标记为“加密”的条目

第8页共45页

卡利纳分组密码

卡里纳酒店是2015年成为乌克兰国家标准的分组密码。它支持128的块和键大小,256,和512位。它的结构看起来像AES,但针对64位CPU进行了优化,它有一个复杂的关键时间表。子弹的射程为10-18发,取决于块和键的大小。

有人提到在维基百科条目.和在这里其他提交标准的文件。

发表于3月28日,2017年上午6:26查看评论

关于加密解决方法的新论文

我写了一篇纸张和Orin Kerr一起解决加密问题。我们的目标不是提出任何政策建议。(这是件好事,因为我们可能在任何方面都不同意。)我们的目标是提出一种不同解决方法的分类法,并讨论它们的技术和法律特征及复杂性。

摘要:加密的广泛使用已经在许多刑事调查中触发了一个新的步骤:加密解决方案。我们将加密解决方案定义为任何合法的政府努力,以揭示被加密隐藏的目标数据的未加密版本。本文概述了加密解决方案。它首先对调查人员可能试图绕过加密方案的不同方式进行分类。我们将六种解决方法分类:找到钥匙,猜猜钥匙,强制按键,利用加密软件的缺陷,在设备使用时访问纯文本,找到另一份纯文本副本。对于每种方法,我们认为这是可行的,技术的,以及它的使用所带来的法律障碍。

本文的其余部分总结了有关加密解决方法的经验教训,以及在刑事调查中有关加密的更广泛的公众辩论。第一,加密解决方案本质上是概率性的。每次都不工作,没有一个可以被明确排除在每一次。第二个,不同解决方法所需的不同资源对执法具有显著的分配效应。有些技术价格低廉,许多执法机构经常使用;有些是复杂的或昂贵的,可能很少也只有少数人使用。第三个,强制第三方援助的法律权限范围将是一个持续的挑战。第四个,管理加密解决方法的法律仍然不确定,不发达。加密是否会成为游戏规则的改变者,还是速度的降低,取决于技术的改变和目前尚未解决的重要法律问题的解决。

纸完成了,但我们将在最终出版之前再次修订。感谢您的评论。

发表于3月22日,2017年上午6:23查看评论

中央情报局的“发展的手艺应该做和不应该做”

有用的最佳实践对于恶意软件作者,由中央情报局提供。似乎有很多好建议。

概述:

  • 对直接与工具功能相关的所有字符串和配置数据进行混淆或加密。在需要数据的时候,还应该考虑只对内存中的字符串进行去模糊处理。当不再需要以前的模糊值时,它应该从内存中清除。

    理由:字符串数据和/或配置数据对分析人员和逆向工程师非常有用。

  • 执行时不要立即解密或消除所有字符串数据或配置数据的混淆。

    理由:增加了自动动态分析二进制文件以查找敏感数据的难度。

  • 显式删除敏感数据(加密密钥,原始采集数据,外壳代码,上传的模块,等)一旦不再需要纯文本格式的数据,立即从内存中删除。不要依赖操作系统在执行终止时执行此操作。

    理由:增加了事件响应和法医审查的难度。

  • 请使用部署时间唯一键来混淆/消除敏感字符串和配置数据的混淆。

    理由:增加了分析同一工具多个部署的难度。

  • 删除所有调试符号信息,清单(msvc工件)构建路径,二进制文件的最终版本中的开发人员用户名。

    理由:增加了分析和逆向工程的难度,并删除用于属性/来源的工件。

  • 删除所有调试输出(例如调用printf(),outputDebugString(),等)从工具的最终构建开始。

    理由:增加了分析和逆向工程的难度。

  • 不要显式地导入/调用与工具的公开功能(即写入进程内存,虚拟分配,创建远程线程,etc-对于二进制文件,应该是记事本的替代品)。

    理由:降低了对二进制文件的潜在审查,稍微增加了静态分析和逆向工程的难度。

  • 不导出敏感函数名;如果二进制文件需要导出,使用序数或良性函数名。

    理由:增加了分析和逆向工程的难度。

  • 不生成故障转储文件,核心转储文件,“蓝色”屏幕,在程序崩溃的情况下,Dr Watson或其他对话框弹出和/或其他工件。在单元测试期间尝试强制程序崩溃,以便正确验证这一点。

    理由:避免最终用户和系统管理员怀疑,从而增加了事故响应和逆向工程的难度。

  • 不要执行会导致目标计算机对用户无响应的操作(例如CPU峰值,屏幕闪烁,屏幕“冻结”,等等)。

    理由:避免用户或系统管理员不必要地关注工具的存在和行为。

  • 尽一切合理的努力,尽量减少将上载到远程目标的所有二进制文件的二进制文件大小(不使用打包程序或压缩)。对于功能齐全的工具,理想的二进制文件大小应该小于150KB。

