Рубрика «криптография» - 15

в 11:56, , рубрики: aes-ni, CVE-2019-11157, Intel SGX, miran, Plundervolt, RSA-CRT, анклав, Блог компании Дата-центр «Миран», информационная безопасность, криптография, обновление BIOS, Производство и разработка электроники, Процессоры, процессоры intel

Процессоры Intel выплёвывают приватный ключ, если поиграть с напряжением - 1Исследователи из трёх европейских университетов раскрыли детали первой известной атаки на SGX.

Набор инструкций SGX (Software Guard eXtensions) позволяет приложению создавать анклавы — области в виртуальном адресном пространстве, защищённые от чтения и записи извне этой области другими процессами, включая ядро операционной системы. Анклавы изолированы на аппаратном и программном уровне: эта память физически отделена от остальной памяти процессора и зашифрована.

Атака Plundervolt (CVE-2019-11157) использует интерфейс ОС для управления напряжением и частотой процессора Intel — тот же интерфейс, который используется для разгона CPU при оверклокинге. Изменяя напряжение CPU, она за несколько минут извлекает данные из анклава, в том числе ключи шифрования.

Код демонстрационного эксплоита опубликован на GitHub. Уязвимые процессоры:

  • Intel Core 6, 7, 8, 9 и 10 поколений
  • Intel Xeon E3 v5 и v6
  • Intel Xeon E-2100 и E-2200

Читать полностью »

в 1:51, , рубрики: криптография, Лайфхаки для гиков, скорописание, стенография, типографика, Учебный процесс в IT

Многих отпугивает слово «стенография» и есть от чего, так как под этим подразумевается сложная система, которую не только длительно надо изучать, но и постоянно применять, чтобы был от этого толк. Я же предлагаю вам ознакомиться с наипростейшим методом записи русской устной речи с помощью упрощенных значков, что конечно не повысит в 2-4 раза скорость записи как в стенографии, но точно облегчит эту запись.

Для изучения алфавита требуется 30 минут (да, это точно и проверено на ученике 2 класса обычной школы), еще около часа желательно почитать что-то на этом алфавите, ну и само письмо придется нарабатывать на скорость в течение дня.

В отличие от стенографии, у которой упор сделан на скорость письма и значки могут отличаться размерами и занимать две клетки по высоте, в данном методе мы можем писать на каждой клетке тетради краткими символами, что не только экономит в 2 раза конспект, но экономит чернила и наши силы на выведение сложных знаков или соединений между ними.

Метод наипростейшей стенографии. Алфавит и шрифт для неё - 1
Читать полностью »

в 17:58, , рубрики: госуслуги, Законодательство в IT, криптография, криптография гост, Росреестр, электронная подпись, электронный документооборот

Уходящий год запомнился шумихой вокруг применения электронной подписи (далее — ЭП) в мошеннических целях.

Началось всё с того, что я запостил инструкцию о том, как зарегистрировать переход права на недвижимость с помощью ЭП. Затем то ли, это совпадение, то ли «не думаю», но появились посты о том, что Мошенники переоформили квартиру в Москве с помощью поддельной цифровой подписи, что электронный ключ, позволяющий переоформить квартиру, можно получить на любого человека, и даже по похожей схеме получилось зарегистировать на граждан юрлица — последний пост даёт неплохой обзор о состоянии законной части вопроса.

И вот, менее чем через год законодатель ответил на вызовы времени — в Госдуме проходит чтения законопроект 747528-7.Читать полностью »

в 11:21, , рубрики: Git, github, GnuPG, gpg, pass, информационная безопасность, криптография, шифрование

Всем привет. В этой статье я хотел бы поделиться своим опытом настройки и использования pass — менеджера паролей для Linux и не только, примечательного своей простотой, использованием уже присутствующих в системе инструментов и возможностью работать исключительно из консоли. Конкретнее, будут затронуты проблемы, связанные с генерацией и хранением секретного ключа gpg, а также с настройкой совместной работы pass, gpg, git, github и браузера. Всё — под Linux, Windows и Android.

Читать полностью »

в 14:17, , рубрики: Блог компании Mercuryo, блокчейн, Криптовалюты, криптография

Telegram Open Network: теория и практика от валидатора сети - 1

В последние несколько месяцев всё внимание мирового блокчейн-сообщества было приковано к запуску одного из самых масштабных криптовалютных проектов — Telegram Open Network (TON).
Что на самом деле представляет из себя блокчейн TON? Является ли сеть TON действительно децентрализованной? Каковы её реальные возможности масштабирования? Как стать валидатором сети?

Ответы на эти и другие вопросы попыталась найти команда проекта Mercuryo, которая является активным участником тестовой сети с начала сентября 2019 г.

15 ноября 2019 сервисы Telegram переехали на testnet 2 и стартовала третья очередь тестирования. Наша команда продолжила участие в тестировании, став первыми валидаторами в сети после TON.

Для участия в процессе валидации, от пользователя требуется не только иметь достаточное количество монет (токенов GRAM), но и постоянно запущенный полный узел сети (TON Blockchain Full Node).

Теоретически любой пользователь может стать валидатором при соблюдении условия, что он владеет минимально необходимой долей актива (в монетах Gram) в мастерчейне, но на практике возникает ряд вопросов, на которые ответит в данной статье наша команда.

Кроме этого, мы хотим поделиться опытом по использованию tonlib-cli, т.к. в данный момент практически отсутствует задокументированная информация в отличие от базового варианта, подробно описанного в HowTo. Читать полностью »

в 7:13, , рубрики: Блог компании Издательский дом «Питер», блокчейн, венчурные инвестиции, квантовые технологии, квантовый компьютер, криптография, Профессиональная литература, физика

Доброй субботы!

