Рубрика «Блог компании GlobalSign» - 12

АНБ предложило стандарт шифрования для устройств Интернета вещей, но ISO его отвергло - 1

Шифровальная машина Enigma. Ходят слухи, что это первое из устройств, куда внедрило бэкдор АНБ. Это произошло после WWII в сотрудничестве с фирмой-производителем Crypto AG. С тех пор внедрение таких бэкдоров стало чуть ли не стандартной практикой для американских разведчиков

Многие говорят о всемогуществе американских спецслужб: мол, они делают аппаратные закладки в CPU (чипы Clipper) и оставляют бэкдоры в стандартах шифрования на этапе создания этих стандартов, как было с алгоритмом Dual_EC_DRBG, принятым NIST в качестве стандарта ГСЧ. Документы Сноудена показали, что АНБ заплатило RSA за включение этого ГСЧ в своё программное обеспечение.

Но в реальности даже их влияние не безгранично. Если верить источнику WikiTribune из Международной организации по стандартизации (ISO), в апреле этого года развернулась целая дискуссия между специалистами из международной группы экспертов по безопасности ISO и сотрудниками Агентства национальной безопасности США (АНБ), которые представили новые блочные шифры для Интернета вещей.
Читать полностью »

Беспроводная HD-видеокамера без батарейки - 1
ASIC беспроводной HD-видеокамеры. Фото: Вашингтонский университет

Обратное рассеяние (backscattering) — физическое явление, при котором происходит отражение волн, частиц или сигналов в обратном направлении, то есть в сторону источника. Оно традиционно используется в астрономии, фотографии и УЗИ. Но оказывается, что это явление можно использовать для электроники, сенсоров и радиопередатчиков.

В лаборатории сенсорных систем Вашингтонского университета разработали HD-видеомодуль, который передаёт видеопоток 720p и 1080p на 60 FPS с энергопотреблением 321 и 806 мкВт, соответственно. Это в 1000−10000 раз меньше, чем у существующих беспроводных камер. Другими словами, модулю вполне хватит энергии, извлекаемой из окружающей среды (WiFi, свет, вибрация, разница температур, излучение СВЧ и проч.).

Этого удалось добиться за счёт устранения из устройства «лишней» электроники, в том числе АЦП и видеокодера. Сигнал с сенсора передаётся в аналоговом виде через широтно-импульсный модулятор с обратным рассеянием.
Читать полностью »

Из Chrome исчезнет значок «Защищено» для сайтов HTTPS, и это правильно - 1

Несколько месяцев назад разработчики Chrome объявили, что в июле 2018 года начнут помечать как небезопасные все страницы HTTP. Значок «Не защищено» (“Not secure”) появится в адресной строке рядом с URL.

Это важное нововведение, потому что людей приучают избегать сайтов, которые не установили сертификат TLS для шифрования трафика. Ведь такие сайты действительно подвергают опасности пользователей. Например, провайдеры и другие злоумышленники могут внедрять в незашифрованный трафик рекламу, криптомайнеры и другой вредоносный контент. В опросе на Хабре 55% пользователей согласились, что все сайты должны шифровать трафик по HTTPS.

Сейчас стало известно об ещё одном изменении, смысл которого сразу не так очевиден. Оказывается, с версии Chrome 69 (сентябрь 2018 года) у защищённых сайтов HTTPS исчезнет индикатор «Защищено». Спрашивается, почему?
Читать полностью »

Стандарт Web Authentication API: беспарольная аутентификация в вебе - 1

В марте 2018 года Альянс FIDO (Fast IDentity Online) и Консорциум W3C достигли важного рубежа: после двух лет разработки стандарт Web Authentication (WebAuthn) получил статус кандидата в рекомендации (CR) — это стабильная версия документа, в которую больше не планируется вносить принципиальных изменений. Обсуждение CR завершилось 1 мая.

Что дальше? Теперь очередь Google, Mozilla и Microsoft. Когда поддержку Web Authentication API независимо и совместимо реализуют в двух браузерах, стандарт получит статус предложения в рекомендации. К этому моменту будут рассмотрены все предложения от сообщества — и документ представят Консультативному Совету W3C для окончательного утверждения.
Читать полностью »

RIPE распределил последний блок -22 из последнего блока -8. Что дальше? - 1
Распределение IP-адресов в 185/8, последнем свободном блоке RIPE, в 2012 году (слева) и 2018 году (справа), источник

17 апреля 2018 года Сетевой координационный центр RIPE — одна из пяти Региональных регистратур — распределил последние 1024 адресов IPv4 из последнего блока /8, полученного от IANA в 2011 году. Хотя последний блок 185/8 полностью распределён между европейскими компаниями, но в пуле RIPE NCC осталось 9 млн «восстановленных» адресов (то есть адресов, изъятых у бывших владельцев). По расчётам Координационного центра, этого хватит ещё примерно на два года, если выдавать по заявкам локальных регистраторов по /22 каждому.

На данный момент каждый адрес IPv4 — исключительно дефицитный товар, а последние выделенные IP-адреса используются очень интенсивно. Поэтому особенно неприятны ситуации вроде нынешней массовой блокировки IP-адресов в России. На пике блокировки 18 млн заблокированных Роскомнадзором IP-адресов соответствовали 5,5 млн заблокированных доменов — это около 2,45% из 223 млн известных доменов в интернете.
Читать полностью »

В литературе и самых сложных современных системах есть «лучшие» ответы на многие вопросы. Если вы разрабатываете встроенные приложения, то предлагают использовать STROBE и модный современный криптографический стек для аутентификации полностью из одиночных SHA-3-подобных функций губки. Советуют использовать NOISE для разработки безопасного транспортного протокола с формированием общего ключа аутентификации (AKE). Говоря об AKE, есть около 30 различных парольных AKE на выбор.

