标记为“加密”的条目

第6页共45页

新的国家学院关于加密政策的报告

国家科学院刚刚发表了解密加密辩论:决策者的框架”他说,“我想我应该去看看。”看起来很不错,虽然我还没读过。

还没有多少新闻或分析。请张贴您在评论中找到的任何链接,我在这里总结一下。

2月16日发布,2018年上午9:17查看评论

WhatsApp漏洞

WhatsApp中的新漏洞已被发现以下内容:

…研究人员发现了WhatsApp安全方面更为显著的差距:他们说,任何控制WhatsApp服务器的人都可以毫不费力地将新成员加入到另一个私人团体中,即使没有表面上控制对话访问的管理员的许可。

马修·格林有一个很好的描述以下内容:

如果你想要的只是TL;Dr,以下是标题发现:由于信号和WhatsApp的缺陷(我指出是因为我使用了它们)。理论上,陌生人可以将自己添加到加密的群聊中。然而,但需要注意的是,这些攻击在实践中极难实现,所以没人需要惊慌。但这两个问题都是可以避免的,而且往往会首先破坏拥有端到端加密协议的逻辑。

这是研究论文.

编辑添加(2/12):评论来自莫西·马林斯皮克,协议的开发人员。

1月25日发布,2018年上午6:47查看评论

对抗勒索软件

没有赎金了是勒索软件的密钥和应用程序的中央存储库,这样人们就可以在不付费的情况下恢复数据。还不完整,当然,但是对于旧的勒索工具来说还是相当不错的。该网站是欧洲石油公司的共同努力,荷兰警方,卡巴斯基,还有麦卡菲。

1月15日发布,2018年上午6:43查看评论

联邦调查局关于不安全通讯的另一项建议

副检察长罗森斯坦会谈他建议科技公司为了联邦调查局的利益减少通讯和设备安全。在一个最近的谈话,请他的想法是,科技公司只需保存一份纯文本:

执法部门还可以与私营企业合作,解决我们称之为“黑暗”的问题。技术越来越阻碍传统执法部门收集保护公共安全和解决犯罪所需证据的努力。例如,许多即时消息服务现在默认加密消息。阻止警察阅读那些信息,即使公正的法官批准他们的拦截。

这个问题尤其关键,因为电子证据对于调查网络事件和起诉犯罪者都是必要的。如果我们不能通过合法程序访问数据,我们不能做我们的工作。我们保护系统和起诉罪犯的能力取决于我们收集证据的能力。

我鼓励你仔细考虑你公司的利益以及你如何与我们合作。虽然加密有助于保护数据的安全,它还可能阻止执法机构保护您的数据。

加密是一个有价值的目的。它是数据安全的基础要素,对保护数据免受网络攻击至关重要。它对数字经济的发展和繁荣至关重要,我们支持它。我支持强而负责的加密。

我简单地认为,公司应保留向政府提供存储在设备上的通信和数据的未加密副本的能力,当法庭命令他们这么做的时候。

可靠的加密是有效的安全加密,加上接入能力。我们知道加密可以包括安全措施。例如,系统包括安全密钥的集中管理和操作系统更新;内容扫描,就像你的电子邮件,用于广告目的;同时向多个目的地发送消息;当用户忘记密码解密笔记本电脑时进行密钥恢复。没有人把这些功能称为“后门”。事实上,这些能力正是市场营销和寻求出来的。

我不认为政府应该强制规定一种确保访问的具体方法。政府不需要对工程进行微观管理。

问题是是否需要一个特定的目标:当法院发出搜查令或窃听令以收集犯罪证据时,公司应该能够提供帮助。政府不需要持有钥匙。

Rosenstein说的对,像Gmail这样的许多服务自然会将明文保存在云中。这是我们在2016年的论文中指出的:别惊慌”他说,“我想我应该去看看。”但是,迫使公司建立一种替代方法来访问用户无法控制的明文,这是一个巨大的弱点。

1月11日发布,2018年上午7:05查看评论

德国制定后门法

德国内政部长是准备账单这使得政府可以授权对后门进行加密。

没有关于这有多可能通过的细节。我很怀疑。

12月6日发布,2017年上午9:06查看评论

隐形油墨的新研究

它是更多的化学成分我无法理解:

基于“智能”的隐形墨水最近,荧光材料在数据加密/解密领域一直在发光(如果你能看到的话)。但有些材料昂贵或难以准备,其中许多油墨在环境光或紫外线照射下仍能保持一定程度的可见。李亮和上海交通大学的同事们可能想出了解决这些问题的办法。研究小组制备了一种无色的廉价铅基金属有机骨架(MOF)化合物溶液,并将其用于喷墨打印机,在纸上形成完全看不见的图案。然后,他们将纸暴露在甲基溴化铵解密溶液中……暴露出模式……他们用极性溶剂处理纸张,使图案再次隐形。

纸张.

11月10日发布,2017年上午6:06查看评论

联邦调查局增加了反加密言论

本月早些时候,副检察长罗德·罗森斯坦演讲警告说一个加密的世界是一个没有法律的世界——或者类似的世界。eff的kurt opsahl把它拆开相当彻底。

上周,联邦调查局局长克里斯托弗·雷伊说差不多一样.

