Správa šifrování platformu pro ochranu v hybridních mraky 2.3.2014 Šifrování Výše Solutions oznámila přidání CloudLink SecureVM a CloudLink SecureFile moduly na šifrování platformě CloudLink. Sčítání navazovat na stávající CloudLink SecureVSA a poskytnout výše zákazníkům flexibilitu k šifrování vrstvy na více místech v cloud computingu zásobníku s úložným prostorem, virtuální stroj soubor a řešení na úrovni aplikace nasazena a řízena ze společného rámce.
CloudLink poskytuje šifrování nadaci, která chrání důležitá data v celé řadě případů užití z jedné integrované platformy. CloudLink integrace s předními průmyslovými hypervisor a cloudových platforem umožňuje IT osobní efektivně nasadit bezpečnostní kontroly na všech úrovních infrastruktury. Čistý dopad je lepší regulace, nižší celkové náklady na vlastnictví a zlepšit obchodní agility zabezpečit citlivá data a objetí oblak s důvěrou. přidání dvou nových šifrovacích CloudLink modulů poskytuje zákazníkům větší flexibilitu nasazení tím, že nabízí více granulární bezpečnostní kontroly pro širší rozsah použití pouzdra na zajištění hostované pracovní plochy / DAAS a podnikových aplikací. CloudLink SecureVM řeší kritickou potřebu chránit integritu objem zavazadlového prostoru jak pro aplikační server a VDI obrázků strojů ve virtualizovaných a cloudových prostředích veřejných tím, že poskytuje bezpečnou autentizaci pre-boot a šifrování svazků. CloudLink SecureFile umožňuje jemnozrnné politiku zaměřit šifrování citlivých aplikací, jako jsou Microsoft SQL Server, SharePoint, Exchange a aplikací sady Office s unikátními šablon aplikací, které zjednodušují nasazení zabezpečení. Úroveň šifrování SecureFile soubor je také speciálně navrženy tak, aby podporovaly vysoce škálovatelné souborové servery poskytující rozlišovací potřebné k zachování své pokročilé možnosti správy souborů. Jako citlivější pracovní zátěž přesunout do cloudu, poskytovatelé služeb, jako například práva duševního vlastnictví International, která je předním poskytovatelem IaaS, zotavení po havárii a ochrany dat, je využití CloudLink nabízet šifrování jako služba (EaaS) jako služby s přidanou hodnotou na vrcholu svých výpočetních a úložných nabídky. "nám CloudLink poskytuje na správu šifrování platformu, která nám umožňuje poskytovat EaaS zajistit široký Řada iniciativ zákazníka, včetně hostovaných virtuálních desktopů, aplikací a databázových serverů a virtualizované úložiště, "řekl Bryan Dürr, ředitel práv duševního vlastnictví v architektury produktu. "Snadné zákazník provisioning a pokročilé možnosti zabezpečení, které kladou klíčové kontroly v rukou našich zákazníků nám umožňují nabízet prvotřídní bezpečnostní službu, která napomůže důvěru zákazníků a přijetí cloudu."
60% podniků opírajících se o administrátoři self-policejní SSH klíčů 28.2.2014 Šifrování Podniky tolerovat chyby zabezpečení tím, že otevřené dveře, přístup na úrovni kořenového adresáře, podle nové zprávy Ponemon Institute. 46% z 1854 respondentů jejich servery a sítě jsou ponechány otevřené a mohou být vlastněny navždy útočníky, protože se jim nepodaří otočit SSH klíče. Není divu, že 51% organizací uvedlo již porušena útokem pomocí SSH. Tento otvor v podnikové bezpečnosti neprošla bez povšimnutí. Nedávno odhalil provoz Maska krade SSH klíče vydávat, sle, sbírat, a dešifrovat komunikaci svých cílů "a data. Pokud SSH klíče jsou nahrazeny po průniky, jako masky útoky, podnikové sítě zůstávají ve vlastnictví útočníků. Výzkum Ponemon také zjistil, že 60% organizací se nepodařilo odhalit nepoctivé SSH klíče na svých sítích, protože správcům systému self-policejní SSH klíče pomocí manuální procesy. "Často se podíváme na širokou škálu různých bezpečnostních IT problémy, které mají dopad globální organizace. Tato studie vyniká jak to ukazuje poškození, které jeden, nechráněný SSH klíč může způsobit, "řekl Dr. Larry Ponemon, předseda a zakladatel Ponemon Institute. "Ačkoli SSH klíče zabezpečení IT technologií, které jsou často neřešení v rukou široké škály správce, které nejsou v teorii nebo praxi, odborníků v oblasti bezpečnosti IT. Toto malé špinavé tajemství, odhalila průzkumu, je dalším důkazem, že kořen přístup k světově nejvíce citlivých údajů je široce dostupný a velmi nechráněná, takže mnoho organizací otevřený věčným kybernetickým útokům a kompromisů. " "generální ředitelé, CIO, CISO a ostatní IT bezpečnost manažeři jsou tolerantní k bodu šílenství, pokud jde o kontrolu, ochranu a detekci SSH, nejpoužívanější zabezpečení a ověřování technologií mezi administrátory, servery, a mraky, "řekl Venafi CEO Jeff Hudson. "To je nebezpečná situace, podobný na což lišek klíče od slepice domů. Mají povoleno zabezpečení SSH na vymknout kontrole, což ve skutečnosti staví jejich organizace v ohrožení. Celková neschopnost reagovat na porušení otáčením všech SSH klíče znamená, CISO je třeba více investovat do buldozery jejich datových centrech než firewallů, "dodal Hudson.
Geografické hesla jako řešení problému heslo 26.2.2014 Šifrování . Masivní narušení bezpečnosti osobních údajů, které se stalo v posledních letech prokázaly nade vší pochybnost, že metoda ověřování znění heslo má mnoho nedostatků, výzkumní pracovníci a podniky, které pracují na alternativy k této chybné systému zabezpečení se však z mnoha různých režimů: obrázky a grafikou na bázi hesla, inkblot na základě hesla , pass-myšlenky , a tak dále. Všechny tyto přístupy hledají způsob pro uživatele vytvořených hesel, které budou jedinečné a snadno zapamatovatelné pro uživatele, ale je obtížné odhadnout, a / nebo přerušit pro útočníky. Poslední z těchto pokusů byl popsán počítačovým vědcem Zijad Al- Salloum ze ZSS-výzkum v Ras Al Khaimah, Spojené arabské emiráty. Věří, že "geografické" hesla jsou řešením problému (kliknutím na screenshotu pro zvětšení): . Tento přístup počítá s tím, že uživatelé mohou snadněji pamatovat oblíbené místo, které složité heslo, které si vybrali sami Pomocí tohoto systému, uživatel by si vybral místo na mapě - pozice stromu má rád k odpočinku pod, památník se mu líbí na návštěvu, místo, kde zažil svůj první polibek a tak dále -., a nakreslete hranici kolem něj "Volba zeměpisné oblasti, může být provedeno s použitím různých způsobů a tvarů, uživatel - například - můžete umístit kruh kolem svého oblíbeného hory, nebo polygon kolem svého oblíbeného souboru stromů, pro příklad, "vysvětluje Al-Salloum. "Bez ohledu na to, jak jsou vybrané geografické oblasti, geografické informace, které mohou být řízeny z těchto oblastí (jako je zeměpisná šířka a délka, nadmořská výška, plochy, obvodu, bocích, andělé, poloměr, nebo jiné) tvoří geografickou heslo. " Všechny tyto informace slouží k "vypočítat" heslo, které pak dostane "solené" s uživatelsky specifické náhodný řetězec znaků, a to vše dohromady dostane "hash" na konci. . Tímto způsobem různí uživatelé budou účinně nikdy mít stejné heslo Tento typ hesla má mnoho výhod: jsou snadno zapamatovatelné a těžké na to zapomenout, různorodé, a jen těžko předvídat. A podle Al-Salloum, "navrhuje efektivní výměnu běžných hesel by mohlo snížit 76% z narušení dat, na základě analýzy více než 47.000 nahlášených bezpečnostních incidentů.
NSA snooping: návrhy EP tabulky na ochranu soukromí občanů EU 24.2.2014 Špionáž Evropský parlament by měl odepřít svůj souhlas k obchodní dohodě mezi EU a USA, pokud plně respektuje datový soukromí občanů EU, říká zpráva poptávku na NSA a členské státy EU sledování občanů EU, schválen Výborem pro občanské svobody ve středu. Dodává, že pravidla pro ochranu údajů by měly být vyloučeny z obchodních jednání a sjednat samostatně s USA.
Text, schválil 33 hlasy pro, 7 členů se zdrželo hlasování s 17, odsuzuje "rozsáhlé, systematické, plošné shromažďování osobních údajů o nevinných lidí, často zahrnující intimní osobní údaje" a dodal, že "boj proti terorismu nemůže být nikdy důvodem pro necílené , tajné nebo dokonce nelegálních programů hmotnost dozoru ". "Nyní máme komplexní text, který poprvé spojuje in-hloubkové doporučení týkající se tvrzení Edwarda Snowdena ze dne NSA špionáže a akční plán pro budoucnost. Zpráva Výbor pro občanské svobody přišel na rozhodující čas, spolu s obviněními Snowdena a nařízení EU o ochraně údajů. Doufám, že tento dokument bude podpořena plnou parlamentu a Rady, že bude trvat déle než do příštího mandátu Evropského parlamentu ", řekl zpravodaj Claude Moraes (S & D, UK ), po hlasování. musí být zajištěna ochrana údajů vyloučeny z obchodních jednání souhlas Parlamentu k závěrečné transatlantického obchodu a investic partnerství (TTIP) dohodu s USA "by mohl být ohrožen, pokud činnosti deka hmotnost dozoru a odposlech komunikace v institucích EU a diplomatická zastoupení, nejsou zcela zastavena a adekvátní řešení pro práva na ochranu osobních údajů občanů EU, včetně správní a soudní nápravy nebyl nalezen ", poslanci říkají. Evropský parlament by proto měl odepřít svůj souhlas s dohodou o TTIP, pokud plně respektuje základní práva zakotvená v Charta EU, text doplňuje, zdůrazňuje, že ochrana údajů by měla být vyloučena z obchodních jednání. Poslanci vyzývají k "okamžitému pozastavení" zásad bezpečného přístavu ochrany osobních údajů (dobrovolné normy pro ochranu údajů pro firmy ze zemí mimo EU se převádějí občanů EU "osobní údaje do USA). Tyto zásady "neposkytují dostatečnou ochranu pro občany EU," tvrdí poslanci, které přiměly USA, aby navrhla nová pravidla pro předávání osobních údajů, které splňují požadavky EU na ochranu údajů. Programu sledování financování terorismu (TFTP) dohoda by měla být pozastavena, dokud tvrzení, že USA orgány mají přístup do bankovních údajů občanů EU mimo dohody jsou objasněny, říkají poslanci. Rámec ochrany údajů dohoda mezi EU a USA, aby byl udeřen na jaře roku 2014, musí zajistit řádné soudní nápravy pro občany EU, jejichž osobní údaje jsou předávány do USA, oni přidají. Digitální "novou dohodu" EU potřebuje "digitální novou dohodu", na být doručeny do společného úsilí institucí EU, členských států, výzkumnými institucemi, průmyslem a občanskou společností, tvrdí poslanci s tím, že některé telecoms firmy jasně zanedbané bezpečnosti IT a jejich uživatelů a klientů. Poslanci rovněž naléhá na členské státy, aby urychlily práci o návrhu reformy právních předpisů na ochranu dat v EU tak, aby mohl být schválen do konce letošního roku. Důvěra v USA cloud computing a cloud poskytovatelů byl poškozen praktikami dozoru, poslanci na vědomí. Navrhují, že Evropa by měla rozvíjet své vlastní mraky a IT řešení s cílem zajistit vysokou úroveň ochrany osobních údajů. Berou na vědomí, že do roku 2016, cloud trhu je pravděpodobné, že by stálo za 207000000000dolarů ročně dvojnásobek 2.012 value. informátor EU a ochrana nosičů programu Usnesení vyzývá Evropskou komisi, aby prověřila, zda budoucí právní předpisy EU o zřízení "evropského program na ochranu informátor "by měl zahrnovat i další oblasti pravomocí EU", se zvláštním důrazem na složitosti whistleblowing v oblasti inteligence ". Členské státy EU jsou rovněž požádáni, aby zvážili udělení informátorů mezinárodní ochranu, stíhání. Poslanci také citují zadržení ve Velké Británii Davida Miranda a zabavení materiálu v jeho vlastnictví podle zákona Spojeného království terorismu a jeho požadavku, aby Guardian noviny předání nebo zničení takového materiálu. Vidí tyto akty jako "možný vážný zásah do práva na svobodu projevu a svobodu sdělovacích prostředků", jak bylo uznáno Evropskou úmluvou o lidských právech a Listiny základních práv EU. Země EU by měly kontrolovat své vlastní tajné služby, Velká Británie, Francie, Německo, Švédsko, Nizozemsko a Polsko by mělo objasnit tvrzení o hromadný dozor - včetně případných dohod mezi zpravodajskými službami a telekomunikačních firem na přístup k výměně osobních údajů a přístup k transatlantických kabelů - a jejich soulad s právními předpisy EU, říká. Ostatní země EU , zejména těch, které se podílejí na "9-oči" (Velká Británie, Dánsko, Francie a Nizozemsko) a "14-oči" opatření (tyto země a Německo, Belgie, Itálie, Španělsko a Švédsko) se rovněž vyzývají, aby přezkoumaly své vnitrostátní zákony a postupy, kterými se řídí činnost zpravodajských služeb, aby bylo zajištěno, že jsou předmětem parlamentní a soudní dohled a veřejné kontrole a že jsou v souladu se závazky v oblasti základních práv. Poslanci považují za dvoustranné dohody, "anti-špionážní" uzavřené nebo v rámci jednání mezi některými zemí EU (Velká Británie, Francie a Německo) a USA je "kontraproduktivní a irelevantní, vzhledem k potřebě evropského přístupu k tomuto problému".
Použití šifrování stále roste 22.2.2014 Šifrování Použití šifrování i nadále růst v reakci na obavy spotřebitelů, předpisy ochrany osobních údajů shodě a na-děje kybernetickým útokům, a přesto stále existují velké problémy v provádění šifrování dat politiky, podle studie Ponemon Institute.
Klíčová zjištění: Stálý nárůst v nasazení šifrování s 35% organizací s podnikovou široký šifrování strategii Většina organizací nasadit šifrování pro zmírnění dopadu narušení dat Číslo jedna vnímaná hrozba k citlivým údajům je zaměstnanec chyby a nikoli útokem zvenčí Dva největší výzvy, kterým čelí organizace, které vykonávají šifrování dat politiky se neví, kde citlivá data uložena a řízení skutečnou technologii Správa klíčů identifikován jako hlavní problém více než polovina organizací Organizace s nejvyšším bezpečnostním pozici jsou nyní třikrát větší pravděpodobnost, že mají formální strategii šifrování než ty s nejnižším bezpečnostní pozici. Výsledky studie ukazují, že byl trvalý růst v nasazení šifrovacích řešení používaných organizacemi za posledních devět let, s 35% organizací má nyní šifrovací strategie důsledně uplatňována v celém podniku ve srovnání s 29% v loňském roce. Průzkum také ukázal, že pouze 14% dotazovaných organizací nemají šifrování strategie ve srovnání s 22% v loňském roce. Poprvé primární ovladač pro nasazení šifrování ve většině organizací je snížit dopad narušení dat, zatímco v předchozích letech Hlavním problémem bylo chránit značku nebo pověst organizace. Z těch organizací, které se domnívají, že mají povinnost zveřejňovat údaje porušování téměř polovina domnívat, že šifrování dat zajišťuje jejich bezpečný přístav, který nevyžaduje nutnost zveřejnit, že došlo skutečně k porušení. Nejrychleji rostoucí důvod, proč organizace nasazování šifrování je, aby bylo zajištěno, že splní své závazky na soukromí svých zákazníků se na zájmy svých zákazníků 42% organizací se zaměřuje spíše než pro jejich vlastní prospěch, který se zvýšil o 5% ve srovnání s loňským rokem . Číslo jedna vnímaná hrozba pro vystavení citlivých nebo důvěrných dat zůstává zaměstnanců chyby, podle 27% respondentů. Jsou-li zaměstnanec chyby v kombinaci s náhodným systém nebo proces poruch, obavy z nechtěného vystavení převažují obavy skutečných škodlivými útoky o více než 2 TO1. Kromě toho, nucené zveřejnění spouštěné žádosti e-discovery nyní představují druhý nejvyšší vnímanou hrozbu ke ztrátě citlivých dat. Když se ptali, kde je použito šifrování, organizace zařadil záložní pásky a databází, jako nejdůležitější následuje šifrování v síti a šifrování notebooku. Cloud šifrování měla relativně nízké hodnocení ve srovnání s jinými případy použití šifrování pořadí u vrcholu 10. Dva největší výzvy, kterým čelí organizace, provádění šifrování dat politiky byly objevování, kde citlivá data skutečně bydlí, uvádí 61% respondentů, a schopnost nasazení šifrovací technologie efektivně, uvádí 50% respondentů. Správa klíčů byl identifikován jako hlavní problém s více než polovina dotazovaných organizací hodnocení celkové výzvy spojené se správou klíčů nebo certifikátů na více než 7 na stupnici od 1 do 10 (10 je nejvyšší) a 30% organizací hodnotili výzvu na 9 nebo 10. Zatímco tři čtvrtiny organizací identifikovány správu klíčů jako formální disciplíny v rámci své organizace, více než 70% z těchto organizací se nepodařilo alokovat specializované pracovníky nebo nástroje pro úkol řízení tlačítky. Standardní Key Management Interoperability Protocol (KMIP), který umožňuje organizacím nasadit centralizované systémy správy šifrovacích klíčů, které trvají více případů užití a zařízení dodavatele, již vytvořila poměrně vysokou úroveň informovanosti mezi IT a bezpečnostní odborníci v oblasti IT. KMIP je vnímán být rostoucí význam a očekává se, že přispěje k šifrování a klíčových strategií řízení specificky kolem mraků, skladování a šifrování na úrovni aplikace. Více než polovina dotázaných uvedla, že standardní KMIP bylo důležité v cloudu šifrování ve srovnání s 42% v loňském roce. Technické bezpečnostní moduly (HSM), jsou stále považovány za důležitou součást klíčové strategie řízení. . Tato zařízení se používají k ochraně kritické zpracování údajů a klíče vysoké hodnoty a mohou být použity pro silně prosazovat bezpečnostní politikách a řízení přístupu Richard Formy, viceprezident pro strategii v Thales e-Security říká: "I když klíč řízení může být vznikající jako bariéra k šifrování nasazení, to není nový problém. Problémy spojené se správou klíčů již byly řešeny v silně regulovaných odvětvích, jako je zpracování plateb, kde se osvědčené postupy jsou dobře osvědčený a snadno se může převést do různých jiných vertikál. S více než 40 let zkušeností poskytuje klíčové řešení pro správu. Thales je ideálně umístěn na pomoc organizacím znovu posoudit a přehodnotit jejich bezpečnostní šifrovací klíč a správu infrastruktury a dodávat řešení, která zajistí jejich integritu a důvěryhodnost. " Více než 4.800 podnikání a IT manažeři byly zjišťovány v USA, Velké Británii, Německu, Francii , Austrálie, Japonsko, Brazílie a poprvé v letošním roce Rusko, zkoumat globální šifrování trendy a regionální rozdíly v použití šifrování. Výsledky z Ruské průzkumu ukázaly, přijetí šifrování v regionu je velmi hodně v souladu se zbytkem zkoumaných zemí.
Jak akce Edward Snowdena je ovlivněn dodavatele obranných 12.2.2014 Šifrování | Bezpečnost | Ochrana Nová studie ThreatTrack Security vrhá světlo na postoje velmi exkluzivní skupinu IT a bezpečnostní manažery - ti zaměstnán dodavatelů Spojených států obrany - v době, kdy národní kybernetické je pod kontrolou.
75% respondentů uvedlo, že Edward Snowden událost změnila kybernetické praktiky svých firem na jednom z následujících způsobů: 55% uvádí, že jejich zaměstnanci nyní získat více školení o kybernetické 52% přezkoumala nebo přehodnotit přístup k datům práva zaměstnanců 47% jsou na vyšší pohotovosti pro neobvyklé síťové aktivitě ze strany zaměstnanců 41% zavedly přísnější najímání 39% uvádí, že byly omezeny jejich vlastní práva pro správu IT. 63% respondentů držet buď tajné, přísně tajné nebo důvěrné vůle. Nicméně, z těch, kteří mají přístup k, nebo obchod důvěrné informace, 27% nemají takové vůle. To představuje potenciální privilegovaný přístup problém, kde může mít snadný přístup k citlivým vládních údajů zaměstnanců dodavatelských bez těchto vůlí se. Kromě odhaluje, jak se jejich bezpečnostní postupy se změnily ve světle Edward Snowden incidentu, Průzkum také zkoumal předměty, například zda narušení bezpečnosti osobních údajů jsou hlášeny, co nejobtížnější aspekty kybernetické obrany je, zda starší lídři v dodavatelských organizací jsou infikovány malwarem vzhledem k rizikovému chování online, zda vláda poskytuje správné vedení a podporu pro kybernetické obrany, a zda dodavatelé se obávají, že jejich organizace mohou být ohroženy sofistikovaných kybernetických hrozeb. Průzkum zjistil, vysokou úroveň důvěry ve vládní poradenství o tom, jak chránit citlivá data. 88% respondentů se domnívá, že dostanou, co potřebují, pokud jde o podporu na tomto poli. Nicméně, 62% stále hlásil, že se jedná o jejich organizace je citlivá na apts, cílených útoků škodlivého softwaru a sofistikované počítačové kriminality a cyber-špionáže taktiky. dva nejtěžší aspekty bránit proti pokročilým malware byly hlášeny být objem malware útoků (61 % uvedlo, že tomu tak bylo) a složitost tohoto malware (59%). Další 29% řekl, že není dost rozpočet správnými nástroji, a 22% uvedlo, že prostě nemají přístup k automatizovaným malware analýzy řešení, které dokáže detekovat a sanaci nejvíce sofistikovaných hrozeb v reálném čase. "Je to zajímavé, na vědomí, že zatímco Armádní dodavatelé Zdá se, že lepší bezpečnostní postupy v místě a jsou více transparentní než mnoho společností v soukromém sektoru, které zjišťují aktuální cyber ohrožení nápor stejně obtížné řešit, "řekl prezident ThreatTrack Bezpečnost a generální ředitel Julian Waits, Sr "Více než polovina se obává, že jsou citlivé na cílené útoky a kybernetické špionáže, a vzhledem k druhu údajů, které jsou manipulace a skladování, myslíme si, že číslo musí dostat mnohem menší -. a rychle" 26% respondentů uvedlo, že je zde nedostatek vysoce kvalifikovaných bezpečnostních pracovníků (malware analytiků) na zaměstnance. Předchozí studie ukázaly, že tento nedostatek je ještě umocněn tím, že IT bezpečnostní personál je běžně multi-tasking mezi novým malware analýzy vzorků - což obvykle trvá více než 2 hodiny na vzorek -. A čištění malware vypnutí přístroje manažery " I když mnohem zodpovědnější než jejich protějšky v soukromém sektoru, v následujících ceny, obrana dodavatel IT manažeři odhalil přístroj používaný člen jejich vrcholového vedení týmu se stal napaden škodlivým softwarem kvůli vedení:
Návštěva pornografické webové stránky (13%) - ve srovnání s 40% v jiných podniků Kliknutím na škodlivý odkaz v e-mailu phishing (40%) - ve srovnání s 56% v jiných podniků Povolení člen rodiny používat firemní-vlastnil zařízení (14%) - v porovnání s 45% v jiných podniků. Studie také odhalila mnohem více transparentnosti o narušení dat v obranných dodavatelských organizací než v běžné podnikové komunitě. Pouze 8% uvedlo, že si byli vědomi, že došlo k porušení dat v jejich společnosti, které nebyly hlášeny k zákazníkům, partnerům a vládních agentur, s nimiž smlouvu. To ve srovnání s 57% malwaru analytiků v podnikových prostředích, kteří uvedli, že byli vědomi porušení, které bylo nahlášeno. nezávislé slepé průzkumu 100 / manažerů IT bezpečnosti nebo zaměstnance v rámci obrany dodavatelských organizací, které se zabývají údaje pro americkou vládu bylo provedeno Stanovisko věcech jménem ThreatTrack bezpečnosti z listopadu 2013 do ledna 2014.
Hackeři žalovat německou vládu o pomoc NSA špehovat své občany 11.2.2014 Špionáž Chaos Computer Club (CCC), největší asociace hacker Evropy, a Mezinárodní liga pro lidská práva (ILMR) žalují německou vládu za údajné pomoci zahraničních zpravodajských agentur tajně sledovat německé občany. "Po měsících tiskových zpráv o hromadný dozor ze strany tajné služby a urážlivé útoky na systémy informačních technologií, máme jistotu, že tajné služby Německa a dalších zemí porušil německý trestní zákon, "řekli ve veřejném prohlášení . "S tímto trestní oznámení, doufáme, že se konečně zahájit vyšetřování prováděném Spolkový generální prokurátor proti německé vládě. CCC se naučil s jistotou, že vedoucí představitelé tajných služeb a federální vlády pomáhali a naváděl páchání těchto trestných činů. " stížnost podána u úřadu spolkového generálního prokurátora tvrdí, že federální vláda, předsedové německých tajných služeb, německými vyzvědači a jejich orgány dohledu, německý ministr vnitra, stejně jako německá Chancelor Angela Merkelová buď se zúčastnil nebo pomáhal "nelegální a zakázané tajné zpravodajské činnosti", které porušily právo na soukromí německých občanů . "Je politováníhodné, že odpovědné osoby a okolnosti jejich zločiny nebyly zkoumány," říká Dr. Julius Mittenzwei, právník a člen CCC. skupina se rovněž žádá, aby Edward Snowden být volán jako svědek, a musí být umožněno do Německa pro tento účel a musí být zaručeno, že nebude deportován do USA.
"Miláčku šifrování" přemůže útočníky s falešnými výsledky 8.2.2014 Šifrování Bývalý šéf RSA vědec Ari Juels pracuje na inovativním přístupem k šifrování, které by mohly učinit kybernetické podvodníci ", jako je mnohem obtížnější.
Tento nový šifrovací systém - přezdívaná "Honey šifrování" - nespoléhá na složitější šifrovací algoritmus, ale na to, že pokaždé, když se útočníci pokusí dešifrovat data nebo odhadnout (hrubou silou) heslo, systém vrátí realisticky vypadající údajů -. zda odhad je správný, nebo ne "Každý dešifrování bude vypadat věrohodně," říká Juels. "Útočník nemá žádný způsob, jak se odlišit a priori, který je správný." A bude proto muset testovat všechny výsledky, pokud se chce dostat ke správnému -. Potenciálně nelehký úkol, který nebude stát za námahu přístupu a systém je založen na research Juels prováděné u Thomase Ristenpart, asistent profesor na University of Wisconsin, ve kterém předložila myšlenku "honeywords" - falešných hesel -. jsou spojeny s uživatelskými účty spolu se správnému " Protivník, který krade soubor hash hesla a invertuje funkci hash nelze říci, zda našel heslo nebo honeyword. pokus o použití honeyword pro přihlášení spustí alarm, "vysvětlili. Juels věří Honey šifrování může být Velkou pomocí pro manažerské heslo služby, jejichž celý on-line život uživatelů závisí na jediném hlavním heslem. Podle MIT Technology Review , je to v současné době pracuje na vytvoření falešné heslo úložiště generátor, který by poskytoval falešné výsledky. Vzhledem k tomu, obrovský počet přihlášení pověření ukradené a unikly v posledních několika letech a menší z uniklých správce hesel klenby, vytvoření věrohodné falešné výsledky by měly být snadný úkol.