Но если вы разработчик, а не криптограф, то не должны делать ничего такого. Следует придерживаться простых и обычных решений, которые легко поддаются анализу — «скучных», как говорят люди из Google TLS.
Читать полностью »

Сервис цифровых подписей GlobalSign интегрирован в облако Adobe Document Cloud - 1

10 апреля 2018 года компания GlobalSign объявила о присоединении к консорциуму Cloud Signature и партнёрской программе Adobe Cloud Signature. Оба соглашения предусматривают, что фирменный сервис облачных подписей Digital Signing Service теперь напрямую интегрирован с решением для подписи документов Adobe Sign в облаке Adobe Document Cloud.

Adobe Document Cloud — это полный комплект решений для работы с цифровыми документами, ускоряющих и упрощающих бизнес-процессы за счёт перевода всей бумажной работы в цифровое защищённое пространство. Сюда входят сервисы Adobe Sign, Acrobat DC, веб-приложения и мобильные приложения, которые работают в автономном режиме или встраиваются в существующие рабочие процессы. Система интегрирована и нормально работает с программами Microsoft, Salesforce, Workday, SAP Ariba, Dropbox и прочими, а служба Adobe Sign (теперь и GlobalSign) является предпочтительной службой подписи документов в приложениях Microsoft.
Читать полностью »

Облачные сервисы цифровых подписей - 1

Ещё в прошлом веке многие предприятия начали массово переходить на электронный документооборот. У всех появились компьютеры с офисными программами. Документы часто набирали в Microsoft Word или других текстовых редакторах, экспортировали в PDF, отправляли по электронной почте.

Казалось, что если документооборот электронный, то мы скоро забудем о шкафах с бумажными архивами, на рабочих столах не останется ни единого бумажного листа. Если вдруг в организацию пришлют бумажный документ по обычной почте, то артефакт немедленно отсканируют и переведут в цифровой вид. В реальности вышло совсем наоборот. Оказалось, что чем больше организация использует компьютеры для цифрового документооборота — тем больше документов она печатает. Ведь каждый документ нужно завизировать. Документ без подписи — это просто черновик или информационная записка. Чтобы получить подпись, документы распечатывают, а потом зачастую сканируют обратно, храня оригиналы в архиве.

Сейчас понятно, что действительно электронный (безбумажный) документооборот никак не внедрить без цифровых подписей.
Читать полностью »

Варианты хранения криптографических ключей - 1Продолжает расти популярность решений на основе PKI — всё больше сайтов переходят на HTTPS, предприятия внедряют цифровые сертификаты для аутентификации пользователей и компьютеров, S/MIME доказывает свою состоятельность и для шифрования электронной почты, и как способ проверки источника сообщений для противодействия фишингу. Но шифрование и аутентификация в этих приложениях практически бессмысленны без правильного управления ключами.

Каждый раз при выдаче цифрового сертификата от центра сертификации (ЦС) или самоподписанного сертификата нужно сгенерировать пару из закрытого и открытого ключей. Согласно лучшим практикам, ваши секретные ключи должны быть защищены и быть, ну… секретными! Если кто-то их получит, то сможет, в зависимости от типа сертификата, создавать фишинговые сайты с сертификатом вашей организации в адресной строке, аутентифицироваться в корпоративных сетях, выдавая себя за вас, подписывать приложения или документы от вашего лица или читать ваши зашифрованные электронные письма.

Во многих случаях секретные ключи — личные удостоверения ваших сотрудников (и, следовательно, часть персональных данных организации), так что их защита приравнивается к защите отпечатков пальцев при использовании биометрических учётных данных. Вы же не позволите хакеру добыть отпечаток своего пальца? То же самое и с секретными ключами.

В этой статье мы обсудим варианты защиты и хранения закрытых ключей. Как вы увидите, эти варианты могут незначительно отличаться в зависимости от типа сертификата(ов) и от того, как вы его используете (например, рекомендации для сертификатов SSL/TLS отличаются от рекомендаций для сертификатов конечных пользователей).
Читать полностью »

Новые уязвимости 4G LTE: массовая рассылка сообщений, имперсонификация абонентских устройств и другие - 1
Сетевая архитектура LTE

На прошедшей конференции по безопасности сетей и распределённых систем в Сан-Диего NDSS 2018 было немало интересного, но самое большое внимание привлёк доклад американских исследователей из Университета Айовы и Университета Пердью по уязвимостям в сетях связи четвёртого поколения (4G): LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE (pdf). Такое внимание объяснимо, учитывая широкую распространённость сетей 4G LTE.

Исследователи сосредоточились на анализе трёх критических процедур, которые используются в протоколе:

  • Attach — процедура, которая связывает абонентское устройство с сетью (например, при включении телефона).
  • Detach — осуществляется при выключении устройства или отключении сети (например из-за плохого качества сигнала или если телефон не может пройти проверку подлинности в сети).
  • Paging — этот протокол является частью установки вызова, чтобы форсировать на устройстве повторный приём системной информации, а также сообщений экстренного характера.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js