Сегодняшний перевод самым непосредственным образом вписывается в наши поиски, связанные с литературой по квантовым вычислениям, и может считаться базовым материалом о том, какие опасности или, наоборот, возможности, привносит квантовый компьютер в технологии блокчейна. Падут ли они под натиском новых квантовых возможностей или, наоборот, станут еще более неуязвимыми?

Тем временем, следите за рекламой — книга Владимира Силвы на подходе — и не забудьте поучаствовать в голосовании.
Читать полностью »

в 15:47, , рубрики: cryptography, machine learning, Алгоритмы, Блог компании Mail.Ru Group, криптография, машинное обучение, ненормальное программирование, никто не читает теги
Применение зашифрованных данных для машинного обучения без их расшифровки - 1

Применение зашифрованных данных для машинного обучения без их расшифровки
В этой статье обсуждаются передовые криптографические методики. Это лишь обзор исследований, проводимых в Julia Computing. Не используйте приведённые здесь примеры в коммерческих приложениях. Всегда консультируйтесь с криптографами, прежде чем применять криптографию.

Здесь можно скачать пакет, реализующий всю магию, а здесь находится код, который рассматривается в статье.
Читать полностью »

в 10:46, , рубрики: AES-XTS, amd, api, drm, intel, miran, MKTME, SME, TME, Блог компании Дата-центр «Миран», виртуализация, дата-центр "Миран", информационная безопасность, криптография, Процессоры, ядро Linux

Аппаратное шифрование DRAM уже близко. Чем оно грозит простым пользователям? - 1Существует масса вариантов для шифрования дисков, разделов и отдельных документов. На случай компрометации одного устройства есть даже федеративное распределение ключа, где для доступа требуется участие нескольких сторон (см. схему разделения секрета Шамира). Опции шифрования файловой системы предлагают широкий выбор возможностей, которые можно считать стандартной практикой для защиты статичных данных.

Другое дело — данные в оперативной памяти. Они хранятся в открытом виде и так же открыто передаются между памятью и CPU. В виртуализированной среде, если злоумышленник нашёл способ считать память с соседних виртуальных машин, он может получить доступ к данным других VM на сервере. Физические атаки возможны путём копирования чипов памяти или перехвата данных на шине. Угроза ещё более серьёзная в случае постоянной памяти, где данные сохраняются даже после отключения питания.

Технологии шифрования RAM направлены на устранение некоторых из этих атак. Хотя есть опасения, что на персональных компьютерах проявятся неожиданные «побочные эффекты» — например, невзламываемый DRM.
Читать полностью »

в 12:32, , рубрики: CloudFlare, DoH, esni, rsockstun, tls 1.3, домен-фронтинг, информационная безопасность, криптография, Сетевые технологии, шифрование

Введение

В первой части статьи мы дали краткое описание механизма encrypted SNI (eSNI). Показали каким образом на его основе можно уклоняться от детектирования современными DPI-системами (на примере билайновского DPI и запрещенного РКН рутрекера), а также исследовали новый вариант домен-фронтинга на основе данного механизма.

Во второй части статьи перейдем к более практическим вещам, которые будут полезны RedTeam специалистам в их нелегкой работе. В конце концов наша цель — не получение доступа к заблокированным ресурсам (для таких банальных вещей у нас есть старый добрый VPN). Благо что VPN-провайдеров существует великое множество, как говорится, на любой вкус, цвет и бюджет.

Мы постараемся применить механизм домен-фронтинга для современных инструментов RedTeam, например, таких как Cobalt Strike, Empire и т.д., и дать им дополнительные возможности по мимикрированию и уклонению от современных систем фильтрации контента.
Читать полностью »

в 15:35, , рубрики: защита информации, информационная безопасность, криптографические хеш-функции, криптография, учебное пособие, хеширование
Предисловие

Данный текст будет являться одной из переписанных глав для учебного пособия по защите информации кафедры радиотехники и систем управления, а также, с этого учебного кода, кафедры защиты информации МФТИ (ГУ). Полностью учебник доступен на github (см. также draft releases). На Хабре планирую выкладывать новые «большие» куски, во-первых, чтобы собрать полезные комментарии и замечания, во-вторых, дать сообществу больше обзорного материала по полезным и интересным темам.

Надёжная криптографическая хеш-функция обеспечивает преобразование открытого текста в текст заданной длины. При этом обеспечивается «стойкость»: сложность в восстановлении первого и второго прообразов. Или, говоря простым языком про первое свойство, сложность получения такого текста, значение хеш-функции для которого будет равно заданному.

Под сложностью восстановления понимается тот факт, что для нахождения первого прообраза [надёжной криптографической хеш-функции] требуется совершить в среднем не менее $2^{n-1}$ операций хеширования, где $n$ — количество бит в выходе криптографической хеш-функции. Взяв современную хеш-функцию с большим размером выхода (начиная от 256 бит) разработчик информационной системы уверен, что восстановить исходные данные по значению хеш-функции нельзя. Чаще всего он прав.

Но есть важный набор случаев, когда несмотря на надёжность хеш-функции восстановление прообраза или даже исходного текста не представляет проблемы. Это случай, когда использовать хеш-функцию бессмысленно. Это случай, когда количество вариантов исходного текста поддаётся перебору.
Читать полностью »

1...10...141516...2030...108
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js