Slabá hesla a starobylé software opustil údaje vlády USA zranitelné , zpráva DHS najde
5.2.2014 Šifrování
Slabá hesla a zřídka aktualizuje software jevracející se téma se za 48.000 kybernetických incidentů hlášených k ministerstvu pro vnitřní bezpečnost - včetně krádeže údajů o národních nejslabších přehrad ze strany " škodlivého vetřelce " , apřípad, kdy hackeři vysílání škodlivého varování o zombie útoku přes několik amerických televizních stanic ,zpráva DHS našel .
" Údaje o národních nejslabších přehrad , včetně těch, které by mohly zabít Američany , pokud se jim nepodařilo , byly ukradeny škodlivého vetřelce , "Zpráva s názvem spolkové vlády Track Záznam o kybernetické bezpečnosti a kritické infrastruktury " řekl , " důvěrné kybernetické plány jaderných elektráren " byly ponechány bez ochrany . Plány pro technologii podpírající na New York Stock Exchange byly vystaveny na hackery . "
Zpráva byla sestavena na základě informací z více než 40 předchozích šetřeních podle generálních inspektorů , podle zprávy Mashable je . Mashable popsal slabá hesla jako opakující se téma zprávy o 17 - stránku , a řekl, že " heslo " zůstáváobyčejná volba pro státní zaměstnance .
Zpráva poukázala na řadu porušení , včetně hlášených útoku na národní nouzového vysílacího systému , který vedl televizních stanic v Michiganu , Montana a Severní Dakota vysílat falešné varování zombie útoku . " Civilní úřady ve vašem okolí , uvádělo, že těla mrtvých stoupá z jejich hrobů a útočí na živobytí . Nepokoušejte se přiblížit nebo zatknout tyto orgány, které jsou považovány za velmi nebezpečné . "
Zpráva byla tupá o tom, kdo na vině : " skutečné poklesky " vládní zaměstnanci , včetně softwaru se řídí fyzický přístup k zabezpečení webů , které bylo několik let zastaralé , a " slabých nebo výchozí" hesel střežit servery , které obsahují citlivé informace . Zpráva citoval instanci 10 hesel napsaných dolů a vlevo na stoly v kanceláři Chief Information Officer pro US Immigration a Customs Enforcement .
Webové stránky včetně vlastní pro - bezpečnostní stránkách DHS " budovat bezpečnost v ' - postavený na podporu vývojářům , aby " " se budovat bezpečnost na software v každé fázi svého vývoje " - obsahovala také známé zranitelnosti , píše se ve zprávě . Republikánský senátor Tom Coburn , který předsedá výboru , řekl Washington Post : "Oni nejsou ani dělat jednoduché věci . "
Na jaderné regulační komise , "obecný nedostatek důvěry " vedla zaměstnance k nákupu a nasazení počítačových sítí bez znalosti vlastního IT personálu . Zpráva ZDNet je popsáno vládní weby a systémy jako " zralé slabin " .
Zpráva říká, že mnoho útoky bylyvýsledkem špatně aktualizovaný software , včetně software AV .
" Zatímco kybernetické útoky do chráněných systémů jsou obvyklevýsledkem sofistikovaného hackerství , které často využívají světské slabosti , zvláště out-of -date software , " píše se ve zprávě . " I přesto, že zvuk nudné , není-li nainstalovat softwarové záplaty nebo aktualizovat programy na jejich nejnovější verze vytvořit vstupní body pro špiony , hackery a dalšími škodlivými činiteli . Loni v červenci , hackeři používají právě tento druh znám, fixačního slabosti ukrást osobní informace o více než 100.000 lidí z ministerstva energetiky . Oddělení je generální inspektor obvinil krádež částečně na pieceofsoftware který nebyl aktualizován v průběhu dvou let , a to i přesto, že oddělení koupil upgrade . "
" Nedostatky ve federální vládě vlastní kybernetické bezpečnosti jsou ohroženy elektrickou síť , naše finanční trhy , naše systémy havarijního a osobní informace našich občanů , " řekl senátor Coburn v tiskové zprávě . " Zatímco politici chtěli navrhnout komplexní nové předpisy , masivní nové programy , a miliardy v novém výdajů na zlepšení kybernetické bezpečnosti , existuje velmi jednoduchý - a kriticky důležité - opatření, která by mohla chránit naši infrastrukturu a osobní údaje našich občanů , že jsme prostě nejsou dělá . "
Bývalý zaměstnanec NSA pomáhá šifrovat e-maily
4.2.2014 Šifrování Bývalý pracovník americké agentury NSA se spojil s dalšími vývojáři a představil nový software, který by měl e-maily šifrovat tak bezpečně, že se k nim nikdo nedostane.
E-mail, stále možná nejvíce využívaná aplikace na internetu, je bezpečný asi tak jako pohlednice. Na rozdíl od pohlednicí na něm jsou však závislé i velké firmy. Při vývoji e-mailu se na bezpečnost moc nehledělo – byl navržen prostě jen tak, aby fungoval. Po zveřejnění špionážních skandálů, kdy vyšlo najevo, že (nejen) americká NSA odposlouchává konverzaci snad všemi možnými způsoby, řada firem vidí v zabezpečení e-mailu byznys.
Jak tvrdí majitelé společností Wickr a Silent Circle, šifrovací software sice dostupný je, ale je příliš složitý. Tyto společnosti proto spojily své síly a vyvinuly open-source software s názvem Virtru, který by měl problémy okolo šifrování emailů vyřešit. „S Virtru můžete posílat komukoli cokoli a on se k tomu bude schopný dostat i bez toho, aby měli doktorát z IT,“ říká Will Ackerly z Virtru.
Velká výhoda Virtru je, že spolupracuje s Gmailem, Outlookem, Yahoo a ke svému fungování nevyžaduje externího klienta. Obsah v těle emailu je ihned zašifrován, takže Gmail, který automaticky ukládá návrhy nových zpráv, vidí pouze šifrovaný obsah. Odesílatel si jen musí nainstalovat rozšíření prohlížeče, které se stará o šifrování a dešifrování obsahu. Tento proces se odehrává na počítači/mobilním zařízení uživatele, takže poskytovatelé webmailů vidí jen šifrovaný obsah. Příjemce rozšíření instalovat nemusí a může si přečíst dešifrovaný obsah ve speciálním okně.
Tělo zprávy je šifrováno za pomoci Trusted Data Format (TDF), který Ackerly navrhl v roce 2008, když ještě sám pracoval pro NSA. Na rozdíl od jiných šifrovacích programů jako třeba PGP, umožňuje TDF šifrovat také přílohy. I když říci, že je něco šifrované, zní jednoduše, v celém procesu je třeba vyřešit řadu technických zádrhelů. Problém může nastat například tehdy, když soud firmě nakáže, aby odevzdala šifrovací klíč. To se stalo americké společnosti Lavabit, která poskytuje e-mailové služby také Edwardovi Snowdenovi. Virtru to řeší tak, že generuje nový klíč pro každý e-mail a po jeho odeslání je tento klíč zrušen.
Pokud by Virtru někdo přikázal SSL klíč zveřejnit, nebylo by to k ničemu platné, jelikož „nikdo by nebyl schopen konverzace dešifrovat.“ Základní funkce Virtru jako šifrování mailů nebo možnost kontrolovat jejich přeposílání budou bezplatné. Platit budou pouze firmy za korporátní licence. Pracuje se i na mobilních klientech pro Android a iOS.
Zkušební verze zdarma pro šifrování cloud-based a bezpečnou správu klíčů na AWS 31.1.2014 Šifrování SafeNet oznámila třicet-denní zkušební verze zdarma své ProtectV virtuální řešení šifrování a virtuální KeySecure přes AWS Marketplace na Amazon Web Services (AWS). Finanční služby, organizace zdravotní péče, informační služby, podniky a high-tech podniky Nyní můžete spustit kompletní výrobní úrovni důkazy konceptu pro celý měsíc bez nákladů za použití cloudové šifrovací řešení SafeNet při zachování kontroly a dodržování předpisů. ProtectV a virtuální KeySecure jsou v současné době k dispozici na AWS Marketplace. ProtectV je šifrovací řešení pro virtuální instance a Virtual KeySecure je tvrzené Software Appliance, který spravuje a bezpečně uchovává šifrovací klíče pro ProtectV. šifrování SafeNet a správu klíčů řešení poskytovat zákazníkům s vysokou úrovní ochrany údajů k citlivým údajům, ať už v cloudu nebo na místě. Kombinace flexibility cloudu AWS a sílu šifrování nabídky SafeNet vytváří pohodlné řešení pro zákazníky optimalizaci úrovně bezpečnosti požadované pro i těch kritických zatížení. "Organizace si uvědomují, že šifrování a silné vedení klíč jsou nezbytné pro ilustraci kontrolu a dodržování pro vysokou hodnotu informací v cloudu, ale nemusí vědět, jak začít, "řekl David etue, viceprezident strategie firemní vývoj, SafeNet. "Díky bezplatné vyzkoušení SafeNet nabídky v AWS Marketplace, udělali jsme to jednoduché pro zákazníky, aby viděli, jak snadné je nasadit robustní rámec cloud šifrování." soud je za celých třicet dnů, kdy zákazníci podepsat-up mezi 09.01.2014 a 01.04.2014, a bude k dispozici na AWS Marketplace. Po třiceti-denní zkušební verzi, ProtectV a virtuální KeySecure mohou být převedeny na hodinové nebo měsíční cenový model na AWS Marketplace, podle toho, která volba je vybraná zákazník.
Uživatelé Apple hit s "pomocí aktualizace nových SSL servery" phishing e-mail 30.1.2014 Šifrování
Uživatelé s Apple účtů jsou opět terčem s legitimními vypadající phishingových e-mailů, které jsou po jejich pověření účtu, osobní a finanční informace. "Váš on-line přístup byl zablokován," říká falešný e-mail vybaveny logem Apple a barevné schéma. "Jak součástí naší trvalé snahy poskytnout "nejlepší možný" služby a ochranu pro všechny naše zákazníky, jsme se vyžaduje, aby každý zákazník aktualizovat svůj účet (y) s použitím nových SSL servery, aby se zabránilo přerušení vámi on-line přístupu. Aktualizujte prosím svůj online účet (y) kliknutím prvku pod aktualizaci účtu. " nabídl odkaz se oběti na falešné Apple přihlašovací stránku, kde jsou vyzváni k zadání své Apple ID a heslo. Po "přihlášení", jsou vyzýváni, aby zadali své celé jméno, adresu, telefonní číslo, porodní údaje, rodné příjmení matky, jméno na platební karty, číslo karty, datum ukončení platnosti a bezpečnostní kód (klikněte na screenshotu pro zvětšení) : Jakmile tohle všechno info je předložen, oběti jsou přesměrovány na legitimní webové stránky Apple. Netřeba dodávat, že zadané informace končí v rukou kybernetických podvodníků, kteří jej budou používat k provedení krádeží identity, podvody karty, a unést obětí "Apple účet, aby bylo možné ji zneužít pro spam a jiné hanebné činnosti, varuje Hoax-Slayer .
"123456" sesadí "heslo" z vrcholu nejhorším seznamu hesel 28.1.2013 Šifrování
SplashData oznámila svou výroční seznam 25 nejčastějších hesel nalezených na internetu, a poprvé od té doby se společnost začala sestavování její roční přehled, "heslo" ztratil jeho titul jako nejčastější, a proto Nejhorší Password, a dva- Doba runner-up "123456" se pochybnou čest.
Letošní seznam byl ovlivněn velkým počtem hesla od uživatelů Adobe vyslaných on-line o bezpečnostní poradenské firmy striktury Consulting Group po dobře uveřejněný narušení bezpečnosti společnosti Adobe. "Vidět hesla jako" adobe123 "a" Photoshop "na tomto seznamu, nabízí dobré připomenutí není na založit heslo na název webové stránky nebo aplikace, kterou přistupuje, "říká Morgan Zabitý, generální ředitel společnosti SplashData. "Dalším zajímavým aspektem letošního seznamu je, že více krátké číselné heslo ukázal, i když webové stránky se začínají prosazovat silnější hesel , "řekl Zabitý. Například na letošním seznamu nové jsou jednoduché a snadno guessable hesla jako "1234" na # 16, "12345", u # 20, a "000000" na # 25. SplashData je "Nejhorší Hesla 2013" jsou: 1) 123456 ( Až 1 z roku 2012) 2) Heslo (Down 1) 3) 12345678 (nezměněno) 4) qwerty (až 1) 5) abc123 (Down 1) 6) 123456789 (nové) 7.) 111111 (až 2) 8) 1234567 ( Až 5) 9) iloveyou (Up 2) 10) adobe123 (New) 11) 123123 (až 5), 12) admin (New) 13) 1234567890 (New) 14) letmein (Down 7) 15. photoshop (nový) 16) 1234 (New) 17) opice (Down 11) 18), stín (beze změn) 19) Sunshine (Down 5) 20) 12345 (nový) 21) password1 (až 4) 22) princezna (New) 23 ) azerty (New) 24) trustno1 (Down 12) 25) 000000 (New) Tento top 25 list byl sestaven ze souborů, které obsahují miliony ukradených hesel vyslaných on-line v průběhu předchozího roku. Společnost radí spotřebitelům nebo podnikům pomocí některé z hesel v seznamu je okamžitě změnit, a navrhuje, aby hesla bezpečnější s těmito tipy: Používejte hesla osm znaků nebo více smíšených typů postav. Ale i hesla se společnými substituce jako "dr4mat1c" mohou být ohroženy stále více sofistikované technologie útočníků, a náhodné kombinace jako "j% 7K & yPx $", může být obtížné pamatovat. Jeden způsob, jak vytvářet bezpečná hesla, která jsou snadno k odběru je na použití přístupových frází - krátká slova s mezerami nebo jinými znaky jejich separačních. To je nejlepší používat náhodná slova spíše než obyčejné fráze. Například, "koláče let narozeniny" nebo "smiles_light_skip?" Vyhněte se používání stejné kombinace uživatelského jména / hesla pro více webových stránek. Zvláště riskantní používá stejné heslo pro zábavu stránek, které děláte pro on-line e-mail, sociální sítě, nebo lokalit finančních služeb. Používejte různá hesla pro každou novou webovou stránku nebo službu se zaregistrovat. Máte potíže se zapamatováním všechny ty různé silných hesel? Zkuste pomocí hesla správce aplikace, která organizuje a chrání hesla a automaticky vás přihlásí do webové stránky.
Nechalo si RSA zaplatit za slabší šifrování?
17.1.2014 Šifrování Agentura Reuters tvrdí, že NSA zaplatila 10 milionů dolarů za to, že RSA použila úmyslně oslabený šifrovací algoritmus.
Zprávy ze světa bezpečnosti už dávno získaly bulvární tón. Každá přináší další odhalení o tom, jak dlouhé prsty americká agentura NSA ve skutečnosti má, jak rozsáhlá její data sbírající aktivita je a jak se nelze spolehnout na bezpečnost komerčních služeb zpracovávajících data. Dalo by se očekávat, že minimálně široká veřejnost brzy zlhostejní. Kadence a kalibr zpráv si bohužel ale udržuje stupňující trend.
Agentura Reuters o víkendu uveřejnila zprávu, která na základě dvou zdrojů tvrdí, že pravděpodobně nejvýznamnější výrobce bezpečnostních řešení, společnost RSA, přijala 10 milionů dolarů od agentury NSA za to, že v rámci tajné dohody do svého softwaru začlenila úmyslně oslabený šifrovací algoritmus.
Samozřejmě dnes se může zdát podobná částka nepravděpodobně malá, stačí připomenout, že firma RSA byla svého času pohlcena společností EMC za 2,1 miliardy dolarů. Podle agentury Reuters to ale v roce 2006 představovalo více než třetinu příjmů příslušné divize v RSA.
Zpráva se konkrétně týká knihovny BSafe, která byla uvedena v roce 2005 a v roce 2006 byla doporučena americká vládě jako vhodné řešení pro její interní bezpečnostní potřeby. Od roku 2006 je ale jako výchozí generátor pseudonáhodných čísel (klíčová komponenta šifrovacích produktů) používán algoritmus Dual EC DRBG (založený na matematice eliptických křivek), pocházející právě zevnitř NSA.
Dual EC DRBG byl společností RSA, ve které v té době pracovala řada špičkových expertů na bezpečnost, průběžně propagován jako vynikající řešení, přestože byl od samotného počátku zpochybňován odbornou veřejností a již delší dobu je jasné, že obsahuje zadní vrátka umožňující snadné prolomení šifry.
Zmíněná knihovna BSafe je používána řadou bezpečnostních řešení RSA (například RSA Data Protection Manager sloužící pro správu kryptografických klíčů), ale i jiných výrobců. Například představitelé společnosti McAfee vydali prohlášení potvrzující, že Firewall Control Center podporuje Dual EC DRBG, ale pouze když je nasazen na amerických úřadech nebo jejich subdodavatelích, kde ji doporučuje vládní bezpečnostní certifikace FIPS (Federal Information Processing Standards). Ve všech ostatních nastaveních používá novější generátor SHA1 PRNG.
RSA původně zprávu odmítla komentovat, ale v pondělním blogu tvrzení popírá. Vedení společnosti obhajuje původní rozhodnutí o použití algoritmu, ale jeho argumentace byla rozmetána předními bezpečnostními experty.
Jde o další oslabení důvěry ve společnost RSA po tom, co se jim podařilo nechat si ukrást kořenové bezpečností klíče. A bude zajímavé sledovat, co se bude dít s hodnotou jejich akcií. V každém případě tentokrát aktivita NSA zasáhla především americké úřady, jejichž data jsou slabě zabezpečena nejen před NSA, ale i před jakoukoli schopnější cizí agenturou.
NSA vyvíjí kvantový dešifrovací superpočítač
17.1.2014 Šifrování Americká Národní bezpečnostní agentura (NSA) pracuje na novém typu superpočítače, který by byl teoreticky schopen prolomit většinu současných šifrovačních klíčů.
Projekt na výstavbu „kryptograficky užitečného kvantového počítače“ je součástí výzkumu s názvem „Pronikání do obtížných cílů“, na němž se pracuje v College Parku v americkém státě Maryland. Informaci o projektu přinesl deník The Washington Post s odkazem na dokumenty vynesené Edwardem Snowdenem.
U šifrování je nejdůležitější to, jaké množství času by zabralo útočníkovi získat šifrovací klíč – čím déle to trvá, tím větší investice jsou potřebné. S tím, jak jsou počítače čím dál výkonnější, jsou využívány i delší šifrovací klíče, které je složitější prolomit. V současné době mají standardní klíče, jež střeží citlivé informace, 256 a více bitů. I s využitím velmi výkonného systému by podle expertů trvalo prolomení 256bitových klíčů několik let.
Kvantové počítače však zaběhlou praxi mění. Oproti tradičním počítačům, které zpracovávají jednotlivé bity s informacemi, jež představují buďto nulu nebo jedničku, kvantové počítače využívají kvantové bity, v nichž je obsažena hodnota jedničky a nuly naráz. Pokud si říkáte, jak je to možné, nejste sami. I největší světoví experti na kvantové počítače do detailu neví, jak to celé vlastně funguje – shodují se však na jedné věci, a to dopadu technologie na šifrovací klíče. Jelikož každý kvantový bit má v sobě obsažen naráz jedničku i nulu, řetezec kvantových bitů může obsahovat zároveň všechna čísla. To znamená, že budoucí počítače budou moci provádět několik výpočtů v jednom kroku, nikoli jeden za druhým, jak je tomu nyní. Rozlousknutí šifrovacích klíčů tak bude hračkou.
To je alespoň teorie. Vědci budou muset kvantové počítače schopné provádět komplexní matematické operace teprve vyvinout a vypadá to, že program NSA, do něhož americká civilní rozvědka investovala již osmdesát milionů dolarů, je určen přesně k tomu. Otázkou tak zůstává, za jak dlouho bude podobné zařízení schopné provozu.
Jak NSA Could Be Breaking SSL 6.12.2013 Šifrování K tomu, aby Národní bezpečnostní agentura shromáždit obrovské množství komunikačních to z e-mailového a webového provozu, je třeba se vyhnout, přeskočit nebo bash přes bariéru, která je SSL.
Jak se to dělá, aby je skutečná otázka, který poznamenal, Johns Hopkins cryptographer Matthew Green chce odpověď.
"Pokud opravdu chcete sbírat takové informace, to znamená, že e-mail a webový provoz," řekl Green. "Ti, kteří jsou nejzranitelnější věci na internetu, a ty jsou zabezpečena pomocí SSL."
Green vydal rozsáhlý esej včera navrhla řadu praktických a propracovaných scénářů, které vysvětlují, jak SSL mohla být zneužita nebo suborned. On také naznačuje, že to není čas, jako dárek dostanete od RSA klíčů a zvážit alternativy, jako je Perfect Forward tajemství a dokonce i Elliptic Curve Cryptography.
Některé velké internetové společnosti údajně cílené NSA již podnikla kroky, aby buď šifrovat komunikaci ve výchozím nastavení, posílit klíče se používají pro zabezpečení komunikace, nebo vzdálit zcela z rozbitých nebo oslabených algoritmů. Google, například, nedávno oznámila, že dokončila, před plánovaným termínem, k aktualizaci svých SSL certifikátů pro 2048-bit RSA a Microsoft oznámila, že byla radí vývojářům kritizovat algoritmu RC4 a přestat používat SHA-1 hash algoritmu .
Pohyby jsou povzbudivé, ale oni jsou první kroky směrem k udržení úsilí dohledu NSA na uzdě a zajistit soukromí spotřebitelů a podniků podobně. Zelená, pro jednoho, říká Perfect Forward Secrecy by měla být považována za minimální standard do budoucna.
"Další věc, kterou musíme udělat, je začít odklon od RSA úplně. Právě teď existuje několik společností, jako je Google, Facebook a Twitter, které byly všechny přijaté Perfect Forward Secrecy , ale lidé stále vidí to jako luxus, "řekl Green. "Myslím, že je to základní, minimální požadavek právě teď."
Perfect Forward Secrecy eliminuje jediný bod selhání předložené SSL klíče generováním jedinečný klíč pro každý připojení a pak smazání po připojení je vypnut. Kryptografie odborníci se domnívají, přes režii zdrojů to představuje, že Perfect Forward Secrecy je tou nejlepší volbou, spíše než jediný 128 - nebo 256-bitový RSA klíč vygenerován s každou handshake TLS RSA, která šifruje každý minulosti a budoucnosti připojení vyrobený z přístroje.
"To je to jeden kus z informací, které každý kus dat, které je přijít o drát je náchylnější k jestli to dostane ohrožena. Můžete se vrátit za pět let a dešifrovat to, co lidé poslali před pěti lety, "řekl Green. "Pokud to funguje dobře, máte jeden klíč, použijte ji a můžete ji vymazat."
Moderní prohlížeče, jako je Internet Explorer, Chrome a Firefox již podporují Perfect Forward Secrecy, ale to nepomůže ty uživatele stále na starší verze IE například v prohlížeči, který je také favoritem hackerů v cílených útoků, a je stále oprava téměř měsíční Microsoft.
"Problém je, když lidé používají IE 6 a 7, [tyto prohlížeče nejsou] podporovat to. Stále máte na podporu RSA, to prostě skončí, že nepořádek, "řekl Green. "Dobrou zprávou je, že může pomoci lidem, kteří s využitím moderních prohlížečů, ale my jsme nikdy nebude schopen vám pomoci, pokud používáte starší prohlížeče."
Greenova esej, mezitím, postuluje několik způsobů, NSA, může být ve skutečnosti dostat přes SSL šifrováním dnes. Některé ze známých útoků nezahrnují hacking vůbec, ale spíše teorie, že NSA mohla být jen s SSL klíče od organizací, a to buď prostřednictvím soudních příkazů či dokonce nátlak. Malware exploity jsou také možné, řekl.
"Krása je, že tyto útoky nejsou ani vyžadovat vzdálené spuštění kódu. Vzhledem k tomu, vpravo zranitelnost, může to prostě vyžaduje hrst poškozených SSL žádostí o mapovat celý obsah na OpenSSL / SCHANNEL hromadu, "napsal Green.
NSA, Green napsal, by se také podařilo vyhnout SSL tím, že pracuje se na zákulisní dohodu s hardwarovým šifrováním čipů. Září vystavit podle New York Times na programu Bullrun řekl, že NSA a britský GCHQ byly v součinnosti s čipů pro umožnění dešifrování na několika předních VPN šifrování čipů.
"Dokumenty NSA není jasné, jak tato funkce funguje, nebo pokud to dokonce týká SSL. Pokud tomu tak je, zřejmé, odhad je, že každý čip šifruje a exflitrates bitů klíče relace pomocí "náhodných" oblastech, jako jsou infuzí a handshake nonces. Opravdu, je to poměrně snadno implementovat na neprůhledné hardwarové zařízení, "napsal Green. "Zajímavá otázka je, jak jeden zajišťuje tato zadní vrátka lze využít pouze NSA -., A nikoliv konkurenčních zpravodajských agentur"
Útoky postranními kanály jsou další možností, i když, jak řekl Green, útočník by musel fyzickou blízkost k serveru TLS, aby odčerpat údaje, které by mohly unikající, i když s cloud computing implementací, tato varianta je schůdnější než v minulosti.
Generátory náhodných čísel jsou další pravděpodobný cíl NSA; RNGs jsou považovány za křehké a libovolný počet faktorů je může oslabit, Green řekl ve svém eseji. Nebo by mohl vložit NSA se do procesu vývoje pro jeden z těchto RNGs jako údajně bylo s NIST ve vývoji generátoru Dual-EC DRBG , který je výchozí v široce používaných RSA BSAFE knihoven.
A co vlastně popraskání RSA klíče? Green říká, že i když je to těžké a konstantní pověst, že NSA skutečně dělal nějaký kryptografický průlom, že to není zcela mimo dosah. Před deseti lety, náklady se odhadují na 10 milionů dolarů za jeden stroj na faktor 1024-bitový RSA klíč za rok; Green řekl, že cena klesla na méně než 1 milión dolarů vzhledem k Mooreův zákon. Nemluvě o tom, že botnet stylu distribuovaná síť by také stačit.
"V zásadě clusteru o velikosti reálného života Conficker botnet mohl udělat za použití hrubého násilí 1024-bitovými klíči," řekl Green, s odkazem na výzkum již provedeného na této možnosti.
"Nevíme, a nemůže znát odpověď na tyto věci, a upřímně ti to udělá blázen, pokud začnete přemýšlet o tom," napsal Green. "Jediné, co můžeme opravdu udělat, je vzít NSA / GCHQ na jejich slova, když nám řekli, že tyto schopnosti jsou" velmi křehké ". To by alespoň dát nám naději. "
Microsoft začne šifrovat provoz mezi datacentry
6.12.2013 Šifrování Microsoft přirovnal špehování americké vlády na jeho serverech k hrozbám jako je malware či kybernetické útoky. Společnost slíbila, že otevře části kódu, aby bylo zřejmé, že neobsahuje žádná zadní vrátka. Současně vyplynulo najevo, že NSA denně odposlouchává stovky tisíc telefonních hovorů po celém světě.
Vrchní právník Microsoftu Brad Smith řekl, že společnost začne data šifrovat i při přenosu mezi servery, aby vládním agenturám znemožnila (nebo přinejmenším ztížila) krást informace narušením optických vláken. Tímto krokem bude Microsoft následovat příkladu společností Yahoo a Google.
„Provádíme taková opatření, abychom zajistili, že vládní agentury budou při získávání dat používat legálních kroků, nikoli technologickou přesilu jako doposud,“ poznamenal Smith.
Velké společnosti na svých serverech používaly šifrování běžně i před odhalením praktik NSA a dalších vládních agentur, data mezi svými datacentry však vždy přenášely v nešifrované podobě. Důvodem je rychlost, protože šifrování a dešifrování dat je spojeno s dlouhým procesem, který může přenos dat výrazně zpomalit. Proto bylo šifrování v tomto případě donedávna považováno za zbytečné.
„Tyto pokusy vládních agentur vážně ohrožují důvěru v bezpečnost a soukromí on-line komunikace,“ napsal Smith. A přidal i těžší kalibr v podobě prohlášení: „Špehování vládními agenturami nyní považujeme za vážnou a přetrvávající hrozbu na stejné úrovni jako malware a kybernetické útoky.“
Poté, co Edward Snowden odhalil dokumenty o špehování vládními agenturami, Google spustil program s názvem „Perfect Forward Secrecy“, který spojuje všechny weby společnosti. Podobné kroky provedly i společnosti Yahoo a Twitter.