    理由:缩短整体“空中飞行时间”不仅要把工具瞄准目标,但要及时执行功能和清理。

  • 请提供完全“卸载”/“删除”的方法植入物,功能挂钩,注入螺纹,删除的文件,注册表项,服务,分叉过程,如有可能。显式文档(即使文档是“没有为此卸载 “)程序,所需权限和删除的副作用。

    理由:避免不必要的数据留在目标上。也,适当的文档可以使操作员更好地进行操作风险评估,并完全理解使用工具或工具的特定功能的含义。

  • 不要留下日期/时间,例如编译时间戳,链接器时间戳,构建时间,访问时间,等。这与美国的一般核心工作时间(即东部时间上午8点至下午6点)

    理由:避免与美国起源直接相关。

  • 不要将数据保存在演示CIA的二进制文件中,美国政府,或其智囊合作伙伴公司参与创建或使用二进制/工具。

    理由:敌方对二元/工具等的归属可能对过去造成不可逆转的影响,目前和未来的美国政府业务和股票。

  • 没有包含CIA和USG保险条款的数据,隔间,操作代码名称或其他CIA和USG专用术语。

    理由:敌方对二元/工具等的归属可能对过去造成不可逆转的影响,目前和未来的美国政府业务和股票。

  • 没有“脏话”(参见二进制文件中的脏词列表-tbd)。

    理由:脏话,比如黑客术语,可能导致对所讨论的二进制文件进行无根据的检查。

网络:

  • 对所有网络通信都要使用端到端加密。不要使用网络协议来破坏有效负载加密的端到端原则。

    理由:抑制网络流量分析,避免暴露操作/收集数据。

  • 不要仅仅依靠SSL/TLS来保护传输中的数据。

    理由:众多中间人攻击载体和公开披露的协议缺陷。

  • 不允许网络通信,如C2包,重新播放。

    理由:保护运营资产的完整性。

  • 使用ITEFRFC兼容的网络协议作为混合层。实际数据,必须在网络传输过程中加密,应通过众所周知的标准化协议(例如https)

    理由:定制协议对网络分析人员和IDS过滤器来说很突出。

  • 不要破坏用作混合层的RFC协议的遵从性。(即Wireshark不应将流量标记为断开或损坏)

    理由:中断的网络协议很容易在IDS过滤器和网络分析中脱颖而出。

  • 一定要使用信标/网络通信的可变大小和定时(也称为抖动)。不要以固定的大小和时间来预测发送数据包。

    理由:增加了网络分析和网络活动相关性的难度。

  • 正确清理网络连接。不要离开陈旧的网络连接。

    理由:增加了网络分析和事件响应的难度。

磁盘I/O:

  • 明确记录“磁盘法医足迹”这可能是由远程目标上的二进制/工具的各种功能创建的。

    理由:利用对潜在文件系统法医工件的了解,能够更好地评估操作风险。

  • 不要阅读,不必要地将数据写入和/或缓存到磁盘。了解可能隐式地将数据写入/缓存到磁盘的第三方代码。

    理由:降低了法医文物和潜在签名的可能性。

  • 不要将纯文本收集数据写入磁盘。

    理由:增加了事件响应和法医分析的难度。

  • 加密所有写入磁盘的数据。

    理由:掩盖文件意图(收集,敏感代码,等)并增加了法医分析和事件响应的难度。

  • 在从磁盘中删除文件时,请使用安全擦除,该文件的文件名最少会被擦除,日期时间戳(创建,修改和访问)及其内容。(注:“安全擦除”的定义文件系统不同,但至少应该执行一次零的数据传递。这里的重点是删除在法医分析过程中可能有用的所有文件系统工件)

    理由:增加了事件响应和法医分析的难度。

  • 不要执行磁盘I/O操作,否则会导致系统对用户失去响应或向系统管理员发出警报。

    理由:避免用户或系统管理员不必要地关注工具的存在和行为。

  • 不要使用“魔法页眉/页脚”用于写入磁盘的加密文件。所有加密的文件都应该是完全不透明的数据文件。

    理由:避免对自定义文件格式的魔力值进行签名。

  • 将文件写入磁盘时,不要使用硬编码文件名或文件路径。这必须由操作员在部署时配置。

    理由:允许操作员选择适合作战目标的正确文件名。

  • 对于写入加密的输出文件,具有可配置的最大大小限制和/或输出文件计数。

    理由:避免收集任务失控并填满目标磁盘的情况;这将引起对工具和/或操作的不必要注意。

日期/时间:

  • 在比较日期/时间时,请使用GMT/UTC/ZULU作为时区。

    理由:提供一致的行为并有助于确保“触发/信标/等”在需要时激发。

  • 不要使用以美国为中心的时间戳格式,如mm-dd-yyyy。通常首选YYMMDD。

    理由:保持工具之间的一致性,避免与美国交往。

PSP/AV:

  • 不要假设“免费”PSP产品与“零售”相同复制。尽可能对所有SKU进行测试。

    理由:虽然PSP/AV产品可能来自同一个供应商,尽管具有不同的SKU,但似乎具有相同的功能,他们不是。尽可能对所有SKU进行测试。

  • 尽可能使用实时(或最近实时)互联网连接测试PSP。注意:这可能是一个风险与收益的平衡,需要仔细考虑,不应该在开发软件中随意地完成。众所周知,具有实时互联网连接的psp/av产品可以并且可以根据不同的标准上传样本软件。

    理由:当连接到网络虎钳时,PSP/AV产品在行为和检测方面存在显著差异。

加密:nod发布加密标准:“ nod加密要求v1.1绝密.pdf“。除了这里提供的指导,该文件中的要求也应得到满足。

加密要求既复杂又有趣。我会将评论保存到另一个帖子中。

新闻文章.

发表于3月13日,2017年下午12:00查看评论

密码管理员错误

Linux加密应用程序CryptKeeper有一个惊人的安全漏洞:单字符解密密钥“P”解密所有内容以下内容:

有缺陷的版本在Debian 9(Stretch)中,目前在测试中,请但在Debian 8(Jessie)中没有。该错误似乎是由于与飞毛腿加密文件系统的命令行界面:cryptkeeper调用encfs并尝试使用模拟的“p”键进入偏执模式——相反,它将文件夹的密码设置为该字母。

2013年,我写了一篇文章关于一个组织如何设计一个完美的后门。这似乎更像是一个严重的错误,而不是蓄意的行动。太蠢了,太明显了。如果有人真的用过密码管理员,它早就被发现了。

2月7日发布,2017年上午9:50查看评论

WhatsApp安全漏洞

回到三月,罗尔夫·韦伯写了关于WhatsApp协议中存在一个潜在的漏洞,该漏洞允许Facebook通过强制更改用户密钥来击败完全的前向保密性,允许——或者更可能的是,政府--窃听加密信息。

似乎这个漏洞是真实的以下内容:

WhatsApp能够强制为离线用户生成新的加密密钥,消息的发送者和接收者不知道,并使发送方使用新密钥重新加密邮件,并对任何未标记为已送达的邮件再次发送它们。

收件人没有意识到加密的这种变化,虽然只有在设置中选择加密警告时才会通知发件人,只有在消息被重新发送之后。这种重新加密和重新广播有效地允许whatsApp拦截和读取用户的消息。

安全漏洞是托比亚斯·博尔特发现的,加利福尼亚大学的密码学和安全研究人员,伯克利。他对《卫报》说:“如果政府机构要求whatsapp披露信息记录,它可以有效地授予由于密钥更改而导致的访问权限。”

该漏洞不是信号协议固有的。打开低语系统的信息应用程序,信号,告密者Edward Snowden使用和推荐的应用程序,不会遭受同样的脆弱性。如果收件人在脱机时更改了安全密钥,例如,发送的消息将无法传递,并且在不自动重新发送消息的情况下,将通知发件人安全密钥的更改。

WhatsApp的实现会自动用一个新的密钥重新发送一个未传递的消息,而不预先警告用户或赋予他们阻止该消息的能力。

注意,这是对当前和未来消息的攻击,也不能让政府接触到过去。那样的话,这并不比政府用这种方式窃听你的手机和阅读你的WhatsApp对话更麻烦。

不知名的“WhatsApp发言人”他们说,为了可用性,他们以这种方式实现了加密:

在WhatsApp实施信号协议时,我们有一个“显示安全通知”设置(设置>帐户>安全性下的选项),当联系人的安全代码更改时通知您。我们知道发生这种情况的最常见原因是有人换了电话或重新安装了WhatsApp。这是因为在世界许多地方,人们经常更换设备和SIM卡。在这种情况下,我们要确保人们的信息被传递,在运输途中没有丢失。

他在技术上是正确的。这不是后门。这甚至不是一个缺陷。在这个特定的实例中,这是一个将可用性置于安全之上的设计决策。莫西·马林斯皮克,信号和WhatsApp加密基础的代码库的创建者,说得同样多以下内容:

在正常情况下,与最近更换设备或重新安装WhatsApp的联系人通信时,可能在发送客户机发现接收客户机有新的密钥之前发送消息。收件人的设备立即响应,并要求发送者使用接收者的新身份密钥对重新加密消息。发送方显示“安全号码已更改”通知,重新加密消息,并交付。

