语义安全加密方案的密文这一事实,来绕过我们为更广泛类别的隐写方案所展示的不可能结果。在假设存在伪随机信息的密钥交换协议(如Diffie-Hellman、Diffie-Hellman和实际上是随机的信息)。每个构造都利用了对手选择的加密方案的假定语义安全性,为了实现潜意识的沟通。

4月4日发布,2018年上午8:03查看评论

关于加密辩论的两篇新论文

似乎每个人都在写关于加密和后门的文章。

我最近写了一篇关于国家新学院报告关于同一主题。

这是一个回顾国家科学院的报告,和另一个东西研究所的报告。

编辑添加(3/8):评论关于EFF的国家学术研究。

发表于3月12日,2018年上午6:27查看评论

苹果将在中国存储加密密钥

苹果正屈服于中国政府的压力,存储加密密钥在中国。虽然我更希望它与中国站在一起,我真的不能责怪它把商业模式放在对客户隐私的渴望之上。

更多文章.

2月28日发布,2018年上午6:19查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。