Smith dále uvedl, že Microsoft rozšíří šifrování na všechny své služby a posílí právní ochranu zákazníků. Své programy společnost také udělá dostupnějšími, tak aby je mohla prozkoumat centra pro transparentnost po celém světě, aby si větší zákazníci mohli zkontrolovat, zda kód neobsahuje nějaká zadní dvířka.
„Všichni chceme žít v bezpečném světě, ale také chceme žít v zemi chráněné ústavou. Chceme se ujistit, že jsou důležité otázky ohledně přístupu vlády k soukromým datům řešeny soudy, a ne technologickou přesilou. Zaměřili jsme se na aplikování nových bezpečnostních pojistek po celém světě.“
Z dokumentů, které Snowden odhalil, také nově vyplynulo, že NSA denně posbírá až 5 miliard dat z mobilních telefonů po celém světě. Podle dokumentů ukládá agentura převážně informace o lokaci, týká se to minimálně několika stovek mobilních zařízení. Podle magazínu Washington Post má NSA 27 TB těchto dat, z nichž bylo pouhé jedno procento užitečné při boji s terorismem.
Microsoft rozšiřuje použití šifrování zmařit NSA Surveillance 5.12.2013 Šifrování
V reakci na rostoucí sadou odhalení o metodami dozoru, NSA a údajné ohrožení služeb některých velkých dodavatelů technologií "Microsoft bere celou řadu kroků, aby se pokusila uklidnit zákazníky o integritě nabídky společnosti a výrazně rozšířit využívání šifrování přes svých služeb.
Microsoft uvedl, že v příštích měsících bude zlepšení a rozšíření jeho použití šifrování, a to konkrétně ve svých cloudových služeb, jako Azure, Outlook.com a Office 365. Společnost nedávno oznámila, že by zlepšení šifrovacích služeb na Office 365, ale tato nová iniciativa přesahuje tohoto úsilí. Microsoft bude provádění Perfect Forward Secrecy na své cloudové služby a také bude stěhovat do 2048-bitovými klíči. To se týká údajů v tranzitu mezi klienty a servery Microsoft, ale také se budou vztahovat na informace, pohybující se mezi datovými centry společnosti.
Microsoft uvedl, že tato nová bezpečnostní opatření budou zavedena do konce roku 2014, a některé z nich jsou ve skutečnosti právě teď. Společnost bude také šifrování dat zákazníků v klidu ve svých datových centrech.
"I když je to významné inženýrské úsilí s ohledem na velké množství služeb, které nabízíme a stovky milionů zákazníků, kde působíme, jsme odhodláni se rychle pohybuje. Ve skutečnosti, mnoho z našich služeb již těžit ze silné šifrování ve všech nebo části životního cyklu. Například, Office 365 a Outlook.com obsah je zákazník již šifrován, pokud cestujete mezi zákazníky a společností Microsoft, a většina společnosti 365 vytížení stejně jako Windows Azure skladování jsou nyní kódována na cestě mezi našimi datovými centry. V ostatních oblastech jsme urychlení plánů na zajištění šifrování, "Brad Smith, generální ředitel a výkonný viceprezident pro právní a firemní záležitosti na Microsoft uvedl .
Microsoft úředníci, stejně jako jejich protějšky na Google, Yahoo, Apple a další tech gigantů, strávili hodně z posledních šesti měsících, které se zabývají řadou tvrzení v mediálních zpráv o úniku Edward Snowden NSA. Nejvíce škodlivé zprávy se domnívají, že tyto společnosti poskytly přímý přístup ke svým serverům pro NSA, něco, co všichni z nich odepřen. Nedávné odhalení ukázaly, že agentura je vlastně poklepáním na podmořských optických kabelů, které se pohybují obecně nešifrovaná data mezi datovými centry po celém světě. Toto zjevení se hněval inženýry na Google a vedl společnost k urychlení některé ze svých stávajících plánů pro šifrování těchto dat odkazy.
Zatímco se pohybuje Microsoft pro šifrování více zákaznických dat bude poskytovat lepší ochranu pro zákazníky, tam je víc, že společnost by mohla dělat, aby základní bezpečnost pro své miliony uživatelů, řekl Chris Soghoian, hlavní technolog v americké unie občanských svobod. Soghoian bylo naléhání Microsoft a dalších společností zapnout SSL ve výchozím nastavení na svých webových vlastnosti pro let, a řekl, že existuje řada nevyřešených otázek, Microsoft je třeba vyřešit, aby se tyto pohyby výraznější.
"Bing stále nenabízí SSL jako jedna z možností. Takže se konečně změní, že? Jedna z věcí, které řekl v tomto oznámení, je to, že budete používat šifrování nejlepší ve své třídě, ale to znamená, že více než jen algoritmus. To znamená, že věci, jako je TGV [HTTP Strict Transport Security] a certifikát balíků, "řekl. "Je Microsoft bude používat certifikát balíků v aplikaci Internet Explorer?"
Certifikát fixace umožňuje prohlížeče definovat, které je certifikát spojený s konkrétní webovou majetku, jako obrana proti man-in-the-middle útoky, které využívají falešnou identitou certifikáty. HSTS je hlavička, která říká klientům uživatelů, které daný webový server chce přijímat zabezpečené připojení pouze.
Kromě šifrování změn, Microsoft také uvedl, že bude posílení právní orgány, které používá k ochraně zákazníka data, která ukládá společnosti. Společnost upozorní firemní a vládní zákazníky, když obdrží žádost o údaje zákazníka, a Smith řekl: Microsoft bude pokračovat v budoucnosti.
"S výjimkou těch omezených okolností, věříme, že vládní agentury mohou přejít přímo na firemní zákazníky a zákazníky vlády za informace nebo údaje o jednoho ze svých zaměstnanců - stejně jako tomu bylo před tito zákazníci se stěhoval do oblak - aniž by byla ohrožena jejich vyšetřování a na vnitrostátní úrovni zabezpečení. A když nastanou tyto omezených okolností, soudy by měly mít možnost přezkoumat otázku a vydat rozhodnutí, "řekl Smith.
Ale Soghoian otázku, proč se tyto stejné ochrany nejsou rozšířena do jednotlivých spotřebitelů, jejichž údaje vláda může hledat.
"A co jejich pravidelné zákazníky? Vynucení gag objednávky nutí vládu, aby před soudce na něco, co by nemuseli jinak, "řekl. "Je to opravdu užitečné, aby před nezávislou třetí stranou lámat přes koleno."
Smith řekl, Microsoft také plánuje otevřít tzv. transparentnosti center na několika místech po celém světě k tomu, aby vládní zákazníkům nahlížet do zdrojového kódu společnosti Microsoft na zadní vrátka. Společnost byla umožňuje omezený přístup do zdrojového kódu již několik let, ale bude rozšiřovat, že v blízké budoucnosti.
"Jsme proto přijmout dodatečná opatření na zvýšení transparentnosti tím, že staví na naší dlouholeté program, který poskytuje státní zákazníkům s příslušnou schopnost přezkoumat náš zdrojový kód, ujistit se o jeho integrity, a potvrdit, že žádné zadní dveře. Budeme-li otevřít síť center transparentnosti, které budou poskytovat těmto zákazníkům ještě větší schopnost přesvědčit se o celistvosti produktů společnosti Microsoft, "řekl Smith.
NTRU veřejný klíč šifrovací propuštěn na open source komunitu
24.11.2013 Šifrování
RSA a ECC jsou dvě nejčastější veřejného klíče šifrovací systémy v použití dnes. Na 2013 Black Hat konferenci, vědci prohlásili, že matematika pro krakování šifrovací algoritmy mohly brzy stát tak účinný, že to bude činit RSA šifrovací algoritmus zastaralý. Spolu s nedávným NSA manipulaci obvinění na mimořádné události, mohlo by to nedůvěra zřídit "cryptopocalypse" s organizací usilovně snaží vybavit systémy s novými, ještě důvěryhodné, veřejným klíčem šifrovací systémy.
Dnes Security Innovation oznámila dostupnost NTRU crypto pro volné použití v open-source software. S open source licencí GPL, NTRU lze s jistotou nasadit v open source produkty, jako jsou webové prohlížeče a TLS / SSL servery. Pro ty, kteří chtějí začlenit NTRU do proprietárního produktu, komerční licence je k dispozici. "Internet vytváří bilion dolarů v prodeji elektronického rok, nicméně, tyto transakce jsou chráněny omezenou sadu šifrovacích algoritmů," řekl Charles Kolodgy, Výzkum viceprezident pro bezpečnostní produkty společnosti IDC. "Tento nedostatek rozmanitosti může být jediný bod selhání. Tím, že nabízí NTRU pod General Public License, Security inovace rozšiřuje rozmanitost šifrování k dispozici na Internetu." "licencí open source šifrovacího systému NTRU bude snazší k rozsáhlému přijímání našeho X9.98 standardu, který umožňuje Financial Services společnosti k ochraně svých důležitých finančních transakcí, "řekl výkonný ředitel Cynthia Fuller akreditovaných standardů výbor X9 finanční průmyslovými standardy. Vzhledem k tomu, NTRU je založen na příhradové matematice, je odolný vůči Shorův algoritmus, by mohly být použity v kvantové výpočetní techniky útoků a prokázáno, že zlomit i RSA a ECC. "Více rozmanitost ve volbě kryptografie mohou pouze komunikaci na internetu bezpečnější," řekl Terence Spies, CTO v napětí Security. "Jsme potěšeni tento krok tím, Security inovace odstranit překážky bránící přijetí open source komunitě." "Otevřít získávání NTRU zajišťuje, že implementace je pevná a bez zadních vrátek, které jsme se naučili o v proprietární systémy," uvedl Dr. William Whyte, ředitel vědec Security Innovation, as a předseda pracovní skupiny IEEE 1363. "Jsme vybíraví v krypto světě, a chtějí, aby zajistily, že jakékoli přijaté crypto je transparentní a bitva testovány. NTRU byl úspěšně zkoumány mnoha vládních agentur a vysokých škol pro více než deset let. "
Microsoft Roll Out zašifrovaná zpráva služby Office 365 23.11.2013 Šifrování | Zabezpečení Šifrování, jakmile nástroj používaný především bezpečnostních profesionálů, aktivistů a dalších s důvodné podezření, jejich komunikace může být ohrožen, byl pohybující se stále hlouběji do hlavního proudu v posledních měsících. Nyní, Microsoft plánuje nasadit novou šifrovanou e-mailovou službu na svých služeb Office 365. místě, které bude provádět odesílání a přijímání e-mail bezpečné mnohem jednodušší.
Nová služba, známý jako Office 365 zpráv šifrování, je navržen tak, aby zjednodušení procesu pomocí šifrované e-maily, něco, co není tak jednoduché, jak většina uživatelů by si přáli. Nastavení a použití mnoha bezpečných e-mailových aplikací může být náročný a matoucí proces, zejména pro uživatele, kteří nemusí být obeznámeni s bezpečností. Microsoft novou službu, která bude k dispozici v prvním čtvrtletí roku 2014, používá systém, který je poněkud podobný ostatním bezpečných e-mailových systémů, kde uživatel obdrží e-mail s šifrované přílohy a pokyny pro jeho otevření.
"Bez ohledu na to, co je cíl-Outlook.com, Yahoo, Gmail, Exchange Server, Lotus Notes, GroupWise, Squirrel Mail, co si jen vzpomenete, můžete posílat citlivé obchodní komunikaci s dodatečnou úroveň ochrany proti neoprávněnému přístupu. Existuje mnoho obchodních situací, kdy tento typ šifrování je důležité, "řekl Microsoft Shobhit Sahay na svém blogu vysvětluje novou službu.
"Když externí příjemce obdrží šifrovanou zprávu od vaší společnosti, vidí šifrované přílohy a instrukce pro zobrazení zašifrovanou zprávu. Můžete otevřít přílohu přímo z vaší schránky, a příloha se otevře v novém okně prohlížeče. Chcete-li zobrazit zprávu, stačí postupovat podle jednoduchých pokynů pro ověřování prostřednictvím vaší Office 365 ID nebo Microsoft účet. "
Od začátku léta, kdy se úniky Edward Snowden NSA začala šifrované komunikace se staly horkým tématem v oblasti bezpečnosti a ochrany osobních údajů obce, stejně jako v širší komunitě uživatelů. Zabezpečené e-mailové služby údajně používá Snowden, Lavabit, vypněte v srpnu, stejně jako systém Silent Mail spustit Silent Circle, oba pohyby přijdou na paty vládní požadavky na SSL klíče Lavabit je.
Nová služba Microsoft není opravdu stejný druh systému, jako ty, ale to by měl pomoci podnikům zabezpečit své citlivé komunikace pomocí různých šifrovacích programů. Pokud data v klidu v datovém centru společnosti Microsoft, bude chráněn nástrojem BitLocker. Spojení mezi klientem a Office 365 serverů je chráněn SSL reklamu zprávy budou zašifrovány a podepsány pomocí S / MIME.
Systém bude využívat jednoduché webové rozhraní pro správu a správci podnikových mají schopnost nastavit Riles, které určují, které e-maily budou šifrovány.
"Rozhraní šifrování zpráv, založený na aplikaci Outlook Web App, je moderní a snadno ovladatelné. Můžete snadno najít informace a provádět rychlé úlohy, jako je odpověď, vpřed, vložit, připojit, a tak dále. Jako další ochranné opatření, když přijímač odpoví odesílateli zašifrované zprávy nebo si přeposílá zprávy, tyto e-maily jsou také šifrované, "řekl Sahay.
Horizontální hádání hesla útoky část I
22.11.2013 Šifrování | Zabezpečení
Je-li zabezpečení je těžká řetězce, co je nejslabším článkem? Dám vám nápovědu, mohlo by to být napsán na malé žluté lepicí poznámky přilepená na monitoru nebo schované pod vaší klávesnici! To je pravda, hesla jsou viníkem! Hrubou silou hádání hesla útoky jsou oblíbenou technikou zákeřnými útočníky všude. Zda cílem je SSH server, finanční webová aplikace, nebo aplikace, webmail, jak budete číst tuto větu útočník někde se uvádí na trh hrubou silou hádání hesla útoku. A před dokončením tohoto blogu, že útočník má pravděpodobně prasklá heslo nebo dva.
Takže jaké je řešení? Uzamčení účtu je široce považován za účinný prostředek na hrubou silou hádání hesla útoky. Po určitém počtu neúspěšných pokusů o přihlášení v určitou dobu, uživatelský účet cíl je uzamčen po určitou dobu. Například, po třech neúspěšných pokusech o přihlášení během jedné hodiny, uživatelský účet cílový může být uzamčen po dobu 15 minut. Uzamčení účtu dosáhne dva důležité cíle. Za prvé, uzamčení účtu throttles, jak rychle se útočníci mohou hádat hesla. V tomto případě útočníci mohou pouze 12 hesel za hodinu. Typický seznam slov může obsahovat tisíce možných hesel. Faktor v pravidlech substitučních (například nahrazením "@" znak pro "a" znak) a pravidla příponu (například připojením "1" na heslo) a počet požadovaných odhadů může trvat loooooooong čas na zpracování. Za druhé, uzamčení účtu výstrahy administrátorům, že útok je v současné době probíhá. Důvtipný administrátoři mohli zavést protiopatření, například provádění zvyšování pauzy mezi neúspěšných pokusů o přihlášení, nebo dokonce zablokování problematický zdrojovou IP adresu úplně.
Takže to, co je chytrý útočník dělat? Jako Olivia Newton-John jednou broukala, "tam je nic o tom mluvit, pokud je to vodorovně!" Horizontální hádání hesla útoky eliminovat oba výše uvedené vlivy a umožňuje útočníkům získat největší práskl přes kapsu. Místo toho se snaží dlouhý seznam hesel proti jednomu účtu (vertikální heslo hádat, útok), horizontální heslo hádat útok s sebou nese snaží jen pár běžných hesel proti dlouhého seznamu jména. Uzamčení účtu je téměř vždy vynuceno na uživatelské jméno, nikoli na hesla, takže omezení počtu pokusů o přihlášení na uživatelské jméno umožňuje útočníkům obejít uzamčení účtu.
Pojďme se krok do boty škodlivého útočníka a prodiskutovat horizontální hádání hesla útoku. Popadni Cheetos a Mountain Dew a pojďme to párty. První otázka je jednoduchá. Co hesla bychom měli hádat? Každý rok SplashData sestavuje seznam nejčastějších hesel zjištěných v důsledku narušení bezpečnosti. Seznam 2012 byl sestaven z narušení bezpečnosti na významných lokalit, včetně Yahoo, LinkedIn, a eHarmony ( http://www.splashdata.com/press/PR121023.htm ). Zde jsou nejhorší z nejhorších, deset nejčastější hesla ve volné přírodě:
To je náš seznam deseti cílových hesla! Kromě toho, že i stealthier můžeme rozdělit tento seznam do pěti skupin, se snaží pouze dvě z hesel každou hodinu. Tento konzervativní rozvrh nám umožní létat pod radarem a téměř jistě vyhnout uzamčení účtu. Jako ninja! No to je skvělé pro hesla, ale co uživatelským jménem? Budeme řešit tuto otázku v příštím blogu! Zůstaňte naladěni!
Horizontální hádání hesla útoky část II
22.11.2013 Šifrování | Zabezpečení
Vítejte zpět! V naší poslední splátky jsme začali plánovat naši horizontální hádání hesla útok identifikaci deset nejběžnějších hesel. Doufejme, že nikdo z těch hrozných hesla jsou načmáral na malých poznámek kdekoli v blízkosti vašeho boxu! Ale co uživatelským jménem? Co uživatelská jména bychom měli hádat? Je-li cílová aplikace využívá zavedený formát uživatelské jméno, můžete snadno předvídat společné uživatelské jméno. Zvažte například aplikaci, která konstruuje uživatelské jméno tím, že kombinuje první počáteční a příjmení uživatele. Například uživatelské jméno pro Johna Doe by "jdoe". Podle webové stránky sociálního zabezpečení, jedná se o top deset mužská jména vydané v roce 1980 ( http://www.ssa.gov/OACT/babynames/decades/names1980s.html ):
1.. Michael 2. Christopher 3. Matthew 4. Joshua 5. David 6.. James 7. Daniel 8. Robert 9. John 10. Joseph
A toto jsou první desítce ženského jména vydané v roce 1980:
1.. Jessica 2. Jennifer 3. Amanda 4. Ashley 5. Sarah 6.. Stephanie 7. Melissa 8. Nicole 9. Elizabeth 10. Vřes Proč 1980, ptáte se? Budeme se hádat, že naše střední uživatel je ve svých 30 letech. Ale mnohem důležitější je, že 1980 představoval neuvěřitelné písně jako "Come On Eileen" a "Total Eclipse Of The Heart". V každém případě, lze odvodit, že nejčastější mužské a ženské křestní jména začít s těmito písmeny:
1.. 2.. C 3.. D 4. E 5. H 6.. J 7. M 8. N 9. R 10. S
Takže deset nejčastější mužské a ženské křestní jména kondenzovat do seznamu přesně deset prvních iniciály? No není to výhodné! Ale co příjmení? Podle sčítání lidu Spojených států Bureau, to jsou nejčastější příjmení (deset http://www.census.gov/genealogy/www/data/2000surnames/index.html ): 1.. Smith 2. Johnson 3. Williams 4. Brown 5. Jones 6. Miller 7. Davis 8. Garcia 9. Rodriguez 10. Wilson
Vsadím se, že chudý Tom Hanks stále postrádá # 10. V každém případě, teď máme všechny správné ingredience vařit naši tajnou omáčku. Můžeme napsat skript pro výčet nejběžnějších 100 uživatelských jmen postupným spojením deset nejčastějších první iniciály s každou z nejčastějších příjmení deset. Například:
To je náš seznam 100 cílových uživatelských jmen! Nakonec každý z 100 cílových uživatelských jmen je možno kombinovat s každým z deseti nejčastějších hesel z naší poslední splátky: 1.. asmith / heslo 2. asmith/123456 3. asmith/12345678 4. asmith/abc123 5. asmith / qwerty . . . 996. swilson / monkey 997. swilson / letmein 998. swilson / drak 999. swilson/111111 1000. swilson / baseball
Voila! Nyní máme optimalizovaný seznam 1000 uživatelských jmen a hesel na krmení do našeho hádání hesla nástroj. Ale já vím, co si myslíš. Má to opravdu funguje? Odpověď je definitivní ano! Osobně jsem implementovány tuto techniku s vynikajícími výsledky při provádění penetračních testů pro klienty Symantec. Stačí změnit formát uživatelského jména, aby vyhovovala vašim potřebám (např. "first.last" nebo "first_last") a nechte své heslo hádat nástroj rip!
Takže to, co je morální tohoto příběhu? Posílit hesla obranu, kdykoli je to možné. Vzpomínáte si na ty tři příklady aplikací, které jsme uvedli v naší poslední splátky? SSH server, bankovní webové aplikace a aplikace webmail? Zde jsou návrhy pro každého: SSH Server - Vyhněte se hesla, kdykoli je to možné. Například, implementovat ověřování veřejného klíče SSH. Finanční webová aplikace - Dodatek hesla se dvěma ověření faktoru. Například, nasazení VeriSign VIP žetony ( https://idprotect.verisign.com/learnmoretoken.v ). Webmail aplikace - Zajistit hesla dodržovat přísné délku hesla a požadavky na složitost. Například, vyžadují hesla osm znaků a musí obsahovat pouze velká písmena, malá písmena, číslice a speciální znaky. Kromě toho, implementovat uzamčení účtu. Kromě toho, vzdělávat uživatele o nástroji správu hesel, jako jsou vynikající Bruce Schneier Password Safe ( http://passwordsafe.sourceforge.net/ ). No já doufám, že jste si užili vyšetření horizontálních útoků hádání hesla. Doufejme, že po přečtení těchto blogů, silnější hesla a bezpečnější aplikace bude na obzoru! (Omlouvám se, jsem prostě nemohl odolat.)
Rozhodl, že sběr dat autorizovaným NSA hromadný e-mail je uvedena 21.11.2013 Šifrování | Zabezpečení Nová várka z odtajněných dokumentů zveřejněných Obamovy administrativy zahrnují jednu rozhodnutí učiněné tehdejšího hlavního soudce zahraniční zpravodajské Surveillance soudu, se kterou povolil NSA masivně sbírat e-mailové metadata a data týkající se jiných internetových komunikací podle ustanovení Zákon Surveillance cizí inteligence z roku 1978. názor , podepsali soudce Colleen Kollar-Kotelly, je myšlenka se datují do července 2004 a je těžce redigován. Nicméně, to může být vidět, že aplikace NSA požádal o mnohem širší typu sběru než jiné pero Registrace / pasti a stopové aplikace, a že žaloba byla udělena. Jaký je rovněž zajímavé poznamenat, že část, která definuje, co metadata v tomto případ ve skutečnosti je prakticky omdlel úplně, takže jsme vlastně nemůže říct s jistotou, co NSA by považují za "metadata", a to, co by se kategorizovat jako "obsah". Jen krátkou větu, která nebyla redigovanou pořady že e-mailová adresa odesílatele a příjemce, nejsou považovány za "obsah". "surový objem navrhovaného kolekce je obrovský," napsal Kollar-Kotelly, ale odhadovaná velikost kolekce je opět redigován. "V absolutním vyjádření, navrhovaný dohled" bude mít za následek shromažďování metadat týkajících se [redigovaných] elektronických komunikací, včetně metadat pertainin komunikaci ze Spojených států, osob umístěných ve Spojených státech, které nejsou předmětem žádného vyšetřování FBI " . " Stanovisko pokračuje popsat nezbytnost a výhody takové hromadné sběr a následné analýzy jak pro NSA a FBI, a metod použitých pro analýzu meta data. soudce také poznamenal, že "neexistuje žádný rozumný očekávání Ochrana osobních údajů v rámci čtvrtého dodatku v metadatech, které mají být shromažďovány, "a zopakoval předchozí rozhodnutí, že řekl, že" člověk nemá žádný legitimní očekávání soukromí v informace, které dobrovolně otočí na třetím stranám, "protože" nese rizika ", které třetí osoba by odhalilo, že informace na vládě. V té době, rozhodnutí použije na údaje týkající se telefonních hovorů, ale soudce řekl, že stejný závěr platí do e-mailu meta data. Stručně řečeno, soudce rozhodl, že proto, že kolekce metadata, která nebyla vyzvána pro běžné účely vymáhání práva, ale i pro národní Zájem o zamezení teroristickým útokům, to by bylo dovoleno, ale že zvláštní omezení týkající se přístupu, uchovávání a šíření takových informací bude muset být nastavena tak, aby se zabránilo zneužití a porušení na Prvního dodatku práva nevinných osob. meta Program shromažďování dat byl poprvé zaveden v roce 2001, po 9/11 útoky, americký prezident George W. Bush. To trvalo tři roky a hrozby z vyšších úředníků řekl, že by odstoupil pro podávání žádat o povolení pro něj z FISC. . Program byl zastaven v roce 2011, protože "provozních zdrojů a příčin" "Na logice těchto stanovisek, téměř každý digitální stopu po sobě zanecháme lze vysávat až do vlády - kdo jsme mluvit, co čteme, kam jdeme on-line, "komentoval ACLU National Security Project právník Patrick Toomey." Stejně jako předchozí verze, tyto materiály vykazují nebezpečí vládě, která obchází veřejnou diskusi a místo důvody jeho dozoru pravomoci v tajných názory tajné soudu. "
Microsoft oznamuje důchodu z SHA-1 17.11.2013 Zabezpečení | Šifrování Spolu se standardními bezpečnostními rad zveřejněných na tento měsíc Patch Tuesday , Microsoft také vydal několik, které oznámí společnosti záměr kritizují SHA-1 algoritmus a vyhnout šifrovací RC4. "Microsoft doporučuje, aby zákazníci a CA přestat používat SHA- 1 pro kryptografických aplikací, včetně použití v SSL / TLS a kód podpisu, "vysvětlili tím, že společnost přestane uznání platnosti SHA1 bázi certifikátů Podepisování kódu po 1. lednu 2016 a to SHA-1 na bázi SSL certifikátů po 01.01.2017. Microsoft se snaží vyhnout se situaci, co se stalo, když autoři malware Flame podařilo provést kolizní útok na MD5 a kováním Microsoft digitální podpis, vydávat se za své servery. Stejně jako MD5 před tím, vědci dokázali při několika příležitostech, že algoritmus SHA-1 je citlivý na kolize, a společnost se rozhodla jednat namísto reagovat tentokrát. "USA NIST Pokyny radil, že SHA-1 nesmí být důvěryhodný minulosti ledna 2014 na vyšší úroveň zajištění komunikace přes US Federal PKI Bridge. Běžnou praxí však bylo i nadále vydávat SHA-1 na bázi certifikátů a dnes certifikáty SHA-1 připadá více než 98% vydaných po celém světě, "oni vysvětlil . "Nedávné pokroky v kryptografických útokům na SHA-1 nás vedou k zjištění, že průmysl nemůže řídit pokračující vydávání SHA-1, ale musí přechod na SHA-2 certifikáty." Společnost také vydala zásady pro kritizovat algoritmus pro certifikát orgány, které jsou členy Root Certificate Program Windows, ale mají také řekl, že odpisové lhůty bude znovu v roce 2015. řada praktických útoků proti proudu šifry RC4 je opět důvod, proč Microsoft oficiálně doporučuje , aby zákazníci důchodu a kritizovat RC4 v jejich implementacích TLS. Namísto toho se doporučuje, aby TLS1.2 s AES-GCM. také poukázal , že z nejnovější verze IE nenabízí RC4 založené šifer během prvních TLS / SSL handshake jako první možnost, je mu vyhrazeno místo jen pro situace, kdy prohlížeč nemůže jednat non-RC4 apartmá se serverem.