WhatsApp客户经过精心设计,不会重新加密已传递的邮件。一旦发送客户端显示“双重复选标记”,不能再要求它重新发送该消息。这可以防止任何危及服务器的人有选择地将先前传递的消息作为目标进行重新加密。

WhatsApp处理关键变更的事实并不是“后门”。这就是密码学的工作原理。任何试图截获由服务器发送的消息的尝试都会被发送方检测到,就像信号一样,前列腺素,或任何其他端到端加密通信系统。

唯一可能合理的问题是,这些安全号码更改通知是否应该“阻塞”或“不阻塞”。换句话说,当联系人的密钥更改时,如果WhatsApp要求用户在继续之前手动验证新密钥,或者whatsApp是否应显示建议通知并在不阻止用户的情况下继续。

考虑到WhatsApp用户群的规模和范围,我们认为他们选择显示非阻塞通知是合适的。它对用户通信的隐私提供透明和加密保证的信任,以及简单的用户体验。选择使这些通知“阻塞”会在某些方面使事情更糟.这将向服务器泄漏有关谁启用了安全号码更改通知,而谁没有启用的信息,有效地告诉服务器谁可以透明地进行MITM,谁不能进行MITM;他非常仔细地考虑过的事情。

这有多严重取决于你的威胁模型。如果你担心美国政府——或者任何其他可能对Facebook施加压力的政府——窥探你的信息,这是一个小漏洞。如果没有,那就没什么好担心的了。

斜线点线.黑客新闻线.博宁博宁邮递.更多在这里.

编辑添加(1/24):Zeynep Tufekci采用守护者任务因为他们报告了这个漏洞。(注:我在她的信上签字。)

编辑添加(2/13):漏洞解释由发现它的人。

这个这是对安全性/可用性权衡的一个很好的解释。

发表于1月17日,2017年上午6:09查看评论

双飞分析攻击

新建纸张:“对twofish键计划进行简单的电源分析攻击。”这不应该是一个惊喜;如果您不采取措施来缓解这些攻击,那么这些攻击将是毁灭性的。

一般的问题是,如果攻击者对执行加密的计算机有物理控制权,很难保证计算机内部的加密。我写了一篇关于这个的论文回到1999年。

1月12日发布,2017年上午6:28查看评论

信号如何逃避审查

信号,我喜欢的加密信息应用程序,埃及和阿联酋都被封锁了。最近,信号队开发了一个解决方案:域前向。

信号的新的反审查功能使用了一个叫做领域前沿,“马林斯派克解释说。像埃及这样的国家,只有少数几个小型互联网服务提供商受到政府的严格控制,可以阻止对黑名单上的服务的任何直接请求。但是,聪明的服务可以通过将流量隐藏在与主要互联网服务的加密连接中来规避这种审查,就像内容交付网络(cdn)承载的内容更接近用户,以加快他们的在线体验——或者在signal的情况下,谷歌的应用引擎平台,旨在在谷歌服务器上托管应用程序。

“现在,当埃及或阿拉伯联合酋长国的人们发出信号时,它看起来和谷歌搜索一样。马林斯皮克说。“这种想法是,使用信号就像使用谷歌;如果你想屏蔽信号,你就必须屏蔽谷歌。”

这种方法之所以有效,是因为谷歌的应用引擎允许开发者将流量从google.com重定向到他们自己的域名。谷歌使用的TLS加密意味着流量的内容,包括那个重定向请求,被隐藏,互联网服务提供商只能看到有人已经连接到google.com。从本质上讲,谷歌变成了一个信号代理,跳跃它的交通和愚弄审查。

这不是一个新把戏(Tor也用它,例如,但它确实有效。

12月28日发布,2016年上午6:20查看评论

职业PGP职位

几天前,我博客一个优秀论文由菲利波·瓦尔索达讲述他为什么放弃PGP。尼尔步行场写的很好的反驳。

我站在瓦尔索达这边。我不喜欢PGP,我尽量少用。如果我想和某人安全地沟通,我用信号。

12月22日发布,2016年上午7:59查看评论

美国众议院加密工作组年度报告

众议院司法委员会和众议院能源和商业委员会的加密工作组发布它的年度报告。

观察1:任何削弱加密的措施都会损害国家利益。

观察2:加密技术是一种全球技术,在全球范围内广泛且日益普及。

观察3:利益相关者的多样性,技术,其他因素在加密和“黑暗”方面造成了不同和不同的挑战。现象,因此,没有一个适合所有加密挑战的解决方案。

观察4:国会应促进执法界和技术公司之间的合作。

12月21日发布,2016年上午9:25查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。