标记为“加密”的条目

第9页共45页

谷歌发布加密测试套件

谷歌已经发布Wycheproof项目--一种测试套件,设计用于测试加密库,以抵御一系列已知的攻击。从A博客文章以下内容:

在密码学中,细微的错误会带来灾难性的后果,开源密码软件库中的错误经常重复出现,并且持续时间过长。良好的实施指南,然而,很难理解:理解如何安全地实现密码术需要消化数十年的学术文献。我们认识到软件工程师通过单元测试来修复和防止错误,我们发现许多密码问题都可以用同样的方法解决

工具已经找到超过40个安全漏洞在加密库中,哪些是(全部?主要是吗?)目前正在修复。

新闻文章.斜线点线.

12月20日发布,2016年上午6:12查看评论

放弃PGP

菲利波·瓦尔索达写了一封信优秀论文关于他为什么放弃PGP。我一直认为PGP比它的价值更麻烦。很难正确使用,容易出错。一般来说,电子邮件本质上是很难保证安全的,因为我们要求它并将其用于各种不同的用途。

瓦尔索达有不同的抱怨,它的长期秘密是不必要的风险来源:

但真正的问题是,我意识到,更微妙。我对我的长期钥匙的安全性从来没有信心。时间越长,我对任何一把钥匙都越感到不安。尤比基会暴露在酒店房间里。离线的钥匙会放在一个遥远的抽屉或保险箱里。漏洞将被公布。USB设备会被插入。

长期密钥在其生命周期中与安全实践的最小公分母一样安全。这是薄弱环节。

更糟的是,长期的关键模式,像在名片上收集签名和打印指纹,不鼓励有明显卫生习惯的做法:经常转动钥匙,不同的设备有不同的按键,划分。这种做法实际上鼓励通过备份密钥来扩展攻击面。

他和我都喜欢加密信息,信号或OTR。

编辑添加(1/13):更多PGP批评.

12月16日发布,2016年5:36 AM查看评论

我未来四年的工作重点

像很多人一样,唐纳德·特朗普当选总统让我感到惊讶和震惊。我相信他的想法,性情,缺乏经验对我们的国家和世界构成严重威胁。突然间,相比之下,我计划做的所有事情都显得微不足道。尽管互联网安全和隐私不是最重要的风险政策领域,我相信他——而且,更重要的是,他的内阁,行政管理,国会将在该领域产生毁灭性的影响,在美国和世界各地。

选举如此接近,以至于我把结果看成是一个糟糕的掷骰子。这里和那里的一些小调整——一个更热情的桑德斯认可,Comey的声明少了一个,稍微少一点俄罗斯参与--这个国家将为克林顿的总统任期做准备,讨论一个完全不同的社会故事。另一种说法会像往常一样强调生意,继续掩盖我们社会深层次的社会问题。这些问题不会自己消失,在另一个未来,它们会继续在地表下溃烂,越来越糟。这次选举让每个人都看到了这些问题。

我花了最后一个月的时间来适应这个现实,思考未来。以下是我未来四年的新议程:

一个,打架吧。将有更多的政府监督和企业监督。我预计立法和司法斗争将沿着几条线展开:联邦调查局再次要求秘密进入加密领域,在没有授权的情况下为政府黑客提供更多的空间,没有对公司监控的控制,以及政府对企业数据的更多秘密要求。我希望其他国家能效仿我们。(英国已经更极端如果在特朗普的监督下发生重大恐怖袭击,我们的自由将会是开放的季节。我们可能会输掉很多战斗,但我们需要尽可能少地失去我们现有的自由。

两个,为那些战斗做准备。未来四年的大部分时间将是被动的,但我们可以做些准备。我们越能说服美国公司删除他们保存的监控数据档案,只存储他们需要的东西,只要他们需要,我们都会越安全。我们需要说服像谷歌和Facebook这样的互联网巨头改变他们的商业模式远离监视资本主义。这是一个艰难的买卖,但也许我们可以在边缘咬一口。同样地,我们需要继续坚持隐私和安全不是对立的真理,但对彼此来说却是必不可少的。

三个,为更美好的未来奠定基础。不管接下来的四年有多糟糕,我不相信特朗普政府会永久性地终止隐私,自由,以及美国的自由。我不相信这预示着我们的民主制度会发生根本性的变化。(或者如果有,我们的问题比一个自由和安全的互联网还要严重。)确实,特朗普的一些体制改革可能需要几十年才能消除。即便如此,我有信心——甚至乐观——美国终将复苏;当那一刻到来时,我们需要有好的想法让人们来。这意味着对基于非监控的互联网商业模式的建议,研究保护隐私的有效执法,公司如何收集和利用我们的数据的智能限制,等等。