HTTP / 2 židle říká protokol bude fungovat pouze s HTTPS URI
15.11.2013 Zabezpečení | Šifrování
Vedoucí pracovní skupiny navrhování další verzi protokolu HTTP řekl HTTP / 2 protokol bude pracovat pouze s šifrovaným URI.
"Myslím, že nejlepší způsob, jak můžeme dosáhnout cíle, kterým je zvýšení využití TLS na webu je podpořit jejich používání pouze pomocí HTTP/2.0 s https:// URI," napsal Mark Nottingham na konferenci W3C .
Tento krok je varovným výstřelem rostoucí dohledu ze strany vlády USA proti svým vlastním občanům a cizincům. Řada významných internetových hráčů, jako je Google a Facebook se obrátil HTTPS ve výchozím nastavení na počtu klíčových služeb, jako je Gmail. Pokud Nottingham návrh s HTTP / 2 obstát, byl by to obrovský krok kupředu směrem k plné zajištění TLS webového provozu.
"Aby bylo jasno - budeme ještě definovat způsob použití HTTP/2.0 http:// URI, protože v některých případech použití může realizátor učinit informovanou volbu používat protokol bez šifrování," řekl Nottingham. "Pokud však jde o běžný případ - procházení Open Web - budete muset použít https:// URI a pokud chcete používat nejnovější verzi protokolu HTTP."
Byly tam tři návrhy do pracovní skupiny, Nottingham, řekl:
Příležitostné šifrování http:// URI bez ověření serveru, také známý jako TLS Uvolněná; Příležitostné šifrování http:// URI s ověření serveru; HTTP / 2 použít pouze s HTTPS na síti Internet. Nottingham řekl diskuse přistál na třetí možnost, protože to představuje nejmenší počet složitost a HSTS je možnost downgrade ochranu. Také prohlížeče dodavatelé byli vokální o potřebě šifrování webového provozu, který by hodit nějaké významnou váhu za pohybu.
Vzhledem k tomu, Snowden úniky i nadále odhalovat šíři dohledu NSA na Američany za sběr metadat telefonního hovoru do odposlechu vláken vazeb mezi internetových datových center, vyzývá k posílení šifrování se hlasitěji. Cryptographer a bezpečnostní expert Bruce Schneier napsal v eseji minulý měsíc, že internet umožňuje dohled jako podniky sbírají data z návštěvníků a firem, často jasné.
Vyzval velké internetové hráče na zvýšení nákladů na dohled a nutí NSA dát brzdy na rozsáhlou sbírku ve prospěch cíleného dohledu.
"Moorův zákon učinil výpočtu levnější. Každý z nás udělali výpočtu všudypřítomné. A protože výpočetní produkuje data, a tato data se rovná dohled, jsme vytvořili svět všudypřítomné sledování, "Schneier napsal . "Nyní musíme zjistit, co s tím dělat. To je více než ovládnou NSA a pokutování korporaci pro příležitostné zneužívání dat. Musíme se rozhodnout, zda naše data sdílený společenský zdroj, část z nás, která je ve své podstatě naše právem, nebo soukromý dobré být kupoval a prodával. "
Do té doby, Nottingham řekl, že pohyby HTTP / 2 vpřed přijetí by jiné možnosti, jako je Perfect Forward Secrecy považovat.
"Věřím, že tento přístup je tak blízko ke konsensu, jak budeme mít na této sporné téma právě teď," řekl. "Jako HTTP / 2 je nasazen, budeme hodnotit přijetí protokolu a může toto rozhodnutí změnit, pokud se nalézt způsoby, jak dále zvyšovat bezpečnost."
MacRumors fórum Hacker říká hesla nebudou děravý
14.11.2013 Kryptografie
Hacker za MacRumors Fórum porušení řekl, že útok byl "přátelský" a že žádný z používaná data budou unikly. Redakční ředitel Arnold Kim potvrdil, že Threatpost příspěvek na fórech od hackera je legitimní.
Kim vyslán poradenství na fóru v pondělí informuje uživatele, že došlo k porušení nimž došlo, a poradenství dané lokality 860.000 a více členech změnit svá hesla na fóru a všude tam, kde mohou být použita stejná pověření. MacRumors fóra řekl, že byl zařazen třetí strana bezpečnostní firma vyšetřovat útok, který to přirovnat k červenci vloupání do Ubuntu fóru.
Hacker, který zveřejnil část hash hesla Kim a sůl jako důkaz své legitimity, obvinilo MacRumors Fórum moderátora, jehož pověřovací listiny byly ukradeny a použity pro přístup k databázi hesel.
"Nejdeme na" úniku "cokoliv. Neexistuje žádný důvod, proč pro nás. Neexistuje žádná legrace v tom, že. Nevěřte nám, pokud nechcete, my upřímně vůbec nezajímá, "napsal hacker. Kim řekl dnes odpoledne, že místo nemá žádné další podrobnosti o stavu vyšetřování.
"V situacích, jako je tato, je to nejlepší předpokládat, že vaše MacRumors Forum uživatelské jméno, e-mailová adresa a (hash), heslo je nyní znám," řekl Kim.
Hacker potvrdil, že 860.106 hesla jsou dumpingové, a 488.429 ještě soli nejméně tři bitů dlouhý.
"Každý, kdo by byl aktivní v poslední době bude mít delší sůl, která zpomalí hash trhlin o zlomek času, který by přijaly (duplicitní soli = méně práce udělat, je to jako, že jich mají s 3 bit soli) , "se hacker příspěvek řekl. "Nejsme" hmotnost popraskání "hodnoty hash. Neznamená to však trvat dlouho vůbec spustit hash přes hashcat s několika slovníků a solí, a získat výsledky. "
Hacker řekl svalit vinu na uživatele, pro opětovné použití hesel, což je proti obecně uznávaných bezpečnostních postupů s tím, že pověření nejsou využívány pro přihlášení do webové e-mailové účty nebo jiných on-line služeb.
"Nejsme teroristé. Už se nemusíte bát, a přestat obviňovat ho na MacRumors, když to byla vaše vina pro opakované použití hesla na prvním místě, "napsal hacker.
MacRumors fórum, stejně jako na webu Ubuntu běží na platformě vBulletin; všechny aktuální verze podílu vBulletin stejný algoritmus hash, v závislosti na útočníka, který dodal, že útok úspěch nemá nic do činění s zastaralé software nebo vBulletin, spíše moderátor pověření byli schopni dělat kompromisy.
Útok na volném Linuxové distribuce Ubuntu v červenci ovlivněn blízkosti 2000000 svých členů fóra účtu. Přístup každý uživatel e-mailovou adresu a hash hesla, Canonical, UK-založená softwarová společnost, která podporuje distro, také doporučila, aby svým uživatelům změnit své heslo fórum a nikde jinde heslo by byly použity. Ubuntu heslo poklad byl také upraven a solené, solení je přidávání náhodných znaků na heslo před jeho hash. Praxe snižuje schopnost hacker použít běžné hesla útoků jako slovníkové útoky.
"Zvažte" škodlivý "útok přátelský," řekl hacker MacRumors fóra. "Situace mohla být katastrofálně horší, kdyby nějaký věhlas pohonu idiot byl viník a databáze měla být unikly na veřejnost."
Inkblots by mohla vyřešit problém napadených hesel 14.11.2013 Kryptografie
Carnegie Mellon University počítačové vědci vyvinuli nový systém hesel, který zahrnuje Inkblots poskytnout zvláštní opatření na ochranu, když, jak tak často vyskytuje, se seznamy hesel ukradl z internetových stránek.
Tento nový typ hesla, přezdívaná GOTCHA (Generování panoptic Turing Testy říct Počítače a lidé Apart), by bylo vhodné pro ochranu vysoce hodnotných účty, jako jsou bankovní účty, lékařské záznamy a další citlivé informace. Chcete-li vytvořit gotcha, uživatel zvolí heslo a počítač generuje několik náhodných, multi-barevné Inkblots. Uživatel popisuje jednotlivé Inkblot s textem fráze. Tyto výrazy jsou pak uloženy v náhodném pořadí spolu s heslem. Když se uživatel vrátí na místo a podepisuje ve heslem, jsou Inkblots znovu zobrazí spolu se seznamem popisných vět, uživatel pak odpovídá každý výraz s příslušnou inkblot. "Tohle jsou puzzle, které lze snadno pro člověka řešit , ale těžké pro počítač vyřešit, i když to má nevešlo použité pro generování hádanku, "řekl Jeremiáš čtverečkování, Ph.D. student počítačových věd, který vyvinul Gotchas spolu s Manuelem Blum, profesor počítačových věd, a Anupam datta, docent informatiky a elektrotechniky a výpočetní techniky. Tyto puzzle by se ukázalo významné při porušení bezpečnosti webových stránek za následek ztrátu milionů uživatelů hesla - běžná událost, která se trápí takové firmy jako LinkedIn, Sony a Gawker. Tato hesla jsou uloženy jako kryptografických hašovacích funkcí, ve kterých jsou hesla jakékoliv délky převedeny na řetězce bitů stejné délce. zloděj nemůže snadno rozluštit Tyto hodnoty hash, ale je možné namontovat co se nazývá automatické režimu offline slovníkový útok. Počítače dnes mohou hodnotit tolik jako 250 milionů možné hodnoty hash každou vteřinu, čtverečkování poznamenal. Vzhledem k pokračující popularita jednoduchých hesel, jako "123456" nebo "heslo", není to vždy těžké rozlousknout tyto hashe. Ale i tvrdé hesla jsou citlivá na nejnovější hrubou silou metod, čtverečkování řekl. V případě GOTCHA by však počítačový program sám nestačí proniknout do účtu. "rozlousknout heslo uživatele do režimu offline, protivník musí zároveň hádat hesla uživatele a odpověď na odpovídající puzzle, "řekl Datta. "Počítač může to udělat sám. A pokud počítač musí neustále komunikovat s člověkem vyřešit hádanku, již může přinést svou hrubou sílu nést crack hash." , protože uživatel je popisné fráze pro Inkblots jsou uloženy, Uživatelé si nemusí pamatovat jejich popisy, ale musí být schopen vybrat ven ze seznamu. Chcete-li zjistit, zda lidé mohli dělat to spolehlivě, vědci provedli studii uživatele s 70 lidmi najatými prostřednictvím Mechanical Turk. Nejprve byl každý uživatel požádán, aby popsal 10 Inkblots s kreativními titulů, jako "zlý klaun" nebo "paní s šaty poofy." O deset dní později, byli požádáni, aby odpovídaly ty tituly s Inkblots. Ze 58 účastníků, kteří se zúčastnili druhého kola testování, jedna třetina správně uzavřeno všech Inkblots a více než dvě třetiny dostal polovina právo. čtverečkování řekl, že design uživatelského studie, včetně finančních pobídek, které byly příliš nízko, může tvoří méně než hvězdný výkon. Ale on řekl, existují i způsoby, jak popisy více zapamatovatelné. Jeden způsob, jak by bylo použít více komplikované příběhy, jako je "šťastný chlap na zemi chrání sám od ticklers." Výzkumníci také pozvali kolegy výzkumníky bezpečnosti aplikovat umělé inteligence techniky, aby se pokusili zaútočit na heslo Mám to schéma. Jejich GOTCHA Challenge je on-line .
Facebook vyžadující vytvoření nového hesla v Aftermath Adobe
14.11.2013 Sociální sítě | Kryptografie
Chapadla masivní porušení Adobe , zavolal jednoho z nejhorších v dějinách USA o jeden bezpečnostní expert, dosáhly Facebook uživatelé, zejména ti, kteří používají stejný e-mail a heslo kombinace pro sociální sítě, stejně jako Adobe.
Zástupce Facebook potvrdil Threatpost, že dnes uživatelé v této situaci jsou prezentovány se zprávou oznamující jim, že musí změnit svá hesla.
"Budeme aktivně vyhledávat situace, kdy účty lidí, kteří používají Facebook by mohl být ohrožen, i když hrozba je mimo naše služby," Facebook je Jay Nancarrow píše se v prohlášení. "Když najdeme takové situace, předkládáme zprávy lidem, aby jim pomohla zabezpečit své účty."
Údaje z porušení Adobe, zveřejněné počátkem října, byl objeven on-line na blogger Brian Krebs a podržte bezpečnostní CEO Alex Holden. Tento software gigantů byla porušena neznámými ruskojazyčné útočníků, kteří byli schopni ukrást zdrojový kód pro produkty Adobe, jako je Acrobat, ColdFusion a Photoshop. Adobe nejprve řekl, až tři miliony záznamů o zákaznících byly také ohroženy, včetně šifrovaných hesel a čísel kreditních karet. Toto číslo se upraví na 40 milionů nahoru po více dat na povrch online. Analýza ukázala, že šifrovaných hesel Adobe použil slabou šifrovací schéma k zajištění pověření, se hesla byly zajištěny pomocí symetrického šifrovacího kódu, což znamená, že někdo schopen uhádnout klíč může odemknout všechna hesla v pochybnost.
Facebook uvedl, že bylo česání prostřednictvím hesel hledají odpovídající jména a hesla, kombinace s cílem udržet účty svých uživatelů v bezpečí. Chris Long, bezpečnostní Facebook člen týmu, to potvrdil v komentáři zveřejněném na Krebs o bezpečnosti.
"Použili jsme holého textu hesla, které již byly vypracovány pro výzkumníky," řekl Dlouhý. "Vzali jsme ty obnovené holého textu hesla a běžel je přes stejný kód, který používáme pro kontrolu hesla při přihlášení v čase.
"Jsme aktivní přístup k vyhledávání zdrojů kompromitaci hesel na internetu. Díky praxi, jsme se stali účinnější a efektivnější na ochranu účtů s pověřením, které byly unikly, a používáme automatizovaný proces pro zajištění těchto účtů. "
Do té doby, 20-letý z Nizozemska, který jde do rukojeti Lucb1e postavil nástroj , který usnadňuje hledání odcizeného dat pro uživatele e-mailové adresy nebo částečné adresy. Nástroj je stále online, i když Lucb1e říkal, že to nebude navždy.
"Vyhledání 10GB soubor není triviální, takže místo hledání je pro každého individuálně, jsem napsal program, který dělá to na pozadí (démon)," napsal. "Když někdo přidá vyhledávání je přidán do databáze. Démon kontroluje každých několik sekund, zda v (a kolik), vyhledávání byly přidány, a ovládá všechny vyhledávání ve stejnou dobu. "
Adobe byla ohrožena mezi červencem 31 a 15 srpna, ale porušení nebylo objeveno více než měsíc. Adobe zveřejněny porušení svým zákazníkům na 3.října a ještě získat podrobnosti o tom, jak útočníci byli schopni obejít jeho obrany. Krebs a Holden Nalezeno 40 GB dat ukradených z webu společnosti Adobe a dalších organizací na stejném serveru, používaného zločinci, kteří stáhl porušení proti LexisNexis a Dun & Bradstreet. Tytéž útočníci jsou věřil být zodpovědný za řadu porušení použitím ColdFusion využije sahající až do prosince loňského roku.
Microsoft varuje zákazníky od SHA-1 a RC4
13.11.2013 Kryptografie | Zabezpečení
RC4 a SHA-1 algoritmy vzali spoustu hitů v posledních letech, s novými útoky objevovat pravidelně. Mnozí odborníci na bezpečnost a kryptografie byly doporučuje, aby prodejci začnou postupné dva ven a Microsoft v úterý řekl, že je nyní doporučují pro vývojáře, které kritizují RC4 a přestat používat SHA-1 hash algoritmu.
RC4 je mezi starší apartmá proudová šifra v použití dnes, a tam byli množství praktických útoků proti ní, včetně prostého textu, obnovení útoků. Zlepšení výpočetního výkonu dělali mnoho z těchto útoků schůdnější pro útočníky, a tak Microsoft říká, vývojáři klesnout RC4 z jejich aplikací.
"Ve světle nedávného výzkumu do praktických útoků na zkreslení v RC4 proudová šifra, Microsoft doporučuje, aby zákazníci povolí TLS1.2 v jejich službách a podniknout kroky k důchodu a kritizovat RC4, jak je používán v jejich implementacích TLS. Společnost Microsoft doporučuje TLS1.2 s AES-GCM jako bezpečnější alternativa, která bude poskytovat podobný výkon, "Microsoft William Peteroy uvedl v blogu .
"Jedním z prvních kroků při hodnocení zákazníků dopad nové bezpečnostního výzkumu a chápe související rizika má co do činění s hodnocením stavu veřejných a prostředí zákazníka. Použití velikosti vzorku pět milionů stránek jsme zjistili, že 58% míst nepoužívají RC4, přičemž přibližně 43% ano. Z 43%, které využívají RC4, pouze 3,9% vyžaduje jeho použití. Proto zakázání RC4 standardně má potenciál snížit používání RC4 o více než téměř čtyřicet procent. "
Softwarová společnost je také doporučuje, aby certifikační autority a další přestat používat algoritmus SHA-1. Microsoft citoval existenci kolizních známých útoků proti SHA-1 jako hlavní důvod pro poradenství před jeho použitím. Také po lednu 2016 může Vývojáři Microsoftu již nelze používat SHA-1 v podpisu kódu nebo vývojáře certifikáty.
SafeToGo USB 3.0 flash disk hardwarovým šifrováním propuštěn
12.11.2013 Šifrování | Hardware
Cardwave spolupracuje s BLOCKMASTER vyrábět novou generaci vysoce zabezpečených USB disků kompatibilních 3.0 Flash. Nové zařízení bude obvykle pracovat na 2 až 3 krát rychleji než konvenční zařízení USB 2.0.
SafeToGo splňuje požadavky na zabezpečení pro organizace, které používají USB flash disky pro přepravu důvěrných dat. Nabízí podnikové třídy bezpečnosti se 100% hardwarové šifrování a ochranu heslem. Přístroj může být také plně spravované prostřednictvím serveru SafeConsole BLOCKMASTER, který byl inovován, aby zahrnovala podporu pro ShieldShare -. Bezpečné sdílení souborů řešení pro firmy "Bezpečnost dat by mělo být nejvyšší prioritou, když zaměstnanci manipulaci a cestování s citlivými informacemi. To se stává samozřejmostí přečíst o závažných případů ztráty dat nešifrovane jsou USB zařízení v omyl pracovníky a organizace jsou vystaveny nejen komerčně poškození únikem informací, ale významné pokuty, které mohou být tisíce liber, "říká Paul Norbury, Cardwave CEO. Jeho komentář přišel poté, co se některé články v posledních letech podrobně Katastrofální důsledky porušení v oblasti bezpečnosti dat a důsledek nepoužíváte šifrované USB disky. "Organizace mohou ztratit kontrolu umístění a zabezpečení svých dat velmi rychle. Z tohoto důvodu je nezbytné, aby společnosti nasadit správné řešení a využití hardwarové šifrované flash disky, které se opírají o komplexních bezpečnostních strategií, "uvedl Norbury.
TrueCrypt projít crowdfunded, veřejné bezpečnostní audit 12.11.2013 Šifrování | Ochrana
Po všech těch odhalení o špionáž efforts NSA, a to zejména po zveřejnění informací o jeho Bullrun programu zaměřeného na podrývání šifrovacích standardů a úsilí po celém světě, je vznesena otázka, zda nějaký šifrovací software, se dá věřit.
Bezpečnostní experti opakovaně uvedla, že chcete důvěřovat tento typ softwaru, je nejlepší vybrat si software, který je open source. Ale, aby bylo zcela jist, bezpečnostní audit kódu nezávislými odborníky zní jako definitivní odpověď na tuto otázku. A to přesně to, co Matthew Green, cryptographer a výzkumným pracovníkem na Johns Hopkins univerzitě, a Kenneth White, vedoucí vědecký pracovník na sociální a vědecké Systems, které si stanovili. software, který bude audit je slavný souborů a šifrování disku software TrueCrypt. K dispozici pro Windows, Linux a OS X, je uživatelsky přívětivý software vyvinutý neznámých vývojářů a doposud nikdy nebyly auditovány pro úmyslné či neúmyslné bezpečnostní chyby. Aby bylo možné financovat auditu projektu , zelená a bílá začali fundraising na FundFill a IndieGoGo a dosud zvýšil více než 50.000 dolarů celkem. Cílem projektu je několik:
K implementaci deterministických / reprodukovatelné staví, aby se ujistili, že softwarové binární soubory nebyly porušeny. Chcete udělat kompletní zdrojový kód audit provedený společností bezpečnostní hodnocení, který je kvalifikován přezkoumat šifrovací software. Chcete-li právní revize licence k softwaru, a zjistit, zda existuje způsob, jak umožnit, aby TrueCrypt být dodáván spolu s mnoha z populárních linuxových distribucí. Zelené a bílé doufají, že společnost, která přijímá udělat audit bude také darovat své doby zaměstnanců nebo snížit sazby pro tento projekt, stejně jako, že budou mít dost peněz, aby odměňoval chyb lovci, kteří se zapojili. "Nemáme" t očekávat, že každý jednotlivý člověk udělat vše. Přesné vyvážení výplaty z našeho shromažďují fondu je stále TBD, ale budeme formalizovat to brzy. Chceme také, specialisty a odborníky, a také chceme, aby lidé věnovali svůj čas tam, kde je to možné, "uvedli. "" problém "s TrueCrypt je stejný problém, který máme s jakýmkoliv populární bezpečnostní software v post-září-5 éry: nevíme, co už věřit, "Green vysvětlil v blogu. "Ale upřímně řečeno, existují i jiné věci, které se starají o mě TrueCrypt. Největší z nich je, že nikdo neví, kdo to napsal. " Také proto, že tam byly nějaké náznaky, že spustitelný soubor Windows TrueCrypt 7.0a je sestaven z jiného zdrojového kódu, než ve které je publikováno. "I v případě, že zdrojový kód je Truecrypt důvěryhodný, není žádný důvod se domnívat, že je binárka. A mnoho, mnoho lidí jen setkat TrueCrypt jako binární Windows, "podotkl. "Ve zkratce:. Existuje celá řada důvodů, proč musíme prověřit tento software - a pohybovat jeho proces vytváření bezpečného, na deterministický základ" Podle nejnovější aktualizace, mají kontaktoval (anonymní) TrueCrypt vývojového týmu, kteří vyjádřili svou podporu úsilí. "Oni to požádat, připomínáme komunitu (a kolegové vědci) na modelu TrueCrypt zabezpečení a související nástrahách, co software dělá a nezaručuje dělat, "oni si všimli.
Cryptolocker přepětí přímo svázané s Blackhole pádu
11.11.2013 Šifrování | Viry
Nedávný nástup Cryptolocker jako jeden z nejrozšířenějších, viditelné a smrtící hrozby je přímo vázána k zatčení "břicho", tvůrce nechvalně Blackhole Exploit výstroje a cool. Jak se dalo předpokládat, od jeho zatčení na začátku října, dva Sady - z nichž Blackhole byl nejpoužívanější jeden - zastavit přijímání aktualizací a exploity, které ovládal dostal zatuchlá, což kity mnohem méně účinné nástroje, než předtím. Cyber podvodníci, jejichž cílem je pokračovat v distribuci malwaru museli najít novou cestu, a to Ukázalo se, že Upatre downloader Trojan. "Zjistili jsme, že botnet Cutwail zodpovědný za hlavní Blackhole Exploit Kit spamu běží začal posílat ven vede účetní Upatre (což v konečném důsledku vede k CryptoLocker) zhruba v říjnu stejný měsíc břichem zatčení "Trend Micro vědci sdílené . "Ve skutečnosti jsme se sledovat více IP adresy spojené s přechodem - zasílání Blackhole Exploit Kit spam krátce před zatčením a odesílání spamu CryptoLocker po zatčení." Upatre downloader je obvykle dodáván jako malware přílohy v nevyžádaných e-mailů. Má jen jeden cíl, a dělá to dobře: to stáhne a spustí soubor z webového serveru ohrožena, a pak skončí. Kdysi se, že by stažení hlavně Zeus varianty, ale teď Cryptolocker se obvykle dodává místo. "Cutwail botnet má schopnost vyslat velmi vysokého počtu spamových zpráv, což vysvětluje vysoký výskyt této nedávné spinu v ransomware" Vědci poukázal. "Zdůrazňuje také, poněkud zvráceně, jak odolné počítačová kriminalita může být: odpověď na břicho odchodu byla pozoruhodně rychlá a může skončit až ovlivňuje více lidí, než oni měli předtím."
ENISA vydává doporučení pro zabezpečení dat pomocí šifrování
11.11.2013 Zabezpečení | Šifrování
ENISA, Evropské unie "kybernetická bezpečnost" Agentura zahájila zprávu doporučující, aby všechny orgány by měly lépe podpořit kryptografických opatření na ochranu osobních údajů.
Zpráva se zabývá způsoby, jak chránit citlivé a / nebo osobní údaje, které byly získány legálně. Jasná souvislost mezi ochranou soukromí a kryptografie je podtržen, který ukazuje, jak ten může hrát roli při ochraně osobních údajů a ochrany oprávněně získané citlivé nebo důvěrné informace. Zpráva předkládá mapování požadavcích na zabezpečení osobních údajů a základních kryptografických technik. Je pozoruhodné, že opatření v oblasti bezpečnosti informací a mechanismy mohou být nasazeny na ochranu osobních údajů. Nicméně, informační bezpečnost nepokrývá všechny otázky týkající se ochrany osobních údajů a soukromí. Vskutku, osobní / citlivé dat vyžaduje různá ochranná opatření v různých fázích životního cyklu. Proto zpráva představuje zkrácenou verzi tohoto životního cyklu popisu. Zpráva také uvádí bezpečnostní opatření a úvod do základních kryptografických metod. Zpráva je doplněna souborem technických doporučení pro klíčové algoritmy, velikostí, parametrů a protokolů. . Cílovými skupinami těchto doporučení jsou systémové vývojáři a inženýři údržby v obchodních podmínkách, které se potýkají s potřebou nasadit nebo vyměnit ochranná opatření pro data Mezi prvními třemi závěry a doporučení jsou:
Kryptografického opatření jsou jen jeden kus skládačky když se odkazuje na soukromí a ochranu údajů. Nicméně, šifrovací opatření představují důležitou ochrannou vrstvu pro ochranu dat, které mohou snížit dopad porušení. Relevantní zúčastněné strany (orgány pro ochranu údajů, členské státy EU a orgány, poskytovatelé služeb) by měla doporučit, uživatelů a dalších provedení bezpečnostních opatření pro ochranu osobních údajů, stejně jako spoléhat na stav-of-the-art řešení a konfigurací pro tento účel. Specializované pracovníci jsou potřebné pro správné provádění aktualizovaných kryptografických ochranných opatření.
OpenSSH Opravy poškození paměti chybná aktualizace
11.11.2013 Šifrování | Zranitelnosti
Vývojáři stojící za OpenSSH, koupelnou s připojením nástrojů, které pomáhá uživatelům šifrovat přenos na internetových zasedání uznala a záplatované přes víkend, že poškození paměti chyba zabezpečení existuje v některých verzích hlavního apartmá.
Pokud využívány, chyba zabezpečení by mohla, které lze nalézt v obou 6.2 a 6.3 sestavení OpenSSH, vedou k ověřeným chyby spuštění kódu, podle bezpečnostní poradenství na stránkách skupiny.
Hlavní problém pramení z post-autentizace sshd procesu a AES-GCM šifrovaných při výměně klíčů. SSHD nebyl inicializaci autentizační kód zprávy (MAC) a "vyčištění zpětné volání ještě byl vyvolán během re-klíčování provozu."
Hash založené na autentizační kódy zpráv (Macintoshe) dovolit sshd lepší bezpečnost díky ochraně integrity dat.
V tomto případě se však MAC se bude používat a adresa, která byla volána zpět se z předchozí dávky haldy obsahu.
Poradní nároky OpenBSD, který se rozvíjet sadu, opravil problém "pre-zatížení haldy s užitečným callback adresa" a prosazením adresa-prostorovém uspořádání randomizace (ASLR) k sshd a sdílených knihoven záleží na.
Vývojáři jsou povzbudivé uživatelům buď zakázat nepříjemné šifru, použít opravu - k dispozici na stránkách skupiny , nebo přejděte k OpenSSH 6.4 , který byl propuštěn v pátek.