这是一个不会死的想法。

10月27日发布,2017年下午2:45查看评论

针对Wi-Fi加密的新卡里克攻击

马西范霍夫刚刚发表了一篇对WPA2的毁灭性攻击,几乎所有Wi-Fi系统都使用14年前的加密协议。这是一次有趣的攻击,其中攻击者强制协议重用密钥。作者称这种攻击为“卡里克”,用于密钥重新安装攻击。

这是一系列市场化攻击中的又一次;名字很酷,一网站,请还有一个标志。网站上的问答回答了很多关于攻击及其影响的问题。还有很多很好的信息arstechica文章。

有一个学术论文,请也是:

“密钥重新安装攻击:强制在WPA2中重新使用nonce,”作者:Mathy Vanhoef和Frank Piesens。

摘要:我们介绍了密钥重新安装攻击。此攻击滥用加密协议中的设计或实现缺陷,以重新安装已在使用的密钥。这将重置键的相关参数,如发送nonce和接收重播计数器。攻击会影响几种加密Wi-Fi握手。所有受保护的Wi-Fi网络都使用4路握手来生成新的会话密钥。到目前为止,这个14岁的握手没有受到攻击,甚至被证明是安全的。然而,我们表明,4路握手易受密钥重新安装攻击。在这里,对手欺骗受害者重新安装已经在使用的钥匙。这是通过操纵和重放握手消息来实现的。重新安装钥匙时,相关参数(如增量传输包编号(nonce)和接收包编号(重放计数器)重置为初始值。我们的钥匙重新安装攻击也破坏了Peerkey,组键,以及快速的BSS转换(FT)握手。影响取决于被攻击的握手,以及使用中的数据保密协议。简化,对于AES-CCMP,对手可以重放和解密(但不能伪造)数据包。这使得劫持TCP流并向其中注入恶意数据成为可能。对于wpa-tkip和gcmp,影响是灾难性的:包可以重放,已解密,和锻造。因为GCMP在两个通信方向上使用相同的身份验证密钥,它尤其受到影响。

最后,我们在实践中证实了我们的发现,并且发现每个Wi-Fi设备都容易受到我们攻击的一些变体的攻击。尤其是,我们对android 6.0的攻击异常具有破坏性:它迫使客户机使用可预测的全零加密密钥。

我只是在读这个,在我学习的时候会发布更多的信息。

编辑添加:更多新闻.

编辑补充:这符合我对辉煌的定义。一旦有人指出攻击是显而易见的,但十多年来,没有人注意到这一点。

编辑添加:Matthew Green有一个博客文章在哪里出了问题。漏洞存在于两个协议之间的交互中。在元层面上,他指责不透明的IEEE标准过程:

IEEE的一个问题是,这些标准非常复杂,通过私人会议的闭门过程来制定。更重要的是,即使事后,他们是普通安全研究人员很难进入.继续搜索IETFTLSIPSec规范——您可以在谷歌搜索结果的顶部找到详细的协议文档。现在去谷歌搜索802.11i标准。祝你好运。

IEEE已经采取了一些小步骤来缓解这个问题,但他们是过度胆怯的渐进主义者。有一个叫IEEE的程序获取这使得研究人员可以免费获得某些标准(包括802.11)。但只有在他们公开了六个月之后——巧合的是,大约在同一时间,厂商需要将它们不可撤销地烘焙到硬件和软件中。

整个过程是愚蠢的,在这种特定的情况下,可能只会让整个行业损失数千万美元。它应该停止。

尼古拉斯·韦弗解释为什么大多数人不应该担心这一点:

所以除非你的Wi-Fi密码看起来像猫的发球(例如“:sneiufeli7rc”--一台电脑尝试了几百万次,这是无法猜测的,本地攻击者能够确定密码,解密所有通信,在卡里克之前加入网络。

克拉克是,然而,与企业Wi-Fi网络相关:最初需要接受加密证书才能加入并且必须提供用户名和密码的网络。krack代表了这些网络的一个新漏洞。根据一些深奥的细节,攻击者可以解密加密流量,在某些情况下,将流量注入网络。

但在这些情况下,攻击者都不能完全加入网络。其中最重要的攻击影响到Linux设备和Android手机,它们不影响Mac,iPhone,或Windows系统。即使可行,这些攻击需要物理上的接近:地球另一边的攻击者不能利用卡里克,只有停车场的攻击者才能。

编辑添加(11/13):到纸张的官方链接阻止匿名用户。这是替补队员。

10月16日发布,2017年上午8:39查看评论

ISO拒绝NSA加密算法

国际标准化组织已经决定不批准两种NSA设计的块加密算法:斯派克和西蒙.这是因为国家安全局不信任将安全置于监视之上:

他们中的一些人在互相的电子邮件中表达了他们的不信任,路透社看到,以及作为过程一部分的书面评论。这些怀疑很大程度上源于斯诺登披露的国家安全局内部文件,该文件显示,该机构此前曾密谋操纵标准并推广其可能渗透的技术。预算文件,例如,寻求资金“在商业加密系统中插入漏洞”。

参与西蒙和斯派克审批程序的十几位专家担心,如果国家安全局能够破解加密技术,它会得到一个“后门”进入编码传输,根据路透社的采访、电子邮件和其他文件。

“我不相信设计师,以色列代表Orr Dunkelman,海法大学计算机科学教授,告诉路透社,引用斯诺登的论文。“NSA有很多人认为他们的工作是颠覆标准。我的工作是确保标准。”

我不信任国家安全局,或者。

9月21日发布,2017年上午5:50查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。