四个,继续解决实际问题。网络犯罪的严重安全问题,网络间谍活动,网络战争,物联网,算法决策,外国干涉我们的选举,在我们忙于与特朗普的过分行为作斗争的时候,这样的事情不会消失四年。我们需要继续朝着更安全的数字未来努力。在一定程度上,我们的军事网络和关键基础设施的网络安全与每个人的网络安全结盟,我们可能会有一个盟友在特朗普。

这是我的四个领域。在克林顿政府的领导下,我的单子看起来差不多。特朗普的当选意味着威胁会更大,而战斗更难取胜。这是我自己无法做到的,因此,我大幅增加了每年的慈善事业,以支持像Epic这样的组织,效率,美国公民自由联盟,现在可以继续他们在这些领域的工作。

我的议程必须完全集中在我所关注的特定领域。一个特朗普总统的风险要严重得多,但这正是我的专长和影响力所在。

马上,我们有一个失败的多数。很多人害怕,许多人是有动机的,而很少有人能建设性地运用他们的动机。我们需要利用这种恐惧和能量,现在开始修复我们的社会,不是等四年甚至八年,在这一点上,问题会更加严重,解决方案也会更加极端。我选择像牛痘一样继续下去,不是天花:今天与良性疾病作斗争要比将来使自己更容易遭受更致命的形式。在接下来的四年里,要保持这种强度是很困难的,但我们需要开始工作。让我们用特朗普的胜利作为唤醒和机会。

12月15日发布,2016年凌晨3:50查看评论

让我们加密使网络加密更容易

这是一个结论研究论文以下内容:

一旦[成本和复杂性]消除,它使大型主机提供商能够批量为其客户颁发和部署证书,因此,可以快速自动地跨大量域启用加密。例如,我们已经表明,目前,47%的认证域名托管在三家大型托管公司(automatic/wordpress.com,购物,和ovh)。

纸张:“没有留下域:让我们加密民主加密吗?他说:“这是一个很好的选择。”

摘要:2013年国家安全局披露的普遍监控导致了“加密热潮”整个计算机和互联网行业。为了防止大规模监视和保护用户隐私,供应商,托管和云提供商在其硬件上广泛部署了加密技术,通信链路,和应用程序。因此,现在大部分的网络流量都是加密的。然而,仍然有很大一部分互联网流量没有加密。有人认为,获取和部署X.509证书的成本和复杂性是广泛加密的主要障碍,因为这些证书是建立加密连接所必需的。为了解决这些问题,电子前沿基金会,Mozilla基金会密歇根大学也成立了让我们加密(le),请提供免费X.509证书和自动部署这些证书的软件的证书颁发机构。在本文中,我们调查如果Le在加密民主化方面取得了成功:我们分析了年第一年的证书颁发情况。从不同角度展示采用率呈上升趋势,事实上它成功地覆盖了托管市场的低成本端。

Reddit公司线.

12月14日发布,2016年上午6:46查看评论

确保特朗普政府的通信安全

Susan Landau有一个优秀论文关于为什么在我们的计算机和通信系统上使用无后门加密比以往任何时候都重要。

保护言论隐私对于维护我们的民主至关重要。我们生活在跟踪一个人——一个记者的时代,政治反对派成员,一个参与和平抗议或倾听他们交流的公民比人类历史上任何时候都要容易得多。双方的政治领导人现在都有责任确保通信和设备的安全。这意味着不仅要支持保护言论自由和通讯的法律,但也有这样做的技术:端到端加密和安全设备;这也意味着要合理地拒绝前门异常出入.在选举之前有很强的力量,声音安全参数拒绝此类提议。现在隐私权的争论,突然间,也变得非常重要。受到威胁的威权主义意味着我们需要技术保护来保护我们的私人通信,就像我们现在需要的法律保护一样。

不幸的是,这一趋势正朝着另一个方向发展。英国只是通过《调查权法》,给了警察和情报机构难以置信的广泛的监督权力,而很少有监督。还有一些自由刚刚报告的“克罗地亚,意大利,拉脱维亚,波兰和匈牙利都希望制定一项欧盟法律,帮助其执法当局获取加密信息,并与其他国家的调查人员共享数据。”

11月23日发布,2016年下午2:01查看评论

美国国家安全局B组密码学举报调查报告

国家安全局一直在放弃秘密和专有密码算法,转而采用商业公开算法,一般称为”套房B”他说,“我想我应该去看看。”2010年,一名国家安全局的雇员提出了某种告密投诉,声称此举既不安全又浪费。美国国防部总检察长调查并写了一份报告2011年。

这份报告——稍微修订和解密——发现没有任何不当行为。但该报告是一个进入国家安全局算法选择和测试系统的有趣窗口(第5页和第6页)。以及他们如何调查告密者的投诉。

11月9日发布,2016年下午12:00查看评论

自蔓延智能灯泡蠕虫

这个正是这种物联网攻击让我担心:

“物联网走向核:创造一个ZigBee连锁反应”埃亚尔·罗南,科林·奥林恩,阿迪·沙米尔和阿奇或温加滕。

摘要:在未来几年内,数以亿计的物联网设备将密集分布在我们的城市。在本文中,我们描述了一种新的威胁类型,在这种威胁中,相邻的物联网设备将通过一种核链式反应在大面积爆炸性蔓延的蠕虫相互感染。前提是兼容物联网设备的密度超过了一定的临界质量。特别地,我们使用流行的飞利浦色调智能灯作为平台,开发并验证了这种感染。虫子从一盏灯直接跳到它的邻居身上,仅使用其内置的ZigBee无线连接和物理邻近性。攻击可以从在城市的任何地方插入一个受感染的灯泡开始,几分钟内灾难性的蔓延到各处,使攻击者能够打开或关闭所有城市灯光,永久性的砖头,或者利用它们进行大规模的DDOS攻击。为了证明所涉及的风险,我们利用渗透理论的结果来估计一个典型城市(如巴黎,面积约105平方公里)的安装设备的临界质量:如果整个城市随机放置的智能灯少于15000盏,连锁反应就会失败。但当数量超过临界质量(几乎可以肯定已经超过临界质量)时,会扩散到任何地方。

为了使这种攻击成为可能,我们必须找到一种方法从他们现有的网络中远程拔掉已经安装好的灯,并执行无线固件更新。我们通过发现和开发ZigBee Light Link协议中TouchLink部分的主要缺陷,克服了第一个问题,应该通过接近测试来阻止这种尝试。为了解决第二个问题,我们开发了一个新版本的侧通道攻击,以提取飞利浦用于加密和验证新固件的全局AES-CCM密钥。我们只使用了几百美元的现成设备,并且在没有看到任何实际更新的情况下找到了这个密钥。这再次表明,即使对于使用标准加密技术保护主要产品的大型公司,获得安全权限也是多么困难。

编辑添加:BoingBoing邮递.斜线点线.

11月9日发布,2016年上午6:54查看评论

教神经网络加密

研究人员训练加密通信的神经网络。

在他们的实验中,计算机可以通过机器学习来实现自己的加密形式,不需要学习特定的密码算法。加密非常基础,尤其是与我们目前人类设计的系统相比。即便如此,对于神经网络来说,这仍然是一个有趣的步骤,作者指出,“一般来说并不意味着擅长密码术。

这个故事更多的是关于人工智能和神经网络,而不是关于密码学。算法不太好,但这是我听到的一个很好的例子施耐尔定律“:任何人都可以设计自己无法破解的密码。

研究纸张.注意,研究人员在谷歌工作。

11月3日发布,2016年上午6:05查看评论

恢复iPhone 5C密码

还记得圣贝纳迪诺杀手的iPhone吗?联邦调查局是如何坚持说,如果苹果不给他们提供一个通用的后门,他们就无法获得加密密钥的?我们许多计算机安全专家说他们错了,请他们可以使用几种可能的技术。其中一个是手动从手机中取出闪存芯片,提取内存,然后在不担心手机删除密钥的情况下进行暴力攻击。

联邦调查局说这是不可能的。我们都说他们错了。现在,谢尔盖·斯科罗波加托夫证明了他们的错误。这是他的纸张以下内容:

摘要:本文简要概述了iOS9下苹果iPhone5C密码重试计数器受到的真实镜像攻击。实现这一点的方法是将样本手机的NAND闪存芯片解封,以便物理访问其与SOC的连接,并对其专有总线协议进行部分反向工程。该工艺不需要任何昂贵和复杂的设备。所有需要的零件都是低成本的,并且是从当地的电子产品分销商那里获得的。通过使用描述的成功硬件镜像过程,可以绕过密码重试次数的限制。这是第一次公开演示iPhone5C的工作原型和真正的硬件镜像过程。虽然工艺可以改进,它仍然是概念项目的成功证明。了解镜像的可能性一定有助于设计具有更好保护的系统。此外,还发现了一些与iPhone5C中的NAND内存分配相关的可靠性问题。本文概述了未来的研究方向,并提出了一些可能的对策。我们指出,iPhone5C和NAND镜像不可行的说法是不明智的。

苏珊·兰多解释为什么这很重要:

故事的寓意?不是,正如联邦调查局所要求的,为了更容易访问加密通信的账单,如拟议修订伯尔·范斯坦·比尔.这样的“解决方案”会让我们更不安全,不多了。相反,我们需要提高执法部门处理加密通信和设备的能力。这也将需要更多的资金,以及重新努力。提高我们设备的安全性,同时提高执法能力,是确保比特币安全的唯一明智做法,是否健康数据,请财务信息,请或私人电子邮件,请已经变得极为重要。

或者:FBI需要计算机安全专业知识,不是后门。

帕特里克·鲍尔写入关于后门的危险。

编辑添加(9/23):好文章来自经济学家.

9月15日发布,2016年上午8:54查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。