Řešení potíží se zabezpečením, byla rychlá otočka pro OpenSSH. Markus Friedl, německý programátor a vývojář OpenSSH našel chybu a oznámil to jen den předtím, ve čtvrtek.
NIST Aktivuje Recenze svého Crypto vývoj norem 6.11.2013 Šifrování
Národní institut pro standardy a technologie učinila důležitý krok směrem k opravě co Národní bezpečnostní agentura údajně porušeno zahajuje přezkum svých kryptografických procesů pro rozvoj norem .
NIST-podporované algoritmy jsou jádrem řady norem kryptografických používaných k zabezpečení komunikace a obchodu, stejně jako porce jako základ pro řadu komerčních softwarových produktů.
Odhalení z informátorů Edward Snowdena si posvítila na případné NSA podvracení některých běžně používaných šifrovacích algoritmů, a to nejen zpochybnění integrity technologií, ale poškození NIST postavu jako normalizačním subjektem zúčtování. Některé Snowden dokumenty, zejména set zveřejněna v září v New York Times řekl, že NSA byla ničena šifrovacích standardů buď záměrně oslabení algoritmu agentura pomáhali budovat, nebo vložením kódu backdoor, které by mohly poskytnout NSA přístup ke všem on-line komunikace si zvolí.
Matthew Scholl, zástupce náčelníka NIST počítačové divize bezpečnosti, řekl Threatpost že doufá, že výsledek přezkumu je validace a verifikace procesů NIST využívá k vytváření kryptografických standardů, přirovnává ji k zajištění kvality a kontroly kvality. Dodal, že tento typ hodnocení není bloudit příliš daleko od zavedených hodnocení NIST svých procesů, ale tohle bude pravděpodobně o něco více veřejných. NIST uvedla, že bude získávat zpětnou vazbu při přezkumu z akademické obce crypto jiné normy, orgány, vlády a mezinárodními partnery, jakož i průmyslovými partnery.
"Škoda je široká a hluboká, a to nejen na NIST, ale pro průmysl a vlády jako celku," řekl Scholl. "Snažíme se, abychom zajistili udržení důvěry a udržet aktivní účast externích komunit crypto v naší práci. Chceme zajistit, budeme udržovat důvěru v to, co děláme, a nadále si, že účast-které dostaneme, když máme důvěru. "
K úniku vyjmenovat hlubiny dohledu NSA a vystavovat podvracení kryptografické standardy zvýšil skepsi nad NSA-sponzorované kryptografii. Nejvíce high-profil infiltrace může být vložení backdoor kódu v Dual ES DRBG algoritmu , v září, NIST doporučuje, aby vývojáři již použít algoritmus , dokud přezkoumání byla dokončena. RSA Security následoval s podobným doporučením. Dual ES DRBG je výchozí generátor náhodných čísel v řadě výrobků, včetně RSA RSA BSAFE knihoven a RSA softwaru pro správu.
NIST uvedla, že je znepokojena úniky NSA, protože to ohrožuje integritu jeho úsilí.
"Usilujeme o trvale otevřené a transparentní proces, který požádá o celosvětovou komunitu kryptografie, což nám pomáhá rozvíjet a vet algoritmy do naší kryptografických vedení," říká Donna Dodson, šéf bezpečnosti počítače NIST divize. "NIST se snaží podpořit důvěru v naše kryptografického vedení prostřednictvím těchto souhrnných a transparentních procesů rozvoje, kterým věříme a které jsou nejlepší v provozu."
Prominentní crypto experti, jako Matthew Green Johns Hopkins univerzity řekl Threatpost v září po zveřejnění výbušné New York Times článek o krypto činnosti NSA: "Spojené státy měly obrovský vliv na crypto po celém světě, protože máme NIST," Green řekl. "Mohli jste vidět lidi vytrhnout z NIST, který by poškodil všechny, a přestěhovat se do regionálních norem. Ta věc je problém.
"Věříme NIST, protože tam je spousta chytrých lidí. Pokud jste se rozešli do regionů, je to možné, co mohl dostat méně bezpečná, "Green přidán. "Ty by mohly skončit s více zranitelných míst standardy dostat slabší, tím méně úsilí, které vložíte do něj."
NIST řekl, že recenze je v počátcích a že se podílejí odborníci stále sestavování cílů, určit, které algoritmy budou přezkoumány a jak budou přezkoumány.
Po dokončení budeme veřejnému připomínkování v tomto procesu, "řekl Dodson. "Máme také přinese nezávislou organizací provést formální přezkoumání naší tvorby norem přístupu a navrhnout zlepšení. Na základě připomínek veřejnosti a nezávislý přezkum, budeme aktualizovat náš postup podle potřeby, aby se ujistil, že splňuje naše cíle pro otevřenost a transparentnost, a vede k nejvíce bezpečné, důvěryhodné vedení proveditelné. "
NSA popírá krádeže dat z datacenter Googlu a Yahoo
3.11.2013 Šifrovaní | Incidenty | Hacking Šéf americké národní bezpečnostní agentury (NSA) popřel, že by organizace tajně zachycovala velké množství informací ze serverů Googlu a Yahoo, aniž by měla od těchto společností svolení.
Generál Keith Alexander odpovídal na otázky ohledně této zprávy, se kterou první přišel magazín Washington Post na konferenci o kyberbezpečnosti. „Podle mých znalostí se nic takového nikdy nestalo,“ řekl.
Podle Washington Postu nové informace z dokumentů, které odtajnil Edward Snowden, popisují program s názvem MUSCULAR, přes který mohli američtí a britští agenti zasahovat do optických kabelů a kopírovat tak přenášená data.
Alexander, který řekl, že o tom nic neví, také připomněl, že mediální zprávy z dřívějška o programu PRISM, který média popsala jako „zadní vrátka“ byly „fakticky nepřesné“.
„NSA se do databází nevkrádá. Bylo by to vysoce nelegální. Takže nevím, co v té zprávě je, ale mohu vám říct, že přístup na servery Googlu ani Yahoo nemáme,“ oznámil. „Nemáme autorizaci prohledávat servery amerických společností a kopírovat jejich data. Aby bylo něco takového možné, muselo by to být schváleno soudně.“
Když byl Alexander dotázán na to, zda data z amerických společností, které NSA uvedla ve svém přehledu, byla získána soudním příkazem, odpověděl: „Přesně tak.“
MUSCULAR však operuje mimo Spojené státy, kde na NSA neplatí stejná omezení jako při domácích operacích. „Taková široká sbírka internetového obsahu by byla ve Spojených státech nelegální. Operace však probíhají v zahraničí, kde může NSA předpokládat, že je každý, kdo používá zahraniční datové linky, cizinec,“ popsal magazín.
Takže PRISM sice funguje pod dohledem soudu pro zahraniční zpravodajství, pro MUSCULAR však žádné podobné opatření neexistuje. Dříve v tomto roce NSA podala zprávu, podle které nasbírala za 30 dní více než 180 milionů záznamů.
Toto obvinění pravděpodobně naruší důvěru zahraničních firem a zákazníků ještě více. Už dříve celá řada poskytovatelů cloudu informovala, že zákazníci se začínají obávat ukládat svá data v amerických firmách, o své informace se začínají bát a tento strach byl Snowdenovým odhalením ještě umocněn.
Poté, co společnosti zjistily, že se potýkají s nedostatkem důvěry, několik z nich včetně Googlu a Yahoo začalo vyhledávat oprávnění zveřejňovat více informací o tom, jaká data zpravodajským službám poskytují. Ministerstvo spravedlnosti však takovým žádostem odolává.
technologové Zkoumat Vliv úřadu NSA na hospodářství, důvěra 10.10.2013 Šifrování | Bezpečnost
Pokud hledáte pro stříbrné obložení mezi Snowdena netěsnosti a šíři činností dozoru NSA, je lze nalézt ve dvou věcech: 1) matematika dodržování technologie šifrování je, pokud víme, pevná a 2) Tor zřejmě řídí špionážní agenturu USA praštěný.
"Divím se, že," řekl Matt Blaze, cryptographer a profesor na University of Pennsylvania, "na to, jak málo z tajemství NSA se vztahují k tomu, jak prolomit šifrování."
Kromě toho a nedávné odhalení, že NSA měl poměrně málo jedinců, kteří komunikují sledování úspěšnosti a přesunout on-line pomocí sítě Tor, bude se týče vytvoření přísně tajné interní prezentace s názvem "Tor smrdí", tam není Zdá se, že mnoho dělat technologové úsměv v těchto dnech.
Blaze byl jedním z pěti odborníků na technologii panelu středu během celodenního programu Cato Institute v oblasti dozoru NSA. Panel, který zahrnoval Karen Reilly Projektu Tor, David Dahl z SpiderOak, Jim Burrows Silent Circle a Chris Soghoian z ACLU, obsazení technickou kontrolu o činnosti NSA a její dopad na důvěru v technologie a internetu schopnost bezpečně podporovat komunikaci a elektronického obchodování.
Senátor Ron Wyden, D-Oregon, porazit ekonomickou buben brzy ráno s vášnivou keynote bubnování podporu pro svůj dvoustranný zákona doufá, že skončí hromadný sběr Američanů telefonní záznamy NBÚ, stejně jako přinést sledování reformy. Wyden rovněž poukázal na to, že on měl rozhovory s hlavními obchodními vůdci obávají ekonomických dopadů údajné podvracení NSA bezpečnostních technologií a vztahů to má s velkými telekomunikační a internetové společnosti z hlediska dlouhodobého přístupu k zákaznických dat.
"Politici, kteří se zaregistrují sleva na příliš široké programů dozoru by měly být uvažování o dopadu na amerických pracovních místech, a důvěru," řekl Wyden. "Důvěra je tak důležité pro americké firmy, aby po celém světě. Nemají tuto důvěru osmózou, ale to bylo vydělal v průběhu let prostřednictvím pevných obchodních praktik. "
Soghoian zdůraznil, že společnosti jako SpiderOak, který poskytuje bezpečné zálohování služby a Silent Circle, který poskytuje bezpečné telefonní služby, jsou v jedinečné pozici, protože jsou rozděleny podle funkcí zabezpečení a ochrany osobních údajů ve svých produktech. Silent Circle nedávno okenice svou e-mailovou službu, spíše než někdy být nucen předat údaje o zákaznících na vládu, jeho rozhodnutí přišlo v patách rozhodnutí Lavabit je uzavřít své brány. Lavabit byl bezpečný e-mailových služeb, stejně, to bylo používáno Edward Snowdena, a spíše než zase přes soukromé klíče pro dešifrování oznamovatele je e-maily, se rozhodla ukončit své dveře trvale.
"Spojené státy jsou lídrem v oblasti malé a střední podniky, které poskytují bezpečné komunikační služby," řekl Soghoian. "Když americká vláda nutí k Lavabit dodržovat, je to rozsudek smrti. Dodržujte, a vaše reputace je zničena. Bezpečné komunikační služby jsou v ohrožení. Měli bychom chtít tuto část ekonomiky k růstu. "
NSA je obviněn z podvracení šifrovacích standardů, injektáže se do vývoje těchto norem zúčastněných a přispívajících do Národního institutu pro standardy a technologie (NIST) a oslabení standardů úmyslně, nebo jít tak daleko, že injekci zadní vrátka, aby se přístup komunikace později. To také byl obviněn obdobné činnosti s bezpečnostním software a hardware, výsadba zadní vrátka do kódu a hardware s cílem udržet trvalý přístup a dohledu volný přístup do těchto produktů.
Soghoian prosil novináře, s přístupem k Snowdena dokumentů odhalit tajemství, které byly dosud upravenou, pravděpodobně provedeno ve spolupráci s vládou.
"Věci, které musíte vidět, jsou zdroje novináři musíte mít tajné názvy algoritmů, které byly rozvráceny. Názvy společností NSA rozvrátil a sabotoval produkty, "řekl Soghoian. "Musíme to vědět na ochranu veřejnosti."
Soghoian řekl přísně tajné slide prezentace vydané veřejnosti Guardian redigován jména dvou výrobců čipů VPN, které byly backdoored NBÚ a GCHQ.
"Chceme vědět, jaké jsou backdoored s cílem chránit lidi," řekl Soghoian. "To jsou věci, novináři mají pocit, že musí chránit."
Tor, zatím je ve stoje jako spolehlivém médiu. Být open source, Reilly uvedl, nutí uživatele důvěřovat kódu spíše než lidi za to. Zdůraznila, že předpoklad, za jak Tor funguje zvuk zůstává i přes mírné úspěchu NSA odhalil, že měl při sledování malého počtu uživatelů.
"Budeme přidávat další šifrování mezi relé brzy, ale jsem si jistý, že distribuované trust model bude nadále pracovat a být přijat s dalšími technologiemi," řekl Reilly.
Burrows, mezitím řekl, že vzal velkou radost do bojů NSA se Tor.
"Ano, mají metody pro získání na některé lidi občas, ale i oni říkají Tor funguje a je to zvedl," řekl Burrows. "A to je to zvedl na ně mě potěšilo víc než cokoli jiného."
Kdo je kdo bezpečnosti, soukromí Odborníci Petice NSA Review Board zahrnout technologem 8.10.2013 Šifrování | Bezpečnost
Dlouhý seznam vlivných bezpečnost, soukromí a technologie odborníků, převážně z akademických kruhů, který požádal NSA recenzi desku zařadit mezi technologa svých řad.
Deska, založena 12. srpna podle ředitele Národní zpravodajské služby Jamese R. Clapper na základě příkazu prezidenta, má zajistit dohled nad americké výzvědné komunity signály, zpravodajských a dohled schopností. Klapky je tři-bod Oznámení o rady také hovořil o potřebě vyvážit země je národní bezpečnostní potřeby s potřebou udržet důvěru veřejnosti.
Ale odborníci praštil desce je make-up, protože obsahuje řadu lidí s úzkými vazbami na obou Bílého domu nebo demokratické strany. Richard Clarke, bývalý prezidentský kybernetické poradce prezidenta George W. Bushe, vede seznam panelistů známých do bezpečnostního průmyslu. Čtyři další členové skupiny odborníků patří Peter swire, bývalý ředitel OMB soukromí za prezidenta Billa Clintona, Michaela Morrell, bývalý náměstek ředitele CIA pod vedením prezidenta Obamy, Cass Sunstein, bývalý správce Bílého domu Úřadu pro správu a regulační záležitosti, a Geoffrey kamene univerzity Chicago a neformální poradce 2008 kampaň Obamy.
Hodnotící panel, formálně známý jako ředitel Národní zpravodajské prověřovací skupina pro zpravodajské a komunikačních technologií, je třeba pochopit důsledky NSA a další "technické možnosti sběru za účelem splnění jeho chartu, dopis na palubě států.
"Technolog lze situovat pokrok v moderní technologii, jak fungují, co je možné, jak datové prochází infrastrukturou a jak moderní technologie může znamenat soukromí a bezpečnosti," píše skupina ve svém dopise.
V dopise vysvětluje výzvy a potenciální důsledky nesprávně měřící dopady činností dohledu a schopností, písmeno a dodal, že přezkum skupina nebude úspěšný v získání komplexní pochopení systémů dohledu na místě bez nezávislého technologa s žádné vazby na zpravodajské komunity nebo politických skupin vázané na inteligenci. Skupina také používal cizí zpravodajské Surveillance soud jako příklad kontrolní komise také chybí dostatečné technické znalosti, což vede k potenciálně negativních důsledků.
"Bez pochopení technických podrobnostech programů dozoru, má FISC byla nucena přijmout nepodložené tvrzení, že vláda učinila o těchto programech," říká dopis.
Odborníci doufají, že hodnotící panel hodnotí FISA soudu technické znalosti, které má dohled a dodává technologie poradce tohoto orgánu stejně.
Seznam svítidel mezi 47, který podepsal dopis, který koordinuje Electronic Frontier Foundation a Centra pro demokracii a technologii, zahrnuje řadu bezpečnostních a technologických průkopníků, jako je Steve Bellovin, Ross Anderson, Ed Felten, Matthew Green, Peter Neumann Bruce Schneier a Phil Zimmermann. Odborníci tráví značný prostor ve svém dopise vysvětluje své obavy ohledně údajné podvracení NSA šifrovacích standardů a podkopává populárních algoritmů s zadní vrátka. Dopis se týká údajné backdoor implantovaný NBÚ v Dual ES DRBG generátor náhodných čísel, centrální s řadou softwarových produktů. RSA Security je nejvyšší profil společnosti nutit vývojáře vyhýbat algoritmu, který se používá ve svých Bsafe kryptografických nástrojů a knihoven, které se používají v mnoha velkých společností a vládních agentur.
Dopis také nadává NSA a GCHQ ve Spojeném království pro jeho údajnou hackování počítačů získat pre-šifrování přístupu ke sdělením, obvinil je z používání falešných digitálních certifikátů o rozvracení zákonná osvědčení nebo právně objednání internetové společnosti používat NSA-vlastnil CERT .
"V dvojroli NSA jako oba zajišťování informací a inteligence signálů subjektu, jasně naznačí inteligenci mise přetrumflo informace o pojištění," v dopise, varuje také, že společnosti ve Spojených státech mohou začít hledat v zámoří bezpečnostních produktů, a to normalizační orgány, jako je Národní institut pro standardy a technologie (NIST) mohou ztratit vliv, protože skryté zpravodajské činnosti podkopat standardy, nutí nepoctiví normy skupiny, které vyskočí po celém světě, která ohrožuje kompatibilitu a bezpečnost výrobků.
"Prověřovací skupina musí mít hluboké technické znalosti, zodpovědnost. Musíte mít také přístup k zrnitých technických detailů dělat tuto práci, a musíte být schopni správně situovat technickou realitu najdete za závojem tajemství obklopující programy dozoru, "uzavírá dopis. "Musíte uznat, že současná NSA dozorové činnosti, aby všichni méně bezpečné a zpochybněno, do jaké míry lidská práva se promítají do on-line prostředí."
Odborníci Přidejte se k hnutí Audit TrueCrypt, možná jiný bezpečnostní software 7.11.2013 Kryptografie | Zabezpečení
Vzhledem k tomu, audit TrueCrypt chugs spolu k deterministický, čisté sestavení open-source šifrovacího softwaru a chutné licence, organizátoři přinesly významné bezpečnosti a právních expertů na palubě jako odborný a poradní tým.
Odborníci nejen poskytnout vodítko pro audit za běžné období, ale může pomoci vyvinout tento projekt do rámce pro zkoumání dalších open source nástrojů zabezpečení.
Úplný seznam svítidel Očekává se, že brzy zveřejní, spolu s novými detaily webových bydlení a pokrok na audit TrueCrypt, ale tento seznam již obsahuje zjištěné kryptografové Bruce Schneier a Jean-Philippe Aumasson, stejně jako bezpečnostní expert Moxie Marlinspike, kdo dělal rozsáhlý výzkum zabezpečených protokolů, soukromí a kryptografie, stejně jako Marcia Hofmann digitálních práv advokát a pracovník na Electronic Frontier Foundation.
"Opravdu se zdálo, že vyvolal tu něco větší, než to, co jsme očekávali," řekl Kenneth White, bezpečnostní expert, který spolu s Johns Hopkins univerzitní profesor a cryptographer Matthew Green pomohl dostat audit TrueCrypt ze země. "Míní se, že možná to, co bychom mohli udělat, je použít audit TrueCrypt jako příklad druhu, jak můžeme udělat open source vyhodnocení a použít jej k pomoci upřesnit, jak bychom mohli udělat v obecnějším způsobem pro další projekty.
"Rozhodně jsem dojem z několika lidí, kteří se podílejí že bych nerad, aby to bylo jednorázové věc. Rádi bychom, aby se tento impuls a maximalizovat pro další projekty. "
Audit TrueCrypt, k dnešnímu dni, zvýšil v blízkosti 60.000 dolary, rozmetal na kusy týmu první gól 25.000 dolarů v prvních čtyřech dnech fundraisingu. Pod záštitou větší dozoru NSA a údajné ohrožení populárních šifrovacích algoritmů špionážní agentury, audit TrueCrypt doufá, že se odpovědět na některé potenciálně problematické otázky týkající se softwaru. Zvláštního zájmu je dokumentován podivné chování podle verze systému Windows, který je sestaven z binárních souborů a není zdrojový kód, na rozdíl od Linux a Mac OS X verze. Windows verze, proto nelze srovnávat zdrojového kódu, a mnozí z nich uvažoval, zda by bylo backdoored v určitém okamžiku.
Spolu s tím, že totožnost jejích vývojářů není jasné, a zatěžující licence řídí TrueCrypt je použití , je audit byl vítán technologů i odborníků. Bílá, například řekl, že byly příspěvky na audit fondu z blízkých 1000 lidí ve 30 zemích. Lidé ze 70 zemí navštívilo aktuální webové stránky, istruecryptauditedyet.com , která vytvořila dva miliony hitů, protože to oživila. Bílá také řekl Threatpost, že audit byl udělen neziskový status státu Severní Karolíny a podal 501 (c) 3 aplikace s IRS pro neziskovou stavu.
"Máme některé docela ambiciózní představy a začneme s TrueCrypt teď," řekl White s tím, že tam byly diskuze a debata o tom, jak moc otevřít auditu jiným subjektům mimo profesionálních softwarových firem, jako je například akademiků nebo bezpečnostní společenství jako celek. "Mám podezření, že to bude nějaký druh rovnováhy, protože máme tolik různých lidí, kteří hledají na to. Někteří lidé se chystáte být splněna, pokud profesionální firma dívá na to. Je to šílené, řada lidí, kteří nabídli pomoci ani finančně, ani s jejich službami. "
Pokud jde o výběr profesionálního softwarového firmy, řekl White existuje několik možností ve hře, včetně oddělení od dešifrování systémového inženýrství jako TrueCrypt je kontrolován, aby bylo možné pokrýt všechny základy.
"Když děláte celý objem boot z Windows, je tu spousta věcí se děje, že má velmi málo co do činění s crypto, jen pokud jde o provádění," řekl White. "Myslím, že tam jsou 75.000 řádků kódu, včetně assembleru, C a C + + na třech různých platformách. Je tu strašně moc budete muset uplatnit, a tam prostě není mnoho lidí, kteří jsou kouzelníci, řekněme, proces spouštění systému Windows a OS X a Linux. To je to, co se snažíme zjistit. Mají lidé s odbornými znalostmi ve všech, ale je to pravděpodobně bude skončit mix akademiků dobrovolníků a profesionálů. "
Pokud to skončí být dlouhodobější iniciativa, další open source projekty tak populární jako TrueCrypt (28 miliony stažení) by mohly být v hledáčku podobného přezkumu.
"Matt a já jsem o tom mluvil a v některých soukromých rozhovorech, návrh byl důvod, proč ne, aby to modelový případ, jak by se dalo udělat správnou otevřenou analýzu zabezpečení," řekl White. "Samozřejmě, několik lidí už o tom mluvili předtím, než jsme vykrystalizoval nápad."
Brazílie odhodláni zastavit NSA špionáž
7.10.2013 Špionáž | Bezpečnost
Snad žádná země na světě je jako hlasitý o něco o globálním dosahem NSA Internet dozoru Brazílii. Jako jeden z nejrychleji rostoucích hlavních ekonomik na světě, který je v současné době největší ze všech latinskoamerických zemí a šesté celkově, země a jeho vedení se cítí pochopitelně v bezpečí jeho schopností, moci a vlivu, i přes nedávné boje .
Odhalení, že USA špehoval řadě latinskoamerických zemí (včetně Brazílie) při hledání pro vojenské, politikům, ale také obchodní tajemství tlačil vedoucích představitelů své země k okraji a zveřejňování že NSA zachytili telefonní hovory a e-maily současného brazilského prezidenta Dilmah Rousseff, její poradci, a státem kontrolované Petroleo Brasileiro stejně jako Google Brazílii, se tlačil přes to. Rousseff sama se na jeviště na nedávném zasedání Valného shromáždění OSN, a protestoval proti této "globální sítě elektronických špionáž "a vyzvala k vytvoření mezinárodní rámec upravující používání internetu a komunikace. Ona také protestoval tím, že zruší ("odklad") naplánovanou večeři s americkým prezidentem Obamou. Přesto Rousseff, Brazillian vláda a Kongres nebudou čekat na amerických zákonodárců, OSN nebo na světě dělat něco o problému. Oni už se stěhoval do změny právních předpisů chránit sebe a občany země, stejně jako oznámila plán prolomit závislost země na americko-centrické internetu. Brazílie má v současné době nejrychleji rostoucí šířku pásma internetového připojení na světě, a legie občanů na Internet (a na Facebooku, Twitteru, pomocí Googlu nabídky, atd.), ale většina z internetového provozu do Brazílie a dalších jihoamerických zemích prochází jedné budovy v Miami. Rousseff Dělnická strana již pracuje na legislativě, která by vyžadovala velký internetové společnosti, jako je uvedeno výše, aby interní údaje brazilských občanů na serverech umístěných v dané zemi, -. nebo čelí zákazu , zda takový požadavek může nebo nemůže být splněna, aniž by dělali vážné finanční škody zúčastněných společností nebo bez dalších problémů zůstává vidět, ale Rousseff nemá v úmyslu zastavit. Podle AP , prezident hodlá "zvýšit investice do domácích ingrediencí technologií a zakoupit pouze software a hardware, které splňují vládní ochrany osobních údajů specifikace", "postavit více bodů Internet Exchange" a "zvýšit své nezávislé připojení k internetu s jinými zeměmi", tím, že stanoví podmořských optických kabelů do Evropy a Afriky, stejně jako připojení země Jižní Ameriky s nimi, aby se vyhnula USA dohromady a minimalizovat možnost internetového provozu prozatím zachycuje NSA. Někteří odborníci jsou skeptičtí ohledně toho, zda tyto kroky umožní Brazílie dosáhnout svého cíle, a zda náklady na internetových společností v USA obstarávat brazilských občanů se ukázat jako příliš velký s novými právními předpisy v místě. Jak Chris Soghoian již poznamenal , že USA má jaderná ponorka věnovaný klepnutím podmořských internetových kabelů a je dokonale schopna hackování do zahraničních vládních sítí. Nicméně, brazilská vláda není couvat. Ve skutečnosti, jak státního tajemníka telekomunikační Maximiliano Martinhao sdílí s Deutsche Welle , "přípravky jsou již dokončeny, tzv. optického kruhu, který se připojí dvanáct zemí Jižní Ameriky s sebou, stejně jako s Evropou a Afrikou. " Pokládání kabelů je naplánováno na začátek roku 2014.
NSA ředitel popírá Špehování evropské občany 6.11.2013 Kryptografie | KyberSecurity
Zpravodajské úředníci před dům Stálého výboru pro tajné služby v úterý popřel sběr telefonní evidenci občanů ve Francii, Španělsku a Itálii, v poslední době hlásí médiích v těchto zemích.
"Tvrzeními Le Monde ve Francii, El Mundo Španělska a L'espresso Itálie jsou zcela nepravdivé," řekl ředitel NSA generálporučík Keith Alexander, který dodal, že screenshoty citovány jako důkaz sbírky byly z nástroje pro správu dat a noviny nechápal, co se dívá. "Nástroj počítá metadata a zobrazí metadata. Tyto údaje byly shromažďovány a legálně, které nám poskytlo zahraničními partnery. Je to informace, které shromažďují na evropské občany. To znamená, že údaj my a naši spojenci v NATO shromážděné v obraně našich zemí a na podporu vojenských operací. "
Nejnovější Snowden úniku přišel k hlavě, když se vynořil obvinění, že NSA a americká zpravodajská špehoval zahraničních hlav států, včetně německé kancléřky Angely Merkelové.
Ředitel Národní zpravodajské James Clapper řekl výboru, který je nedílnou součástí zpravodajských operací, něco, co se naučili ve škole sahající do roku 1963.
"Plány a záměry zahraničních vůdců, je důležité vědět," řekl Klapka. "Je to vytrvalá, protože jsem byl v inteligenci. Vedení záměry je základním principem, co sbírat a analyzovat. "
Klapka řekl zahraniční hlavy státu jsou sledovány, a tento druh činnosti je dvousměrná ulice s USA spojenci mohou provádět stejnou činnost proti americkým vedením.
Předseda výboru Rep. Mike Rogers (R-Mich.) požádal Alexander bod prázdný, pokud američtí spojenci jsou zapojeni do špionáže proti USA, které Alexander odpověděl: "Přesně tak," a dodal, že to probíhá.
Klapka řekl špehuje zahraničních představitelů, včetně spojenců, pomáhá určit, zda americký spojenec politik a činností se shodují.
"Je to pro nás neocenitelné vědět, kde země přicházejí, jaké jsou jejich politiky jsou a jaký mají dopad nás na řadu otázek," řekl Klapka.
Klapka a Alexander opět stála za své činy na pozadí dohledu říkají, je bezkonkurenční na celém světě. Alexander dodal, že NSA budou najmout soukromí a občanských svobod důstojník, přidávat další kontroly a plnění povinností v jejich úsilí.
"Chceme ukázat, že máme dveře, které máme transparentnost a bereme to vážně," řekl Alexander. "Je to obrovský krok kupředu, a je tu víc, co musíme udělat, pokud jde o tlačení informací do tisku."
Oni byli také tlačil na vnímanému nedostatku transparentnosti informuje Kongres odposlechy zahraničních vůdců jako pověřenými 1947 zákona o národní bezpečnosti. Klapka však řekl, že zpravodajské úsilí žil až do ducha i litery zákona.
Dnešní slyšení se konalo pod záštitou možných změn zahraniční zpravodajské Surveillance Act (FISA). Alexandr bránil akce NSA a posmíval úniky pocházející z informátorů Edward Snowdena jako protistátní a škodlivé pro USA 's schopnost se bránit proti teroristům
Demonstranti, Crypto-dýchánek Rally Proti dohled na US Capitol 6.11.2013 Kryptografie
WASHINGTON - sobota označilo 12-leté výročí prvním podpisu kontroverzního USA PATRIOT Act, v boji proti terorismu zákona podepsal do práva krátce po teroristických útocích ze dne 11. září 2001, sekce, které se údajně přiznala federální vymáhání práva orgán tajně shromažďovat digitální komunikační údaje milionů nevinných občanů USA.
Protestovat vlády USA zametání program dozoru , které se projevují NSA mravokárcem Edward Snowdena, tisíce ochrany soukromí a bezpečnosti obhájců svolána na Union Station v národě je kapitál a pochodoval na Capitol kroky v sobotu.
Stop Watching Us koalici , konglomerace ví o korupčním jednání, technologové, aktivisté a těžební skupiny, zorganizoval demonstraci požadovali, aby Kongres odhalit plný rozsah federální vymáhání práva je špionážní činnosti. Jako jeden řečník na shromáždění bylo řečeno, koalice sdružuje podivné spojence, čerpání podpory z různých konců politického a kulturního spektra. Členové koalice patří čínský umělec a aktivista za lidská práva Aj Wej-weje, Tea-Party souladu politického fundraising skupiny FreedomWorks, společnost, Vermont, který dělá zmrzlinu, říká Ben & Jerry, Electronic Frontier Foundation a muž široce připočítán s mít vynalezl World Wide Web Tim Berners-Lee, mezi ostatními.
V dopise Kongresu , koalice požadovali, aby se uzákonění reforem "na § 215 zákona USA PATRIOT Act, státní tajemství privilegium a FISA Změny zákona, aby bylo zřejmé, že deka dohled nad aktivitou na internetu, a telefonní záznamy o každé osobě s bydlištěm v USA je zakázán zákonem, a že porušení může být přezkoumáno v kontradiktorním řízení před veřejným soudem, vytvořit zvláštní komisi, aby prošetřila, zprávy a odhalit veřejnosti v rozsahu této domácí špionáže. Tento výbor by měl vytvořit konkrétní doporučení pro právní a regulatorní reformy do konce protiústavní dohled; hnát k zodpovědnosti ty státní úředníci, kteří jsou shledáni být odpovědné za toto protiústavní dohledu ".
Uprostřed hodně zpívání, bubnování a rozhořčený křik, rally diváci dodávány některé 575.000 podepsal anti-sledování návrhy na kroky USA Capitol Building.
Večer před rally, Electronic Privacy Information Center a Public Citizen hostil crypto-party u Public Citizen je druhý příběh kanceláře v Dupont Circle. EFF zaměstnanci a jiné kladen na klinikách o nastavení šifrované e-maily, prohlížení bezpečně na síti Tor, a systém s názvem Secure Drop, který byl původně vyvinut na konci technologem a open-internet aktivista Aaron Swartz a navrženy tak, aby na nekalé praktiky a další citlivé zdroje poskytovat informace bezpečně do médií.
Cryptographer a zabezpečení Internetu filozof Bruce Schneier a bývalý guvernér Nového Mexika a liberální strana prezidentský kandidát Gary Johnson předpokladu myšlenkami na párty crypto.
Schneier vyzval publikum Abyste mohli využívat šifrování, čímž plošně sběr dat příliš drahé pro NSA. Šifrovací práce, tvrdil s tím, že vymáhání práva měl sbíralo desetkrát více informací od Yahoo, než od společnosti Google, který je neintuitivní vzhledem Google mnohem větší uživatelská základna, ale dává smysl, když si uvědomíte, že Google má SSL implementována ve výchozím nastavení a Yahoo pouze nedávno oznámila , že bude implementovat protokol SSL ve výchozím nastavení v nadcházejících měsících.
"Matematika funguje, ale matematika nemá zastoupení," řekl Schneier. "Chyby ve chvíli, kdy otočíte matematiku na software, do systémů, na počítači, na síti."
On pokračoval říkat, že Snowdena je odhalení naznačují, že NSA není prolomení šifrování, ale spíše, že se využívají špatné implementace a výchozí nebo slabé klíče, záměrně vkládání zadní vrátka a exfiltrating data.
Schneier hájil potřebu přejít vládní dohled z velkoobchodní praxe na maloobchodní jednoho pomocí šifrování a dělat sběr dat dražší.
"I když děláte nic tajného," pokračoval, "jste poskytuje krycí provoz všem disidentům, které spoléhají na to, aby zůstali naživu. Čím více se můžete šifrovat, tím více můžeme chránit ty, kteří potřebují pro šifrování. "
Bývalý guvernér Johnson neochotně analogized rozsah programů NSA s klimatem pre-druhá světová válka Německu.
"Nechci, aby vláda opravit nic, když to přijde k Internetu. A já rozhodně nechci vláda do tohoto rozsahu široce založené dohledu, že historicky, nemusíte se vrátit do Německa před druhé světové války a měnového kolapsu, co se stalo v Německu a vzestupem moci Adolfa Hitlera a shromažďování informací. Myslím, že jsem nerad, aby tato analogie se, ale existují a že je místo, kde to všechno nakonec jde. "
Jeden TrueCrypt Audit roste, dává další nástroj pro šifrování iniciační OK 6.11.2013 Kryptografie
UPDATE - snaha o auditu TrueCrypt , open source nástroj pro šifrování, získal důležitý souhlas v posledním týdnu, kdy člen jeho anonymní vývojového týmu oslovili organizátoři IsTrueCryptAuditedYet ?
"Napsal nám příjemné, ale formální dopis o tom, že by byli rádi, kdo se dozví o auditu, pokud jde o vážné úsilí, a ne" peníze pro nic za nic, "řekl Matthew Green, cryptographer s Johns Hopkins University v Baltimore, který spolu s kolegou výzkumníkem Kenneth White pomohl dostat audit ze země. Řekl Green developer očekává, že audit fungovat nezávisle na TrueCrypt aby se zabránilo vzniku střetu zájmů.
Audit doufá, že odpoví na řadu otázek, které se vyskytly na novém významu zvažování zjevení o dohled vlády USA na Američany ve jménu národní bezpečnosti. Základní otázkou je, zda TrueCrypt, což bylo staženo více než 28 milionů krát, byl back-doored. Bezpečnostní experti mají obavy také o vlastní open source licencí se řídí její použití, zda se otevírá uživatelům až dalších právních rizik.
Mezitím, samostatný přezkum TrueCrypt byla provedena de Carnavaletova Xaviera de carne "Concordia University v Kanadě, který došel k závěru, TrueCrypt není backdoored mezi dostupnými zdroji a dvojhvězd. DeCarnavalet řekl, že byl schopen reprodukovat deterministický proces kompilace specifické pro TrueCrypt pro Windows, který odpovídá binární soubory. Zelené a bílé se rychle chválit chválit takový projekt a grassroots úsilí.
"TrueCrypt může být stále trochu backdoored, ale to by byl zapsán ve zdrojovém kódu a ukázalo by se ve vážném kódu auditu (nechat stranou důvěru v kompilátory a počítače). To, co jsem dokázal, že program na webové stránce vychází z dostupných zdrojů, a nic (žádný backdoor) byl tajně přidal mezi tím, "řekl de Carnavalet Threatpost. "To je kód audit hodný, jinak by auditoři být jisti, že analyzovat správnou věc. Jen jsem překlenul propast, abych tak řekl. "
Pokud jde o fundraising úsilí získat peníze najmout profesionálního kód auditorskou společnost a právní pomoc, aby přezkoumala licenci, skočil 17,000 dolarů v posledním týdnu. 53,000 dolarů zvedl doposud pomohl organizátoři vypracování počáteční cestovní mapu pro audit. Kód audit se zaměří na dvě oblasti v první řadě, řekl Green: Kódování použité v TrueCrypt, jakož i vyhodnocení verze Windows. Na rozdíl od TrueCrypt pro Linux, například Windows uživatelé mohou stáhnout binární soubory spíše než zdrojový kód. Ti binárky nelze srovnávat ke zdrojovému kódu, a chovají se jinak než ostatní verze.
Například TrueCrypt 7.0a vyplní poslední 65024 bajtů záhlaví s náhodnými hodnotami. Jsou hodnoty skutečně náhodný, nebo jsou šifrování hesla zajištění objemu TrueCrypt? Pokud TrueCrypt je ohrožena, a tyto hodnoty jsou zašifrované heslo, že klíč k dispozici pouze třetí osobě, která ji šifrování.
Řekl Green auditu organizátoři jsou stále v procesu získávání nabídek od bezpečnostní firmy, aby provedla audit kódu.
"Nemohu vám specifika, ale stačí říct, že 50.000 dolarů není tak daleko, jak si myslíte, že ano, když jste diskutovali o full-nákladní auditem top společnosti," řekl Green. "Teď doufáme, že využít nějaké velkorysosti ze strany různých firem, takže nebudeme platit plné ceny. A my už dostal nějaké velkorysé nabídky (včetně jednoho z otevřených Technologického fondu). Ale na konci dne, chceme získat profesionální výsledky, a dokonce i při prudkém slevy, druh práce je drahá. "
Mezitím de Carnavaletova práce, řekl, by mělo usnadnit obavy software je důvěryhodnost.
"Já představit, jak jsem sestavil TrueCrypt 7.1a pro Windows a dosáhl velmi vyrovnané utkání na oficiální binární," napsal v článku o tomto procesu. "Jsem také schopen vysvětlit malé zbývající rozdíly a pak dokázat, že oficiální binární skutečně pocházejí z veřejných zdrojů."
Zelené a bílé pochválil práci jako pomocný, aby mohli nakonec přijít na deterministický vybudovat pro TrueCrypt, zejména při sestavování předpoklad balíček nástrojů Microsoft, aby správně sestavit TrueCrypt.
"Jeho výsledky jsou jistě užitečné datový bod, ale spíše proto, že podrobného stavět proces on sdílel (zejména tam, kde se odklání od stávající dokumentace). Jeho práce v pátrání po přesně, jaké přesné aktualizace Windows Service Pack a verze Visual Studio je potřeba, GUID, kontrolní součet vestavby apod. je užitečné zejména, když jsme pravidelně provádět nezávislé ověřování, "řekl White. "Ale podle mého názoru, je to jen jeden kus dosažení našeho cíle, deterministické stavět nutnou, nikoli však postačující předpoklad pro komplexní dešifrování kódů a auditu. A z mého čtení, myslím, že Xavier souhlasí. "
Carnavalet říká, že nějaké zadní vrátka jsou neexistující v TrueCrypt 7.1a z dostupných zdrojů, ale až poté, co byl schopen reprodukovat prostředí na vývojářskou úzce.
"Moje analýza může sloužit [Audit] pochopit význam běží přesně stejné verzi kompilátoru, aby bylo možné poskytnout deterministický stavět. Naštěstí TrueCrypt zdroje mají pracovní Visual Studio řešení připravené k sestavení a zmírnit tak spoustu problémů, které mohou vyplynout z rozdílů v konfiguraci projektu, "napsal. "Nyní se úsilí soustředilo na audit zdrojového kódu, spíše než se snažit uskutečnit zpětné inženýrství na celý software k hledání neexistující zadní vrátka."
Audit chce dát znepokojení nad pochybnou licencí TrueCrypt k odpočinku 6.11.2013 Kryptografie | zabezpečení
Seznam odpůrců na TrueCrypt open source licencí , je dlouhý a zahrnuje některé populární distribuce jako Debian, Fedora a potažmo Red Hat. Ve skutečnosti, tahanic o licenci TrueCrypt sahá až v roce 2006, dlouho předtím, než tam byly vážné dotazy, pokud jde o důvěryhodnost populární software šifrování disku a zda to bylo tím, backdoored tříznakovou americké zpravodajské agentury, nebo cizí moci .
Nyní, že vážná snaha je pod způsobem, jak audit integritu nejen kódu TrueCrypt, ale jeho licence , lidé chtějí, aby obavy o použití TrueCrypt k odpočinku, řešení nejen stav licence, ale také dokumentovat opakovatelný deterministický vychází z TrueCrypt od zdroje Kód pro Windows, Mac OS X a Linux.
Licence však vyžaduje právní pomoc uvést do náruče. To vyžaduje dohodnuté výklady licence, která je někteří nazývají "nebezpečné" a řekl, představuje větší riziko a závazek vůči svým uživatelům, než to stojí.
"Je to jedna z nejméně otevřených open-source licencí," řekl Kenneth White, který spolu s cryptographer Matthew Green, pomohl dostat IsTrueCryptAuditedYet? mimo zemi. "Je to jistě velmi netradičním případu norem práva Spojených států."
Projekt je v současné době nejen vyhodnocení auditu profesionální poskytovatele služeb, kteří se díváme na 1s a 0s za TrueCrypt , ale také hledá právní pomoci prokousat murkiness, že je licence. K dnešnímu dni je již zvýšil více než 50.000 dolary na financování úsilí.
Na pozadí dohledu ze strany NSA a volání podívat se blíže na kód TrueCrypt, zejména Windows binární soubory, licence byla otázka přezkoumána na 16.října na OpenSource.org fóru . Některé vyjádřil potíže s mnoha ustanoveními uvedenými v licenci, a to i poté, co byl přezkoumal a některé počáteční obavy řešit. Například, plakáty na fóru se o to, jak široký odškodnění klauzule je chránit anonymní autoři TrueCrypt. Jazyk je matoucí a vágní, takže příliš velký prostor pro interpretaci, podle některých, ve skutečnosti je to něco, co se zdá licence potvrdit s ustanovením, že státy:
"Pokud si nejste jisti, zda jste pochopili všechny části této licence, nebo pokud si nejste jisti, zda je možné v souladu se všemi podmínkami této licence, nesmíte používat, kopírovat, upravovat, vytvářet odvozená díla, ani (re ) distribuovat tento produkt, ani část (i) z toho. Měli byste se poradit s právníkem. "
Řekl White řešení těchto otázek je důležité, aby k vytvoření ověřené, nezávislé na verzi ovládacího historie úložiště kódu, který obsahuje podepsanou zdrojové a binární.
"Myslím, že musíme položit otázku, nikdo se zdá, že někdy opravdu zeptal: Proč jsou některá ustanovení o licenci? Co přesně jsou TrueCrypt vývojáři snaží udělat? Byly spáleny v minulosti? "Řekl White.
Nejistota znění je to, co vedlo Red Hat, Debian a Open Source Initiative doporučit před použitím TrueCrypt. Řekl Green licence nedokáže vysvětlit, jak může být povolení používat a za jakých podmínek.
"Je to neřekl by bylo možné použít licenci za těchto podmínek a je to fajn, že je to banda věcí, které byste nemohli dělat s ním, a to není jasné, co byste mohli udělat," řekl Green. "Zdálo se, že mají, ať už byl napsán někým, kdo neví, jak psát licencí velmi dobře, nebo to bylo napsáno ve zlém úmyslu. To nikdo neví. "
Tam jsou také legitimní otázky o tom, zda je licence vymahatelná podle stávající judikatury, řekl White, s odkazem na výše uvedené ustanovení. Nejasnost sahající půl desetiletí nebo více stále straší TrueCrypt a přispívá k současné atmosféře nedůvěry.
"Vlastně si myslím, celá tato cvičení je jen důkaz počátků mnohem větší výzva k zbrani pro bdělosti, přes open source a bezpečnostní komunity obecně," řekl White. "Buďme upřímní, když NIST doslova připomíná zveřejněn kryptografické primitivum a" důrazně doporučuje používat "to, nad důkazy záměrných snah oslabit šifrovacích standardů zpravodajskými agenty v USA, jsme vstoupili do zcela nové éry. A RSA BSAFE a DPM oznámení slouží pouze podtrhnout, že imperativ.
"Je zřejmé, že jsme se společně věnovat pozornost teď," řekl White. "Zde je doufat, náš skromný projekt bude dělat díru v obnově nějaké tolik potřebné sebevědomí."
EFF dělá případě, že Pátý dodatek chrání před nucen dešifrování
6.11.2013 Šifrování
S novými úniky o rozsahu dohledu amerického vládního přichází téměř denně, jeden konstantní zůstává mezi všemi odrazovat od zvědavých očí NSA: práce šifrovací technologie. Pokud je nám známo, matematika za šifrování je solidní, i přes vidinu nějakého nejmenovaného průlom podané špionážní agentura před několika lety.
V Snowden dokumenty nezdá se, že odůvodnění tohoto průlomu dosud, každý úspěch NSA má v bití šifrování mohou pocházet z rozvracení NIST standardy používané na vybudování technologie do produktů, nebo společnostem legálně nucené nebo nutil do předání šifrovacího klíče .
Tečně, vláda pokračuje snažit, aby případ pro schopnost donutit někoho je podezřelý ze spáchání trestného činu dešifrovat jejich pevné disky a otočte důkazů. V minulosti několikrát, že soudy potvrdil popáté ochrany proti sebeobviňování v takových případech.
V případě, který začíná v pondělí v Massachusetts nejvyšší soudní dvůr, odvolání dřívějšího rozhodnutí proti Leon Gelfgatt, 49, Marblehead, Massachusetts, právník, byl obžalován v podvodu hypotečních podvodů , ve kterém je údajně ukradl více než 1.300.000 dolary. Vláda ve snaze, aby svůj případ proti Gelfgatt, snažil donutit ho dešifrovat jeho pevný disk. Soudce v případě, nicméně, odmítl požadavek říká, že taková akce by bylo porušením pátého dodatku.
Digitální nátlakovou skupinu, Electronic Frontier Foundation, spolu s americkou unie občanských svobod, podal amicus krátký včera vysvětlovat popáté výsadu nebýt donucován k sebeobvinění zakazuje nucen dešifrování. Hanni Fakhoury, personál právník s ERF, napsal v blogpost , že Pátý dodatek chrání jednotlivce z odhalení "obsah jeho mysli" a že vláda prostřednictvím této akce by se učit nové skutečnosti v případě po šifrovacího klíče.
"Tím, že nutí Gelfgatt přeložit zašifrovaná data nemůže přečíst do čitelného formátu by se učit, co nešifrovaná data byla (a zda údaje existovaly)," Fakhoury napsal. "Navíc, vláda by se dozvědět možná nejdůležitější skutečností:. Gelfgatt že měl přístup k a panství a kontrolu souborů na zařízení"
Vládní argument je, že dešifrování je podobný poskytuje kombinaci odemknout bezpečný, spíše než přesvědčivý výrobu dešifrovaných souborů.
"Toto tvrzení je nesprávné," řekl stručně. "Stejně jako šifrování disku šifruje každý jeden z jeho souborů dešifrování disk je k dispozici kopie všech svých souborů." Tvrzení, že je, protože data jsou transformována a míchaná, dešifrování je více než klíčové, bezpečné spojení nebo heslo, krátký řekl.
V únoru 2012, federální odvolací soud rozhodl, že muž Florida jeho práva byla porušena, když byl uvězněn za odmítnutí dešifrování jeho pevný disk . EFF říkal, že toto bylo poprvé, kdy odvolací soud rozhodl Pátý dodatek chrání proti nucen dešifrování .
EFF je Fakhoury řekl Threatpost, že vláda v minulosti naznačil, že šifrování je používán pouze zločinci na pokrytí jejich stopy, zatímco nedostatek poukázat na legitimních obchodních a osobních důvodů-k šifrování dat, jako je ochrana obchodního tajemství či osobních údajů.
"V kontrolním prostředí, je potřeba pro šifrování je obzvláště silná, protože se často zdá, že silná technologie je naše poslední útočiště od vlády zvědavých očí," řekl Fakhoury. "Viděli jsme ve všech úniků úsilí vlády podkopat web šifrování a musíme se ujistit, že nemohou ohrozit fyzický šifrování zařízení tady."
Nejnovější Snowden dokumenty, zveřejněné dnes, naznačují, že Národní bezpečnostní agentura je schopna Sloupněte závojem na malý zlomek Tor uživatelů najednou, ale celkově integrita anonymita sítě zůstává nedotčena.
Tor slibuje svým uživatelům úroveň anonymity on-line na svých webových aktivit směrování provozu přes vrstvy proxy na síti, dokud pakety dosáhnout jejich cílového místa určení. Síť je používán novinářů, aktivistů a dalších soukromí vědomé jednotlivce, aby komunikace v tajnosti.
Podle pár článků v dnešní Guardian NSA měl nějaký úspěch určující cíle pomocí Tor a nabourávání do jejich počítačů. Expert Bruce Schneier jde do hloubky vysvětlovat program s názvem FoxAcid , který odpovídá zranitelnosti objevené v počítačích Tor uživatelů k útokům vyvinutých NSA.
"Jakmile je počítač úspěšně napaden, že tajně volá zpět na FoxAcid server, který provádí další útoky na cílovém počítači, aby zajistily, že zůstane ohrožena dlouhodobá, a nadále poskytuje odposlechu informace zpět do NSA," řekl Schneier . Schneier, průkopník kryptografie a známý autor kryptografie a bezpečnostních příruček, byl pozván Guardian k přezkoumání přísně tajné skladiště dokumentů přijatých Edward Snowdena, bývalý NSA dodavatel nyní žije v exilu v Rusku.
Tajemství úspěchu FoxAcid je jeho schopnost zaměřit zranitelnosti v prohlížeči Firefox patří do Tor Browser Bundle, Schneier říká. Další tajemství sada serverů, pod kódovým označením Quantam, žít na páteřní síti Internetu, je zde umístěna NBÚ kvůli tajné partnerství s telekomunikačními společnostmi ve Spojených státech, řekl Schneier. Vzhledem ke své poloze, Quantam servery využívat spor mezi poli NSA a zamýšlené webserver, Quantam je rychlejší reakce na webové žádosti než standardní webové servery.
"Tím, že využívání tohoto rozdílu rychlosti, lze tyto servery vydávat navštívené webové stránky na cíle před legitimní webové stránky mohou reagovat," Schneier napsal, "a tím podvádět u cíle prohlížeče navštívit FoxAcid server."
Quantam servery mohou vydávat téměř všechny cílové webové stránky, protože jejich postavení na páteři, včetně Google v některých případech. NSA pak používá injection útoky přesměrovat webové požadavky pro jejich stroje, aby špehovat zamýšlených cílů, článek řekl.
Materiály byly dnes zveřejněny, podle Guardian vycházejí mimo celou řadu prezentací pořízených Snowdena když pracoval pro NSA, většina z nich o rozvracení Tor, který zřejmě byl frustrující cíl pro NSA, jak je uvedeno v názvu jedné prezentace: "Tor smrdí. "
"My se nikdy k moci de-anonymizovat všem uživatelům Tor po celou dobu," snímek v rámci prezentace NSA států. "Při ručním analýzy můžeme de-anonymizovat velmi malý zlomek Tor uživatele."
Dokumenty obsahují také informace a vhled do proof-of-concept útoků, které se zaměřují Tor exit uzly, něco, co by mohlo útočníkovi v kontrole zjistit návštěvnost opuštění sítě.
"Proof-of-concept útoku prokázána dokumentů by spoléhat na kabel samořezný provozu NSA a kancelář tajně působící počítače, nebo" uzly ", v Tor systému," říká článek Guardian. "Nicméně, jedna prezentace uvedl, že úspěch této techniky byla" zanedbatelné ", protože NSA má" přístup k několika málo uzly "a že je" obtížné smysluplně kombinovat s pasivní [inteligence signálů]. "
Tor byl ve zprávách tento týden další velkou vypínací příběhu. Takedown na Silk Road on-line drogy a hacking tržiště bylo včera oznámila, včetně zatčení vůdce William Ross Ulbricht, také známý jako strašlivý pirát Roberts. Silk Road byla přístupná pouze přes Tor, vedení operace relativně soukromí; provoz v provozu let a přineslo více než 1 miliardu dolarů v prodejích, podle soudních dokumentů.
Ulbricht a Silk Road však neměl ohrozit žádnou plošku sítě Tor, a podle vymáhání práva, byl Ulbricht zatčen jen kvůli chybám v provozní bezpečnosti.
"Také, zatímco my jsme žádný důkaz, že tento případ se týkal rozdělení do webserver za skryté služby, měli bychom využít této příležitosti zdůraznit, že Tor skryté servisní funkce (způsob, jak publikovat a přístup k obsahu anonymně) nebude držet někoho anonymní, když spárována s nebezpečným softwarem nebo nebezpečné chování, "blogpost na Tor stránkách před dvěma dny řekl. "Je na vydavatele vybrat a konfigurovat software serveru, který je odolný proti útokům. Chyby v konfiguraci nebo zachování skrytý webové stránky mohou ohrozit vydavatele anonymitu nezávislé Tor.
Síť Tor odolává pokusům NSA o průnik
5.10.2013 Šifrování | Zabezpečení | Ochrana Podle dokumentů agentura NSA útočila i na další programy, včetně Firefoxu, ve snaze ovládnout anonymizační řešení TOR.
Podle nové zprávy v britském Guardianu se americká agentura NSA opakovaně snažila proniknout do sítě Tor, vládou sponzorovaný nástroj pro anonymní připojování k Internetu. Ovšem s malým úspěchem. NSA vyzkoušela řadu přístupů, nejúspěšnější byly útoky na zranitelný software v počítačích uživatelů. Například díky útoku na prohlížeč Firefox byli agenti NSA schopni získat plnou kontrolu nad cílovými počítači.
Jde opět o informace pocházejících z materiálů, které poskytnul bývalý spolupracovník NSA Edward Snowden. Podle nich byla v mnoha případech agentura frustrována obtížemi s průnikem k uživatelům Toru. To je samozřejmě poměrně ironické vzhledem k faktu, že tento projekt s otevřeným zdrojovým kódem je z větší části sponzorován americkým ministerstvem obrany, pod které agentura NSA spadá.
Guardian z dokumentů cituje: „ Nikdy jsme nebyly schopni plně odhalit všechny uživatele. Pomocí ruční analýzy dokážeme odhalit totožnost jen malého zlomku uživatelů sítě Tor.“ Podle dokumentu nebyla NSA schopna odhalit totožnost konkrétního uživatele na požádání. Podle článků je síť Tor v jednom z dokumentů NSA označena za „krále bezpečné a anonymní přítomnosti v internetu“.
Tor směřuje své datové toky přes řadu směrovacích bodů ve snaze udržet komunikaci anonymní. Samotné ministerstvo obrany USA propaguje Tor jako nástroj, který pomůže aktivistům v režimech se silnou cenzurou, jakou jsou například Irán nebo Čína.
Podle textu se agentuře podařilo kompromitovat uživatele sítě Tor díky bezpečnostní díře v prohlížeči Firefox, ale stejný dokument uvádí, že k útoku využitá chyba byla Mozillou odstraněna již ve verzi Firefox 17, která byla uvolněna v listopadu 2012. Až do ledna 2013, data, ze kterého pocházejí citované dokumenty NSA, nebyl y pokusy o další útok na pozdější verze Firefox úspěšné.
Podle Rogerga Dingledine, ředitele projektu Tor, jde o dobré zprávy pro tento projekt. To, že NSA využívala zranitelnost v prohlížeči, znamená, že se dosud nepodařilo prolomit protokol Tor nebo dokončit analýzy provozu sítě Tor. „Infikování přenosných počítačů, telefonů nebo stolních počítačů je stále nejjednodušší způsob, jak identifikovat jejich uživatele.“
Síť Tor tak i přes útoky NSA úspěšně pomáhá chránit anonymitu svých uživatelů. Na jednotlivé uživatele lze útočit přes chyby v prohlížečích, ale pokud NSA zaútočí na příliš velké množství uživatelů, někdo si toho nepochybně všimne. „I když NSA hodlá sledovat všechny uživatele, budou si muset velmi pečlivě vybírat malé množství uživatelů sítě Tor.
NSA Crypto Otázky napodobovat "Zrcadlový sál"
2.10.2013 Šifrování | Bezpečnost Je tu nebyla nouze o diskuse a debaty v posledních týden o možnosti, že NSA záměrně oslabil některé kryptografické algoritmy a šifer, aby bylo možné dát výhodu ve svých výzvědných operací. Pokud si předplatíte na nejhorší scénář linii myšlení, pak se většina běžně používaných šifer jsou ohroženy. Pokud jste optimističtější, pak mají tendenci si myslet, že možná NSA má některé soukromé schopnosti proti šifrovacích protokolů a jejich využívání. Nicméně, Jon Callas, spoluzakladatel Silent Circle, která oznámila v pondělí, že to byl odklon od potenciálně ohrožena šifer , řekl, že je to opravdu nezáleží na tom, zda NSA udělal to, protože škoda byla provedena.
"Tento problém, že máme co do činění se teď můžeme věřit něco z toho?" Callas řekl v rozhovoru. "Je to opravdu scvrkává, že jsem řekl, že jsem se snažil rozbít věci, tak to udělali to, nebo ne? Pokud se chystáte se na to podívat z realistického pohledu, je to opravdu nezáleží na tom, jestli to udělali. Je to, jak moc o NSA podkopávají důvěru. "
Silent Circle, poskytovatel bezpečných systémů zasílání zpráv, se rozhodl nahradit AES a SHA-2 ve svých produktech s Twofish a přadeno, resp. AES a SHA-2 jak byly součástí soutěže sponzorované Národním institutem pro normalizaci a technologie a nedávné odhalení ukázaly, že NSA mohou vyvíjel nějaký vliv na NIST standardy procesu v některých případech. Není známo, jaké protokoly může být poznamenána, a že nejistota je součástí toho, co řídil Silent Kruh rozhodnutí, stejně jako debata v bezpečnostní komunity o akce, aby se, pokud existuje.
Callas, cryptographer a bývalý zakladatel PGP Corp., řekl, že Silent Circle přemýšlel o tomto pohybu po dobu několika týdnů před oznámením a že technické provedení by nemělo být obtížné. Pro firmy, jako je Silent Circle, jehož zákazníci jsou závislé na bezpečnost a důvěrnost výrobků, otázka přijde k odstranění pochybnosti z mysli svých zákazníků. Ale pro zbytek internetové komunity, tam jsou jiné otázky, aby zvážila, jak se vztahuje k bezpečnosti některých eliptických křivek navržených NIST a NSA.
"Jde o to, že by se s největší pravděpodobností, av některých ohledech nejděsivější je to, co když v dobré víře, že NSA vytvořila tyto křivky v dobré víře a matematici tam našel problémy s nimi to slabší než kdokoli jiný myšlení, "Callas řekl. "Jsou věci, které jsme objevili o eliptických křivek v minulosti. Pokud NSA věděl, že tyto křivky byly slabší, že jsme si mysleli, záleží na tom?
"Obhajoba vždycky jsme měli v minulosti, je, že crypto NSA doporučené byl stejný materiál, který se používá k ochraně přísně tajné údaje, abychom mohli vždy říkají, No, oni by střílet se do nohy, taky? Nyní se ale zdá naprosto věrohodné se mi, že v případě, že strana intel domu našel něco, co jim dal výhodu oproti všem ostatním, oni by si to z druhé strany domu. Teď jsme opravdu zvědaví, jestli snad by střílet se do nohy na účel. "
Šifry, že Silent Circle plánuje používat ve svých výrobcích do budoucna jak byly navrženy nezávisle na sobě, něco, co Callas věří, bude důležité pro zákazníky společnosti do budoucna.
"Tam byly vždy lidé, kteří nejsou důvěryhodní standardní věci, a dokonce i NIST lidé by řekli, pokud nechcete věřit, jdeme-li používat tyto finalisty tady, které jsou duševním vlastnictvím zdarma," řekl. "To mě přemýšlet. Musíme najít cestu přes legitimní nedůvěru, která začíná podobat Zrcadlový sál ve špatném 1960 špionážního filmu.
ochlazující účinek; o Kontrolním úřadu NSA Úniky
2.10.2013 Šifrování | Bezpečnost BERLIN -V tomto městě, jeden z největších světových metropolích, historie není nikdy daleko. To prostupuje každý aspekt každodenního života, a německý lid jsou velmi hrdí na hodně z té historie. Ale byly tam temné dny i zde, a není to tak dávno, kdy Stasi, východoněmecké tajné policie, který provozuje pronikavý dozor přístroj, který držel karty na miliony Němců jako samozřejmost. Telefonní hovory, denní pohyby a obchodní jednání byly sledovány, zdánlivě pro bezpečnost národa. Prostředí pak byl úplně jiný, samozřejmě, z atmosféry ve Spojených státech a dalších dnešní demokracie, ale účinky rozsáhlé sledování, zabezpečení výzkumník Andrew Lee tvrdí, zůstávají psychologicky zničující a vysilující pro většinu lidí.
Během vrcholící studené války, sledování přístroje ve východním Německu a dalších zemích byly rozsáhlé a všudypřítomné, ale mnoho lidí si byli vědomi, že jsou sledováni na nějaké úrovni. To, co nevěděl, bylo, jak všichni-zahrnovat shromažďování údajů bylo a jak tyto informace byly používány. Když nakonec ty detaily byly odhaleny, to mělo velký vliv.
"Všichni věděli, že někdo sledoval, ale oni nevěděli, do jaké míry," řekl Lee, výzkumník společnosti ESET v rozhovoru na konferenci Virus Bulletin 2013 zde ve středu. "Když zjistili, psychologický efekt byl zničující."
Kreslení srovnání s tím, co se děje v USA, Velké Británii a jinde v důsledku netěsností regarding NSA kontrolní metody a schopnosti v posledních měsících, Lee řekl, že vlády se staly hlavními soupeři pro mnoho organizací a dokonce i některé jednotlivé uživatele.
"Nejen, že vlády, jež zákony, ptají se na věci, jako je oslabení systémů a kryptografické backdoor," řekl. "Proč se dokonce požádat o přístup k systému, kdy stav zabezpečení koncových bodů v našem světě je dnes tak žalostně nedostatečný? Proč prostě rozbít koncový bod? A to je to, co se stalo. Vláda se dostává do malwaru podnikání. Další velká věc bude malware na mobilních zařízeních. "
Za účinku NSA úniky měli na cestě, že veřejnost vnímá vládu, tam také došlo k posunu v bezpečnostní komunity, pokud jde o způsob, jakým se její členové sdílejí informace a komunikovat s druhými. Hladiny důvěry mezi některými výzkumníky a společnosti, vybudované v průběhu let, byly sníženy v některých případech, Lee řekl, protože vědci nejsou jisti, kdo mohou věřit nyní a kteří by mohli být předávání informací zpravodajských a donucovacími orgány.
"Došlo k chlazení naší demokracie a vytvořil nedůvěru firem," řekl Lee. "Měli jsme dobré rozhovory [ve společnosti] před těmito úniky stalo. Teď nemluvíme o tom ještě. Jsme mimo mísu. "
Jednou z otázek, které se přicházejí často v diskusích v posledních měsících je to, zda jsou nějakým způsobem nutí vlády pro bezpečnost a antimalware společnosti, které nejsou k detekci malware a vlastní útok nástroje, které používáte ve svých operací. Lee řekl, že to nikdy nepřál odhalit vládní Trojan, a domnívá se, že tento přístup k ničemu jeden.
"Chcete-li hovořit o nucené odhalování, to je opravdu hloupý způsob, jak to udělat. Není to praktické, "řekl Lee. "Dělej, co všichni ostatní: Můžete napsat nějaký kód a předloží ji Virus Total a zjistit, kdo to dokáže detekovat."
K odhalení několika posledních měsíců vyvolaly nekonečné diskuse a mnoho jedu, ale Lee, pro jednoho, ptá se, jak užitečné to všechno bylo.
"Pochybuji o přiměřenost naší odpovědi na všechno," řekl. "Co je to návratnost naší utratit? Strávili jsme velmi málo, pokud vůbec něco, vzdělávání veřejnosti v této oblasti.
Silent Circle odklon od šifer NIST v brázdě Zjevení NSA
30.9.2013 Šifrování První hlavní domino padat na světě crypto po NSA netěsnosti Edward začal Snowdena bylo rozhodnutí Lavabit, bezpečný e-mail poskytovatele, vypnout v srpnu než v souladu s nařízením vlády. Krátce poté, Silent Circle, jiný poskytovatel bezpečných e-mailu a dalších služeb, řekl, že přestává s Silent Mail nabídku , stejně. Nyní Silent Circle jde ještě o krok dále tím, že plánuje nahradit NIST související šifer se svými výrobky s nezávisle navržených ty, ne proto, že společnost nevěří NIST, ale proto, že jeho vedení se obává vlivu NSA na rozvoj NIST z šifer v posledních několika desetiletích.
Jon Callas , jeden ze zakladatelů Silent Circle a respektovaného cryptographer pondělí řekl, že společnost byla sledoval všechny vývoji a zjevení pocházející z netěsností NSA a dospěla k rozhodnutí, že je to v nejlepším zájmu společnosti a svým zákazníkům nahradit šifru AES a SHA-2 hash funkce a poskytnout zákazníkům další možnosti. Tyto možnosti, Callas řekl, bude zahrnovat non-NIST šifry jako Twofish a klubka.
"V Silent Circle, jsme se rozhodnout, co dělat o celé velké otázce, zda NSA bylo rozvrácení bezpečnost. Přes všechnu zábavu, že blogů o to bylo, akce mluví hlasitěji než slova. Phil [Zimmermann], Mike [Janke] a já jsme o tom diskutovali a cítíme, že musí udělat něco. To je něco, že v relativně blízké budoucnosti, budeme realizovat non-NIST šifrovací sada, "Callas napsal v blogu vysvětluje rozhodnutí.
Twofish je šifrovací sada Napsal Bruce Schneier , a to byl jeden z finalistů v průběhu soutěže AES, ale prohrál na Rijndael algoritmu. Je odolný vůči dešifrování tak daleko, a Callas řekl, že má také tu výhodu, že snadná výměna pro AES v němém kruhových výrobků. Společnost také bude nahrazovat SHA-2, starší NIST hash funkce, s přadeno, což bylo finalisty v nedávno dokončené SHA-3 soutěže.
"Chystáme se změnit náš použití šifry AES s Twofish šifry , jak je to drop-in náhrada. Chystáme se změnit náš používání SHA-2 hash funkcí s funkcí klubka hash . Jsme také zkoumá pomocí Threefish šifru, kde to má smysl. (Úplné odhalení:. Jsem spoluautorem přadeno a Threefish) Threefish je srdcem přadena, a je tweakable, široký-bloková šifra. Existuje spousta skvělých věcí, které můžete dělat s ním, ale to vyžaduje určité přehodnocení protokolů, "řekl Callas.
Rozhodnutí Silent Circle přichází v době, kdy existuje mnoho nezodpovězených otázek NSA s vlivem na kryptografických algoritmů, zejména těch norem vypracovaných NIST. Národní institut pro standardy a technologie je zodpovědný za rozvoj technických norem pro americkou federální vládou a mnoho z těchto norem jsou přijaty jinými organizacemi, konkrétně kryptografických standardů. Nedávná odhalení úniků z NSA ukázaly, že NSA má nějaké nespecifikované schopnosti proti některým kryptografických algoritmů a také pracuje na NIST ovlivnit vývoj norem. V reakci na jeden z těchto zjevení, NIST sám doporučuje, aby lidé přestali používat Dual EC_DRBG generátor náhodných čísel vyvinutý pod jeho dohledem.
"DUAL_EC_DRBG diskuse byla komická. Hlavní diskuse byla, zda to bylo zlé, nebo jen hloupý, a hádali se na stranu zla dokonce znamenalo připustit, že je technologicky hloupý algoritmus, který odešle do diskuse zábavné spirály meta-komentáře, "řekl Callas.
Silent Circle odklon od AES a SHA-2 by neměl být chápán jako obvinění z těchto dvou šifer, Callas řekl, ale spíše znamení toho, že existují lepší možnosti tam bez stínu potenciálního vlivu NSA visí nad nimi.
"To neznamená, že si myslíme, že AES je nejistý, nebo SHA-2 je nejistý, nebo dokonce, že P-384 je nejistá. To neznamená, že si myslíme, že menší z našich přátel na NIST, kterého máme důsledné dodržování, jsou oběťmi zrady NSA, spolu se zbytkem svobodného světa. Pro nás je přerušeno kouzlo. Právě jsme dál. Ne polibek, žádné slzy, žádná sbohem suvenýry , "řekl.
RSA radí zákazníkům, aby přestali používat NSA-ovlivňoval šifrovací algoritmus 21. září 2013. Šifrování | KyberSeucirity V návaznosti na zveřejnění , že NSA ovlivnila NIST přijmout šifrovací standard, který obsahuje jeden náhodný generátor bit se slabostí, který zná pouze zpravodajské agentury NIST znovu otevřela veřejnosti komentář období pro standard tak, aby veřejnost mohla analyzovat a to znovu komentovat.
Také slíbil, že pracovat s kryptografickým komunity řešit jakékoliv chyby, které mohou být nalezeny, a doporučil , aby generátor na otázku (Dual_EC_DRBG) již není možné použít. A podle Ars Technica , RSA Security se rozhodl poslouchat. Společnost poslal z poradní pro vývojáře zákazníků svých Bsafe Toolkits a Data Protection Manager, a oznámí jim, že nástroje byly pomocí algoritmu ve výchozím nastavení, které jim na tom, jak to změnit. Všechny verze obou nástrojů jsou ovlivněny. Podle mluvčí společnosti RSA vede vnitřní přezkum všech svých produktů, aby zjistil, zda algoritmus je vyvolána v žádném z nich, ale zdroj blízký společnosti potvrdil , že jeho vlajkový produkt - dvoufaktorová autentizace SecurID systému -. nepoužívá chybný algoritmus "V té době, eliptické křivky byly v módě a hash-based RNG byl pod kontrolou nadějí bylo, že eliptické křivky techniky, které se zakládají na teorii čísel. -by neměla trpět mnoho ze stejných slabých stránek jiných technik (jako FIPS 186 SHA-1 generátoru), které byly považovány za negativní, a Dual_EC_DRBG byla přijata a veřejně zkoumány standard, "RSA Security CTO Sam Curry vysvětlil, proč se společnost rozhodla použít algoritmus jako výchozí obou přípravků. Dodal také, že tam byla řada funkcí, které dělal to vypadat ideální v té době (2004-2005): průběžné testování výstupu, povinné re-setí, volitelný predikce odpor a Možnost konfigurovat pro různé síly. RSA vyslala poradenství pro volbu vývojářům, ale toto varování by mělo být dbal mnoho, že pravděpodobně neobdrželi, v e-mailu.
30 procent z transakcí uskutečněných od Tor jsou podvodné 17. září 2013. Zabezpečení | Šifrování | KyberSecurity iovation oznámil, že 30,2 procent operací prováděných od Tor (cibule směrovač) v srpnu bylo podvodné. To je ve srovnání s celkovým podvod mírou 1 procento pro všechny on-line transakcí v srpnu. Tor je soukromí protokol, který je určen na pomoc lidem, pro prohlížení internetu anonymně. Činí tak tím, že přesměruje webový provoz po hard-to-následovat cesty a přiřazení uživatelů webových náhodné IP adresy, která může kdykoliv změnit. To pomáhá maskovat skutečné uživatelů geolocations a IP adresy jejich zařízení připojených k Internetu. Podle Tor metriky, více než 1,5 milionu lidí používá Tor každý den od začátku září 2013 se z 500 tisíc denně na začátku srpna 2013. " Počítačoví zločinci jsou vždy hledají způsoby, jak létají pod radarem, "řekl Scott Waddell, technologický ředitel společnosti iovation. "Zatímco Tor na jeho povrchu se zdá být pro větší dobro, je nepřiměřeně používá k podvodným a zneužívající transakcí. Za zmínku stojí, Tor použít více než zdvojnásobil v srpnu, pravděpodobně kvůli masivnímu botnetu pákového Tor pro velení a řízení komunikace. " podvodu nálezy byly vyrobeny iovation analýzou 240000000 transakcí uskutečněných v srpnu 2013 pocházejí z 1,5 miliardy zařízení, jež má ve svém zařízení pověst databáze. Transakce s využitím Tor byly identifikovány iovation využitím technologie je vyvinuta korelovat transakce na IP adresy, které jsou součástí Tor.
SSL je rozbitá. No a co?
Hrozby | Zabezpečení | Šifrování
Je těžké ignorovat nejnovější zprávy o kampaních vláda sponzorovala internetových dozoru, které jsou údajně zapojit dešifrování protokolu SSL. Ve světle těchto zpráv, měli byste něco jinak? Záleží na tom, k vaší síti a jak? I když dnes jen malá skupina má k dispozici znalosti a zdroje k dešifrování SSL, je pravděpodobné, že toto tajemství bude unikat tak jako mnoho a zdroje nezbytné k uplatňování technik bude jen levnější a následně k dispozici dobře financované rad, jako je organizovaný zločin . Informace jednou dešifrovat mohou být také ohroženy jsou ohroženy kdo ohrožena organizace, která nyní drží data. Takže záleží na tom? Za prvé, já si nemyslím, že je "důkaz" v tomto okamžiku SSL samo o sobě bylo přerušeno. SSL a šifrovací algoritmy se jedná viděli mnoho implementačních problémů v minulosti, a to je správné předpokládat, že zlomená implementace, špatné generátory náhodných čísel a sub-optimální konfigurace činí prolomení "živou" SSL mnohem jednodušší, pak by mělo být založeno na síle základních algoritmů. Kromě toho, v mnoha význačných útoků, SSL nebyl problém. Koncový bod nebo SSL infrastruktura byla ohrožena místo a jako výsledek, šifrovací algoritmus nezáleží. Endpoint Security Žádný z "apt" úniku dat ve stylu měl hodně co do činění s dešifrování SSL. Místo toho, koncový bod ohrožena buď tím, že využívá technické zabezpečení v klientském softwaru, nebo pomocí techniky sociálního inženýrství oklamat uživatele do instalace škodlivého softwaru. Tyto techniky jsou staré, stále upravena a není omezen na sofistikované útoky. Každý den vidíme, kompromisy v rozmezí od "banálních" falešných UPS, e-mail na více chytrých napadených reklamních sítí k vysoce cílené a dobře řemeslně "spear phishing" útoky. Co je to "Endpoint"? Mnoho systémů slibují "end-to-end šifrování". Podle mého názoru, end-to-end šifrování znamená, že zpráva je zašifrována odesílatelem před přenosem a dešifrovat * Konečná * příjemci. Definice * vlastní * je rozhodující zde. Mnoho zpráv kódované systémy dešifrovat zprávu na serveru, znovu zašifrovat pro příjemce. Tento režim se vystavit vaši zprávu zachytit na relé bodu. Pokud nechcete ovládat relé bod, pak se vaše zpráva je ohrožena zachycuje. Například Skype. Skype používá docela solidní šifrovací systém. Aby však bylo možné podpořit vlastnosti, jako brány do jiných telefonních systémů, příslušná brána musí být schopen dešifrovat zprávy. Kdykoliv váš bezpečný komunikační systém je schopen komunikovat s nezajištěnými koncovými body, někdo musí být schopen dešifrovat zprávy. Podobně se systémy webmail.
Tam jsou některé pokusy postavit end-to-end šifrované systémy, webové pošty, které používají na straně klienta, JavaScript nebo pluginy pro šifrování a dešifrování zpráv. Ale tyto systémy nejsou v širokém použití v tomto bodě. Cloud zpráv systémy jsou samozřejmě v určité problematické a je třeba navrhnout opatrně, aby dešifrování "v oblaku", které zase funkcí přestávky, jako je hledání a indexování pomocí cloud zdroje. SSL infrastruktury Existují dva způsoby, jak "očichat" SSL: Na jedné straně můžete nahrávat SSL šifrované relace a dešifrovat je offline. Bez znalosti privátních klíčů nebo master klíče zúčastněných, tento proces je velmi obtížné, pokud vůbec možné. Mnohem více běžně používaný způsob, jak zachytit SSL použít "Man in The Middle" útoku. Opět se týká "end-to-end" pojetí. Útočník ukončí připojení SSL a znovu zašifruje jej zamýšlenému příjemci. SSL poskytuje podepsané certifikáty, aby se zabránilo tento útok, a klienti upozorní uživatele, pokud neplatný certifikát. Prvním problémem je, že uživatel může ignorovat varování, vzhledem k tomu, že příliš mnoho "skutečné" SSL certifikáty nejsou správně nakonfigurovány a produkovat toto upozornění. Za druhé, bude prohlížeč považovat certifikát za platné, pokud je podepsán důvěryhodnou certifikační autoritou. Certifikační orgány byly zneužity v minulosti. Mnoho vlád kontrolovat certifikační autority a jsou schopni generovat spolehlivé certifikáty vydávat jiné stránky. Lidské faktory kolem certifikačních autorit a útočníků budou moci získat platné certifikáty jsou mnohem větší hrozba a SSL může být považována za zlomené na nějakou dobu jako výsledek. Nástroje jako sslstrip bude samozřejmě kořist na lidské rozhraní komponenty opět vést k více "elegantní" člověka ve středním útoku. Tak co mám dělat? V zabezpečení sítě, vždy mám málo času a omezené zdroje k boji neomezené starosti.
Za prvé, soustředit se na koncových bodech. Ty jsou mnohem větší pravděpodobnost, že trpí kompromisu kvůli špatne koncový bod pak hrubou silou dešifrovat SSL relace. Za druhé, je potřeba zkontrolovat konfiguraci SSL klientů a serverů. Používáte nejsilnější možnou šifrovací algoritmus? Jste při použití nejdelších možných klíčů? Toto je jedna z věcí. Například, ne všechny systémy Podporuji něco za TLS 1.0. Přidat příslušných vylepšení vašeho plánu. Konečně: Šifrování všechno. Dokonce i sofistikované protivník má použít nějaký konečný zdroj pro provoz dešifrovat. Zvýšení pracovní zátěž pomocí šifrování veškeré komunikace, a to nejen "důležité" provoz je jeden způsob, jak prodloužit životnost vašich informací. V případě uzavřených sítí, které nemají ke komunikaci s okolním světem, za budování své vlastní SSL infrastruktury (NOT implementovat vlastní knihovny SSL). Nastavte si vlastní CA a důvěřovat pouze certifikáty podepsané svým vlastním CA. Ale nakonec, tráví svůj čas na problémy, které věci. Je až příliš snadné nechat se rozptylovat titulkem dne.
Google spěchá na šifrování provozu mezi datacentry
9.9.2013 Šifrování | Zabezpečení
Google se rozhodl urychlit nasazení šifrování mezi svými datacentry v rámci ochrany před NSA.
Podle pátečního prohlášení představitelů společnosti dojde k rychlejšímu nasazení šifrování datových toků mezi jejími datacentry, která jsou rozmístěna po celém světě. Má jít o další krok ve snaze zamezit sledovacím aktivitám americké agentury NSA, ale i výzvědných služeb jiných zemí.
Podle poskytnutých informací padlo rozhodnutí o této šifrovací iniciativě již v loňském roce, tedy ještě před tím, než se provalila aféra PRISM. V červnu byla ale maximálně urychlena v reakci na kritiku, které byl gigantický poskytovatel webových služeb vystaven. Eric Grosse, viceprezident bezpečnostní divize Googlu, říká: „Je to závod ve zbrojení. A my víme, že vládní agentury patří mezi neschopnější hráče této hry.“
Připomeňme, že podle informací poprvé uveřejněných v denících Washington Post a Guardian, je Google jednou z mnoha velkých internetových společností, které poskytují NSA data svých zákazníků. Podle dalších dokumentů Edwarda Snowdena používá NSA pro boj se šifrováním řadu prostředků, od získání dešifrovacích klíčů po superpočítače lámající kódy hrubým výpočetním výkonem. A nejen to, v minulosti ovlivnila řadu bezpečnostních standardů a učinila je zranitelnějšími vůči určitým metodám útoků.
Podle řady expertů jakékoli šifrování ale přece jen vládní snahy o získání absolutního přístup k datům komplikuje. Podstatně navyšuje prostředky nezbytné pro zpracovávání dat a zpracovávající agenturu nutí k selektivnosti – ta sice může shromažďovat veškerá zachycená data, ale dešifrovat může jen komunikaci prioritních cílů. Tedy přinejmenším v krátkém časovém rámci.
Podobné prohlášení jako to páteční ale odhaluje jinou stránku věci, a nejen o Googlu. V roce 2013 chce zapnout šifrování interně přesouvaných dat. Není na to poněkud pozdě? Znamená to tedy, že doposud naše data po celém světě provozoval otevřeně? Že je posílal rovnou do čínských zálohovacích center pro naši větší jistotu a pocit zajištění? Stejně tak je hezké proklamovat, jak hodlá s NSA bojovat šifrováním, když jindy prohlásil, že nebude sdílet šifrovací klíče uživatelů, ale pochopitelně je nuce je kdykoli vydat komukoli, kdo má náležitou právní moc. A dnes již dobře víme, že „ten zákon“ je pro požadavky amerických agentur velmi blahosklonný.
To vše dělá z pátečního prohlášení marketingovou hru, kterou nelze brát vážně. O bezpečnost dat různých provozovatelů cloudu očividně postaráno nebylo, data nebyla dostatečně šifrována, různé osoby na výplatní listině NSA měly příležitost instalovat různé utajené přístupy přímo do klíčových serverů a nakonec, dokud bude muset každá americká společnost panáčkovat, jakmile ji jedna ze šestnácti amerických agentur poručí, nic se na tom principiálního nezmění.
Vítejte nazpět v Evropě, data…
Experti: Šifrování je stále nejlepší ochrana proti NSA
Podle bezpečnostních odborníků je správně nasazené šifrování tvrdým oříškem i pro kryptografické odborníky amerických výzvědných služeb.
Šifrování | Zabezpečení
I když agentura NSA investuje miliardy dolarů do výzkumu prolomení šifrovacích technologií, bezpečnostní odborníci se domnívají, že správně implementované šifrování je stále tím nejlepším způsobem ochrany soukromí online.
Různé americké a britské zpravodajské zdroje tento týden publikovaly příspěvky podložené interními dokumenty NSA o technikách, které tato výzvědná agentura používá k dešifrování dat přenášených veřejnými komunikačními a datovými sítěmi. Z dokumentů poskytnutých Edwardem Snowdenem vyplývá, že NSA používá nejrůznější zákonné i nezákonné způsoby včetně instalování zadních vrátek, soudních příkazů nebo dokonce obchodních vztahů s provozovateli sítí a výrobci softwaru. Mnoho šifrovacích algoritmů, které se v současné době nejvíce používají k ochraně online komunikace, bankovních a zdravotních záznamů nebo obchodních tajemství, již dokáže prolomit nejen americká NSA, ale i britská GCHQ.
Steve Weis, technický ředitel společnosti PrivateCore, který získal doktorát z kryptografie na americké MIT, se však přesto domnívá, že matematické šifrovací algoritmy je stále velmi náročné prolomit. Podle jeho názoru se špionům podařilo prolomit zastaralé verze šifrovacích technologií se známými bezpečnostními slabinami.
Podle dokumentů například NSA zabudovala zadní vrátka do šifrovacího standardu Dual EC DRBG, který slouží ke generování náhodných čísel. Podle Weise vznikl tento algoritmus před šesti lety a od chvíle, kdy dva odborníci Microsoftu ona zadní vrátka odhalili, se používá jen zřídka.
Podle Weise není jasné, jestli šifrovací odborníci zpravodajských služeb pronikli do robustnějších šifrovacích algoritmů. „Zatím jsem neviděl nic, co by napovídalo, že by byly prolomeny algoritmy jako AES,“ dodal Weis na vysvětlenou.
„Pokud je šifrování nasazeno správným způsobem, nabízí v podstatě neproniknutelné zabezpečení,“ domnívá se Dave Anderson, ředitel společnosti Voltage Security, poskytovatele šifrovacích technologií. „Prolomení takového zabezpečení by nejvýkonnějším superpočítačům zabralo miliony let. Pokud je ale nasazeno nedbale, bez náležité správy šifrovacích klíčů, dokáže do něj proniknout průměrný hacker s běžně dostupným osobním počítačem během několika hodin,“ vysvětlil Anderson.
Podle Andersona se NSA daří pronikat spíše do správy klíčů než přímo do šifrovacích algoritmů. Pokud je tedy NSA schopna dešifrovat tajné soukromé nebo firemní údaje, nemůžou za to slabé šifrovací technologie, ale nedostatky ve správě šifrovacích klíčů.
Podobný názor sdílí i Dave Jevans, zakladatel a technický ředitel společnosti Marble Security, která nabízí mobilní šifrování. Podle Jevanse využívá NSA ohromné finanční prostředky i tisíce zaměstnanců právě na nejslabší články řetězu, tedy lidský faktor a správu šifrovacích klíčů. „Je to miliardkrát účinnější přístup,“ poznamenal Jevans.
Weis proto na základě známých informací doporučuje používat otevřené standardy jako Open SSL, jejichž kód je všem veřejně přístupný a je do něj proto mnohem obtížnější ukrýt zadní vrátka. Což se – ve světle nejnovějších informací – o různých proprietárních řešeních říct nedá.
NSA snaha rozvrátit šifrování, nainstalovat zadní vrátka
7.9.2013 Kryptografie | Zabezpečení
Novináři z New York Times a ProPublica spojily síly a vydaly nejvíce výbušný předmět, k dnešnímu dni se zabývá odhalení o úsilí NSA špionáž. Podporována dokumentů sdílených informátorů NSA Edward Snowdena uvádějí, že americká Národní bezpečnostní agentura má aktivně a po celá léta nyní soustředí na zamezení nebo rozvracení šifrování úsilí prostřednictvím několika způsoby, a že jejich snahy byly velmi úspěšné. "agentura obcházena nebo popraskané hodně šifrování nebo digitální kódování, která chrání globální obchod a bankovní systémy, chrání citlivá data jako obchodní tajemství a lékařských záznamů, a automaticky zabezpečuje nastavení e-mailů, vyhledávání na webu, internetové chaty a telefonátů Američanů a dalších po celém světě, dokumenty ukazují, "tvrdí. Mnoho uživatelů se předpokládá "- nebo byly zajištěny Internetu společnosti -., že jejich data jsou v bezpečí před zvědavýma očima, včetně vlády a Národní bezpečnostní úřad chce, aby to tak agentura léčí své nedávné úspěchy v dešifrování chráněných informací jako mezi jeho nejvíce střežených tajemství, omezeny na ty, schváleny pro přísně tajné programu s kódovým označením Bullrun. " Poukázali na to, že po NSA ztratil velmi veřejný spor v roce 1994 o tom, zda by mělo být umožněno, aby se vešly na zadní vrátka do všech šifrování, se rozhodli, že se nebude zmařena tím útlum a rozhodli se jednoduše pokračovali v úsilí - tentokrát v tajnosti. Nemuseli se soustředit na prolomení šifrování stejně jako dělat jeho použití irelevantní. Udělali začít používat rychlejší a rychlejší superpočítače pro lámání kryptografické klíče, ale také, mimo jiné:
Zabezpečil spolupráce - buď dobrovolná nebo právně nucen - z USA a zahraniční internetu a telekomunikačních společností k získání potřebných přístup ke komunikaci, jež chtěli zkontrolovat před tím, než byly zašifrovány. Jinak, když ani jeden z těchto dvou přístupů pracoval, by ukrást šifrovací firem tlačítek nebo tajně změnit své výrobky obsahují backdoor známa pouze NSA. Naboural do počítače / koncové body před zprávy jsou zašifrovány. Ovlivnil Americký národní institut pro standardy a technologie (NIST) a Mezinárodní organizace pro normalizaci, aby přijaly šifrovací standard, který byl dosažený NSA patří slabost znají jen oni. Všechny tyto věci byly, samozřejmě, udělat v tajnosti. "Plný rozsah funkcí dekódování NSA je známa pouze omezenému okruhu špičkových analytiků z tzv. pěti Oči: NSA a jeho protějšky v Británii, Kanadě, Austrálii a na Novém Zélandu,". Reportéři sdílených Existuje mnoho více informací o těchto a dalších snah na původní článek , a ten publikoval The Guardian , a já vás vyzývám, abyste prostudovat je. Budete pravděpodobně šokováni, co jste si mysleli, že je v bezpečí (např. SSL, VPN, nebo $ G), ale ve skutečnosti není. Matthew Green, cryptographer a výzkum profesor na Johns Hopkins University, má zajímavý blog post s spekulací o tom, které číslo bylo hardwaru a standardy oslabený, a které se podíleli. Naopak, Bruce Schneier, další známá cryptographer a počítačové bezpečnostní expert, jakož i soukromí obhájce, pracuje se na Guardian příběhů NSA a má požadovaný vhled do detailů nabídnout sadu rad , které mohou pomoci každý z nás udržet se on-line komunikaci a akce bezpečné -. nebo tak bezpečný, jak oni mohou být "NSA změnil strukturu internetu v obrovský dohled platformu, ale nejsou kouzelné. Jsou omezeny stejným ekonomické realitě jako zbytek z nás a naší nejlepší obranou je, aby se dohled nad nás tak drahé, jak je to možné, "podotkl. "Věř matematiku. Šifrování je váš přítel. Používejte ji dobře, a dělat to nejlepší, aby zajistily, že nic nemůže ohrozit to. To je, jak můžete zůstat zajištěna i tváří v tvář NSA." Je zajímavé si povšimnout, že jak NYT a ProPublica byli požádáni o zpravodajských služeb USA nezveřejnit tento poslední článek, že "by to mohlo podnítit zahraniční cíle přejít na nové formy šifrování nebo sdělení, které by bylo těžší vybírat nebo číst." Nicméně, obě publikace odmítl. " Příběh, věříme, že je důležitá. Ukazuje se, že očekávání milionů uživatelů internetu týkající se soukromí svých elektronických komunikací se mýlí, "ProPublica editor-in-šéf a jeho ředitel zdůraznil . "Tato očekávání vedou praktiky soukromých osob a firem, většina z nich nevinný nějakého darebáctví. potenciál pro zneužívání těchto mimořádných schopností v oblasti dohledu, včetně k politickým účelům, je značný. vláda trvá na tom, že zavedla brzd a protivah omezit nevhodnému použití této technologie . Avšak otázka, zda jsou efektivní, je zdaleka vyřešeny a je otázkou, která může být projednána lidí a jejich volenými zástupci, pokud základní fakta jsou odhaleny. "
Nový objev umožní rozsáhlé kvantovou kryptografii sítí
05.09.2013 Kryptografie
Vědci z Toshiba objevili metodu vybudovat kvantovou kryptografii komunikačních sítí s daleko větším měřítku než kdy předtím. Umožní kvantová kryptografie, které mají být použity za její stávající specializovaných aplikacích, například jako součást inteligentní sítě na úrovni Společenství, které řídí a kontrolují výrobě a spotřebě energie v budoucnosti. Průlom budou oznámeny ve vědeckém časopise Nature.
Kvantová kryptografie ukazuje velký potenciál revolučním způsobem citlivá data chráněna. Může být použit k distribuci tajných číselných tlačítek s cenným papírem, který není citlivá na pokroky v matematice výpočetní techniky, nebo, a jakýkoli hacker, že "kohouty" optické vlákno bude detekována. Současně, mohlo by se stát prvním převažující technologie k využití podivné zákony kvantové fyziky. však stále velké překážky je třeba překonat, aby kvantová kryptografie přijatelná pro široké použití, zejména pokud jde o počet uživatelů, než může být připojen k jedné síti. Až do teď, provádění kvantová kryptografie síť vyžaduje propracovaný foton detektor pro každého dalšího uživatele. Toshiba tým objevil techniku, aby mnoho uživatelů sdílet jeden detektor a tím výrazně snížit složitost sítě. Tento průlom znamená, že se současnou technologií by bylo možné pro 64 uživatelům připojit se k jednomu detektoru v přístupu k síti Quantum. Toshiba Quantum přístupová síť používá standardní optické komponenty, které umožňují signály z více uživatelů bude sloučen a přenášen na jednom vlákno. Vzhledem k tomu, foton detektor je nejsložitější část systému kvantové kryptografie, je tato umístěna na společném konci Network Access Quantum, přičemž každý uživatel má foton vysílač zahrnující jen standardní komponenty. This uspořádání výrazně snižuje hardwarové požadavky a náklady pro každého uživatele přidán do sítě. Tento průlom je umožněno rychlé detector vyvinula společnost Toshiba, který může počítat až jedné miliardy jednotlivých částic světla (fotony) za sekundu. Díky své velmi vysoké objasněnosti, může to být přijímač sdílena mezi více vysílačů v point-to-multipoint spojení. Zkoušky osm kanálů pro přístup k síti Quantum prokázáno, že uživatel může přenášet tajné klíče s přenosovou rychlostí přesahující 250 kbit / s nebo 80 GByte za měsíc, což je dost pro každého uživatele, šifrování jeden milion e-mailů. Dalším velkým úkolem bylo negovat vliv kolísání teploty pro více uživatelů sdílející stejnou odkaz. Malé změny v lokální teploty a to i zlomek míry, může výrazně ovlivnit délku vláken v každém vysílači. Nebudou-li by to způsobit chyby v systému kryptografie kvantové a zastavit její provoz v několika vteřinách. Nicméně, tým Toshiba vynalezl metodu pro kompenzaci změny v délce vlákna v každém vysílači a tím umožňují nepřetržitý provoz. V příspěvku tým ukazuje provoz po dobu 12 hodin.
Efekt Snowden zpochybňuje možnost zabezpečení dat
Únik citlivých údajů, jako v případě kauzy Edvarda Snowdena, znejistil bezpečnostní konzultanty a oddělení všech firem. Mohou si v ochraně citlivých korporátních dat vést lépe než americká vláda?
Šifrování
Realita ukázala a nadále ukazuje, že stále rostoucí popularita různých bezpečnostních certifikací a hon personálních agentur na experty bezpečnost nevyřeší a zpřísňování trestů (viz 35 let pro Bradleyho Manninga, který stál za únikem dat do Wikileaks) není pro pachatele dostatečnou hrozbou, pokud je cena dostatečně vysoká.
Nelze příliš věřit ani argumentům, že původci většiny útoků jsou „ti dobří“, kteří jednají pouze v rámci své vlastní filosofie a představy o rozvoje společnosti (parafráze aurgumentů, které použil Manningův právník). Stačí vzít v úvahu poslední právy ze světa velkých úniků dat – například útok malwaru na uživatele herní služby Steam. Ovládnuty byly severoamerické servery hry League of Legends a útočníci získali údaje o více než 120 000 kreditních karet.
Realitou je, že žádný základní protokolu internetu není bezpečný. Stojí za to naslouchat zakladateli – nyní již zrušené – služby bezpečného e-mailu Lavabit, že e-mail je mnohem méně bezpečný, než všichni uživatelé podvědomě věří (či chtějí věřit). Na úrovni operačních systému to není o nic lepší a všechny vlády jsou velmi skeptické i v otázce vlastního soukromí.
Konkrétně ta německá se obává, že technologie TPM (Trusted Platform Module) je jedním obrovským informačním tunelem přímo na stoly NSA. TPM je součástí řady nových stolních počítačů, tabletů a především korporátních notebooků, zprávy naznačují, že zatímco ve Windows 7 lze tomuto řešení věřit, TPM 2.0 ve Windows 8 již není bezpečné a Microsoft do něj připravil NSA široce otevřené dveře.
Tomu všemu odpovídá aktivita výrobců nejrůznějších bezpečnostních řešení, kteří budou v následujícím roce nepochybně vykazovat působivé zisky. Je samozřejmě otázkou, do jaké míry mohou své zákazníky chránit nejen před „zlými čínskými hackery“, ale i před odděleními cizích vlád s prakticky neomezenými prostředky.
Poskytovatel šifrované pošty: Nepoužívejte služby z USA
Své služby přestali nabízet už dva poskytovatelé šifrovaných e-mailových služeb, protože se cítí ohroženi tím, že by museli na vyžádání amerických úřadů odtajnit data svých zákazníků.
Šifrování | KyberSecurity
Lavabit a Silent Circle, kteří nabízeli služby šifrování e-mailů, se rozhodli zastavit svou činnost. Hlavním důvodem jsou obavy o to, že by svým zákazníkům nemohli zaručit naprosté soukromí. K dešifrované e-mailové komunikaci totiž může kdykoli získat přístup některý z amerických úřadů zabývajících se národní bezpečností.
Ladar Levison, majitel Lavabitu, oznámil, že pozastavil provoz své firmy, ale protože je americkými federálními zákony vázán mlčenlivostí, nemůže zcela vysvětlit proč. Šifrovanou e-mailovou službu Lavabit použil Edward Snowden ke komunikaci s novináři, když jim prozrazoval informace ze zákulisí špehování dat na americkém území.
„Bohužel mi zákony neumožňují podělit se s vámi o události, které vedly k mému rozhodnutí,“ napsal Levison. „Nemohu. Mám za to, že byste měli vědět, co se děje. Podle prvního dodatku ústavy bych měl mít svobodu slova i v takovýchto situacích. Bohužel, Kongres schválil zákony, které mi toto právo upírají,“ dodal.
Podle úřadu národní bezpečnosti musí příjemce elektronické pošty úřadům prozradit její obsah a nesmí se zmínit nejen o tom, ale dokonce ani o tom, že nějakou poštu vůbec dostal. Levison proto svým zákazníkům doporučuje: „Nesvěřujte svá data žádné společnosti, ani soukromé, která má fyzické vazby na Spojené státy.“
Společnost podala podnět k federálnímu soudu, protože se domnívá, že je ohrožena americká ústava. V souvislosti s tím založila nadaci Lavabit Legal Defense Fund, které má shromažďovat prostředky na právní boj s americkými zákonodárci.
Druhou společností, která ukončila své šifrované služby, je Silent Circle. Její služba Silent Mail již není k dispozici, společnost však dále podniká a nabízí všechny ostatní služby. Společnost na svém webu odkazuje na případ Lavabitu a na vysvětlenou dodává: „Signály nám jsou jasné. Proto jsme usoudili, že nejlepší pro nás bude Silent Mail zastavit. Prozatím se na nás žádný americký úřad neobrátil, proto nemáme svázané ruce.“
V prohlášení se dále uvádí, že tato americká společnost ukládá data svých zákazníků na území USA a přesto, že jsou šifrovaná, nebyla by v bezpečí. Společnost proto rozhodla, že s ohledem na soukromí jejích zákazníků bude lepší, když přestane data přijímat a ukládat, což znamená ukončení služby.
Mezi další produkty společnosti patří služby Silent Phone, Silent Text a Silent Eyes, které jsou zabezpečeny přímo mezi dvěma komunikujícími subjekty a společnost tak nemusí ukládat žádná data. „Nemáme ani zašifrovaná data, ani neukládáme žádná metadata o jednotlivých konverzacích,“ uvádí společnost. Když tyto údaje nemáme, nemůžeme je ani nikomu vyzradit.
Silent Circle své zdůvodnění vypnout službu Silent Mail vysvětluje samotnou podstatou e-mailových protokolů, které jsou otevřené, a tím i nezabezpečené. „Samotné e-mailové protokoly obsahují příliš mnoho míst, kde může docházet k úniku informací, a příliš mnoho metadat odhalujících informace o komunikujících,“ uvádí se dále v prohlášení.
Zákazníkům doporučují používat zachované služby, které nabízejí zabezpečenou komunikaci dvou subjektů a o kterých nevlastní společnost žádné záznamy, natož jejich obsah.
Hesla jsou "příliš riskantní" a měla by být zakázána, říká nový nátlaková skupina Zaslal: 22 červenec 2013 23:12 PDT Šifrování | Podvod Hesla jsou zastaralé a "nevyhnutelně" pád do rukou zločinců, podle nové nátlakovou skupinu, petici proti hesla.
Skupina se zaměřuje na podporu digitálních služeb směřovat k "heslem" méně autentizačních systémů. Petice zahájí 24. července, a opírá se o LaunchKey, OneID a Nok Nok Labs, stejně jako pro správu identit spouštěcí klíč, který nabízí smartphone založený na autentizační systém.
"Protože hesla musí být uloženy na centrálním serveru, jsou místa za úkol chránit před trvalým náporem útoků. Dokonce i nejlepší chráněné servery nakonec padne. Výsledky může stát společnost miliony dolarů, a výrazně dopadu důvěry spotřebitelů, "říká Brennen Byrne, generální ředitel klíč, podle zprávy od PC World.
Pohyb přijde v důsledku řady high-proile porušení kde byl zákaznických dat zpřístupněných nebo ohrožena, včetně útoků na Sony, Ubisoft, denní nabídka místa LivingSocial, LinkedIn, Zappos a Evernote. Pokud jsou hesla publikovány online po takových narušení dat, nejisté volby jako "123456" a "heslo", i nadále patří k nejběžněji používaným.
ESET výzkumný pracovník David Harley říká, že na svém blogu: "Je smutným faktem, statické hesla jsou zdánlivě levné, ale koncepčně nevyhovující řešení velmi obtížný problém, zejména pokud nejsou chráněny doplňkových metod. Biometrie a jednorázová hesla a žetony jsou mnohem bezpečnější, zejména pokud jsou prováděny v hardwaru jako dvoufaktorové autentizace opatření. "
Ostatní nátlakové skupiny jako je rychlé Identity Online (FIDO) Aliance cíl nahradit používání hesel s bezpečným, průmyslu podporovaného protokolu, který je také snadno ovladatelný. FIDO zkoumá technologie, jako otisků prstů, hlasu a rozpoznávání obličeje, a stávající řešení, jako je Near Field Communication (NFC) a jeden jednorázových hesel (OTP), s cílem vytvořit integrované řešení.
Ostatní firmy a vědci se domnívají, divočejší řešení problému - od hesel tetování a ověřování prášky na používání mozkových skenerů pro autentizaci.
Postu Hesla jsou "příliš riskantní" a měla by být zakázána, říká nový nátlaková skupina se objevila na prvním místě Žijeme zabezpečení. Jste přihlášeni k odběru e-mailových aktualizací od Žijeme Security Chcete-li ukončit příjem těchto e-mailů, můžete odhlásit teď. Doručování e-mailů pomocí služby Google Google Inc, 20 West Kinzie, Chicago IL 60610 USA
SIM šifrování chyba otevře 500M uživatelů o napadení
23. července 2013. Šifrování | Mobil
Chyba v šifrování technologie používané některými SIM kartami může dovolit útočníkovi, aby byl cílový telefon stáhnout škodlivé aplikace a dokonce účinně naklonovat průkazu uživatele, aby se vydávat za zařízení, německý bezpečnostní výzkumník našel.
Po výzkumu, který trval asi dva roky a zahrnoval více než tisíc testovaných zařízení a The Sims v nich, Karsten Nohl, vedoucí vědecký pracovník v berlínské Security Research Labs, došla k závěru, že některé 500 milionů SIM karet stále v provozu po celém světě by mohly být ohroženy k útoku. hack začíná, když útočník odešle příkaz, který simuluje legitimního dopravce prostřednictvím SMS na cílové zařízení. Vzhledem k tomu, útočník nemá správný šifrovací klíč, telefon nepřijímá příkaz, ale vrátí chybovou zprávu podepsal s správného klíče. Zranitelné SIM karet jsou ty, které stále používají Data Encryption Standard (DES) pro šifrování klíč . Toto šifrování je snadno rozbit, a pak mohou být použity na dálku překonfigurovat na SIM tak, že přijímá další pokyny jako pro instalaci špionážní aplikace, aniž by uživatel si toho byli vědomi. Znalost šifrovacího klíče umožňuje útočníkovi klonování SIM a použití klonovaného jeden k ověření se jako uživatel. Všichni ve všech, to trvá kolem minuty provést útok z libovolného počítače. Nohl byl v kontaktu s GSM Association o jeho výzkumu a sdílí s nimi i výsledky. On je také naplánován se objevit tento týden na konferenci Black Hat v Las Vegas, kde bude demonstrovat exploit. , ale podle NYT , že nemá v plánu na zpřístupnění v Las Vegas, které operátoři stále používat zranitelné SIM karty, takže jsme ve skutečnosti nemůže vědět, jestli jsme v nebezpečí, nebo ne. Za to, že budeme muset počkat na prosinec, kdy se plánuje na zveřejnění jejich seznam na Chaos Communication Congress.
Bezpečné šifrování pro korporace je možné, ale náročné
Po odhalení aktivit amerického úřadu NSA, který špehuje nejen americké občany a podniky, vzrostla pozornost věnovaná ochraně soukromí. Zejména takovému šifrování dat, které jen tak někdo nerozlouskne.
Šifrování
Podle odborníků na bezpečnost může šifrování dat pomoci korporacím ochraňovat jejich citlivé informace před rozsáhlým sledováním ze strany vlád stejně jako před projevy zájmů od konkurentů nebo kriminálních gangů. Ale korektní implementace podobných řešení není jednoduchá.
Současné zprávy o rozsahu sledování celého světa ze strany různých vládních agentur vyvolala vlnu zvýšeného zájmu o bezpečnostní řešení, která by jejich možnosti omezila.
Velké společnosti mohou sice být soudně donuceny k zpřístupnění dat svých uživatelů, ale kvalitní šifrování může alespoň zajistit, že se přinejmenším dozvědí, že jejich data byla monitorována – jednoduše proto, že si agentury budou muset počkat na zpracování korektní žádosti.
Problém je, jaké technologie využít. Nejběžnější je SSL, které zabezpečí data přenášená sítí. Protokol je stále považován za „poměrně“ silný, ale vlastní klíče SSL jsou relativně malé a není těžké si představit, že se k nim organizace jako je NSA nakonec dostane.
Náročnost prolomení SSL také záleží na konfiguracích, ve kterých je protokol používán, například metody Diffie-Hellman jsou výrazně odolnější vůči odposlechu než běžnější RSA.
Aby ale použitá technologie ochrany dat byla zcela účinná, musí data chránit po celou dobu jejich života. Ochrana datové komunikace pomocí SSL mezi serverem (nebo například předřazeným rozdělováním zátěže) nemá příliš smysl, pokud dále komunikace pokračuje zcela nechráněná. Slabinou může být nejen například zálohování a archivování, ale pozornost je třeba věnovat i tomu, co se s daty děje během vlastního zpracovávání, což jsou okamžiky, kdy je lze kvalitně zabezpečit jen velmi obtížně.
Situace se zhoršila v poslední době, kdy řešení přenáší na externí poskytovatele, kteří navíc nasazují blíže nespecifikované množství zařízení, řada z nich navíc bývá pronajímaná od třetích stran.
Pokud se jedná o správu šifrovacích klíčů, musí podle expertů společnosti přistoupit na filozofii „nevěřme nikomu“. Privátní klíče by neměly být sdílené s nikým, zejména ne s cizími provozovateli cloudů.
Jádrem nedávného skandálu byl samozřejmě rozsah, v jakém NSA špehuje vlastní občany, přestože je jejím primárním poslání sledovat aktivity zahraničních špionážních agentur. Proto by bylo více než pošetilé, kdyby evropská společnost starající se o citlivá data jakkoli využívala služeb amerických cloudů, včetně jejich částí, které běží v evropských lokalitách (ale nepochybně využívají replikační technologie pro zrcadlení dat směrem na americké území).
Ukládání hesel správný způsob, jak do vaší aplikace
12.6.2013 Šifrování
Mám podezření, že většina našich čtenářů vědí, ale to nemůže ublížit opakovat to každý tak často, jak je zde mnoho nejasností v otázce. Jedna věc, která se dostává do mě vidí zprávy o webových kompromisů, které tvrdí, " hesla byly rozházeny s SHA-256 ". No v nominální hodnotě to znamená, že 90% z hesel bylo dekódovat před zprávou zasaženi.
Pokud máte aplikaci, která je chráněna heslem, existuje několik pravidel následovat:
Pravidlo # 1: Nikdy neskladujte prostého hesla, použijte hash
Nejhorší řešení je, že hesla jsou uloženy jako je. Každý útočník lámání do aplikace má nyní vše, co potřebují k zosobnění všechny uživatele ve vaší aplikaci. Ale obvykle mají mnohem více: uživatelé obvykle znovu hesla, takže nedá se říct, jak daleko to jde. A v případě, že aplikace je např. webmail řešení: a všechny účty, které lze resetovat prostřednictvím e-mailu zde jsou nyní v podstatě rozděleny stejně.
Hash funkce je jednosměrná funkce: převádí vstup na výstup, ale neexistuje žádný jednoduchý způsob, jak zvrátit tento proces. Je tu celá parta běžně používaných algoritmů.
Cílem / Výhodou zde je, že iv případě, že útočník snímá uživatelské tabulky, se mu pořád ještě nějakou práci. Bohužel práce je proveditelné, a proto potřebujeme více ...
Pravidlo č. 2: Použití soli
Útočníci mohou předem vypočítat (nebo koupit) tzv. rainbow tables: Je to seznam předběžně vypočtené heslem -> hodnoty hash a jako takové dekódování všechny běžné heslo je rychlý jako vyhledávání na ně dostane.
Sůl je v podstatě náhodný řetězec vybrán při změně hesla nebo vytvoření a uloženy spolu s hash a spojeny na heslo. To je duha tabulky k ničemu.
Ale pořád to není dost ...
Pravidlo č. 3: Použijte pomalu hash funkce
Toto pravidlo je nejvíce často zapomíná, ale je to tak důležité.
Mezi nejčastější funkce hash, které používáme denně (např. SHA-256) jsou navrženy tak, aby byl rychlý. Ale pro ukládání hesel, který bude fungovat proti nám velký čas. I Útočník nemůže zlomit SHA-512 v hrubou silou způsobem, a to iv případě, že nemohou používat rainbow tables kvůli soli používány, oni ještě najdou převážnou většinu hesel naši uživatelé mohou pamatovat způsobem minut na hodiny, pokud použijete rychlý hash.
Takže budete muset použít delší hash funkce.
Vzhledem k tomu, že je pravidlo číslo 0 ve všech věcech crypto: Ještě nevymysleli sami: Stačí použít příslušné funkce již existuje. Mnohé z těchto pomalých hašovacích funkcí umožňují, kdo si vybral náklady. Pokud ano, nastavte ji tak vysoko, jak můžete mít se svým současným hardwarem.
Příklady
V PHP lze použít šifrovací funkci pomocí blowfish nebo mnoho tisíc kol SHA-256 nebo SHA-512 namísto jednoduchého hash funkce. Nebo ještě lépe, pokud je šifrovací heslo hash rozšíření je nainstalován, použijte ji, jak to má jednoduchý podporu např. omílání hesel aktualizovat sílu hash uložené hesla při přihlášení uživatele.
Neváhejte přidávání komentářů o tom, jak to udělat iv jiných jazycích.
