Доброго времени суток, дорогие друзья. У меня возникла необходимость настроить https на сервере, который используется в онлайн-игре. Для этого мне понадобится бесплатная регистрация на StartSSL и немного времени. Инструкции на самом сайте StartSSL довольно туманные. Эта публикация призвана пролить свет на детали.
Читать полностью »
Рубрика «криптография» - 73
Бесплатный https сертификат + интеграция в Apache–TomCat
2015-01-19 в 19:52, admin, рубрики: Apache, HTTPS, java, SSL, TLS, tomcat, безопасность, информационная безопасность, криптографияCurve25519, EdDSA и Poly1305: Три обделенных вниманием криптопримитива
2015-01-15 в 11:59, admin, рубрики: Curve25519, Daniel J. Bernstein, Ed25519, EdDSA, Poly1305, информационная безопасность, криптография 
Есть такой очень хороший товарищ по имени Daniel Julius Bernstein. Математик, программист и спец по компьютерной безопасности. Его хэш CubeHash чуть не дотянул до третьего раунда SHA-3, а потоковый шифр Salsa20 попал в шорт лист проекта eStream. А еще он автор культовой в узких кругах криптобиблиотеки NaCl, о трех штуках из которой я бы хотел вкратце рассказать.
Читать полностью »
Обыск и арест электронных устройств и носителей информации при пересечении границы США
2015-01-14 в 8:33, admin, рубрики: Законодательство и IT-бизнес, информационная безопасность, Карьера в IT-индустрии, криптография, обыски, путешествия, слежка за гражданами, четвертая поправка 
«Право народа на охрану личности, жилища, бумаг и имущества от необоснованных обысков и арестов не должно нарушаться...» — так начинается Четвертая поправка к Конституции США.
Можно ли провести обыск электронных устройств без санкции суда? Помогут ли средства криптографии? Каковы границы неприкосновенности личной жизни в цифровую эпоху, при пересечении государственной границы США? Если Вам это интересно, прошу под кат:
Читать полностью »
«Идеальное» бросание монеты: The NIST Randomness Beacon
2015-01-14 в 8:28, admin, рубрики: NIST, информационная безопасность, криптография, случайные числа 
Говоря статистическим языком — «случайная переменная» — это функция, выдающая какое-то значение, неизвестное до определенного времени и постоянное после.
C 5 сентября 2013 года NIST каждую минуту публикует случайное число размером 512 бит. Это число, предыдущее число, время, когда оно было сгенерировано и еще кое-какая информация подписываются цифровой подписью NIST, так что можно легко проверить, что число было сгенерировано именно NIST.
Функции для решения квадратичных сравнений. Реализация в MATLAB
2015-01-12 в 12:58, admin, рубрики: Алгоритмы, криптография, математика, основы теории чисел, ПрограммированиеВведение
Для решения криптографических задач необходимо уметь решать квадратичные сравнения по заданному модулю. Алгоритм решения квадратичного сравнения достаточно прост и не вызывает сложностей в решении при небольших значениях модуля и свободного члена, однако в связи с применением достаточно больших чисел в криптографии, решение квадратичных сравнений вручную является весьма кропотливым и длительным процессом. Конечно, для решения квадратичных сравнений можно воспользоваться онлайн-сервисом. Но так как решение криптографической задачи не заканчивается на решении квадратичного сравнения, то человеку, занимающемуся криптографией, будет удобно иметь функцию, способную решать квадратичные сравнения и свободно взаимодействовать с другими функциями, которые используются ним. Именно поэтому было решено написать функцию для решения квадратичных сравнений вида x^2 ≡ a ( mod p ), где a и p — взаимно простые числа, в MATLAB.
Heartbleed и его друзья в 2015 году: как рекламная сеть ставит под угрозу посетителей сайтов
2015-01-12 в 6:00, admin, рубрики: adriver, Heartbleed, HTTPS, javascript, openssl, SSL, ssllabs, информационная безопасность, криптография, реклама, рекламные сети, Серверное администрирование 
В первый рабочий день нового года хотелось бы обратить внимание владельцев сайтов на рекламу, которую они публикуют. Ваш сайт работает на HTTPS, как и все рекламные скрипты? Вы используете новейшие версии ПО, поддерживаете только безопасные протоколы и наборы шифров? А система рекламы?
Читать полностью »
Padding Oracle Attack или почему криптография пугает
2015-01-10 в 17:00, admin, рубрики: CBC, padding, padding oracle, информационная безопасность, криптоанализ, криптография Все мы знаем, что не следует самостоятельно реализовывать криптографические примитивы. Мы также в курсе, что даже если мы хитрым образом развернем порядок букв во всех словах сообщения, сдвинем каждую букву по алфавиту на 5 позиций и разбавим текст случайными фразами, чтобы сбить атакующих с пути, наш замечательный шифр скорее всего вскроет любой мало-мальски знакомый с криптографией человек (а в данном случае с задачей справится и в меру умный 12-летний подросток).
Однако, и внедрение известных и стойких алгоритмов не является панацеей. Даже если вы возьмете готовую реализацию данного алгоритма, сгенерируете секретные ключи согласно всем требованиям и тому подобное, все-равно вы останетесь потенциально подвержены некоторым весьма эффективным атакам. Опытному злоумышленнику достаточно крошечной, казалось бы, совершенно несвязанной с криптосистемой толики информации, чтобы обойти шифрование.
Мой посыл не в том, что убедить вас отказаться от самостоятельного использования криптографических средств или пойти и нанять консультанта с зарплатой от $1000 в час всякий раз когда вы задумываетесь о шифровании.
Частично я веду к тому, что вам никогда не следует расслабляться, всегда нужно быть начеку, изыскивая пути, которые злоумышленник может использовать для получения дополнительной информации о вашей системе, а частично к тому, что Padding Oracle Attack является крутой демонстрацией всего этого. Итак, начнем.
Читать полностью »
Какое шифрование АНБ не по зубам
2014-12-29 в 9:09, admin, рубрики: Агентство национальной безопасности, информационная безопасность, криптография, регулирование интернета, секретные документы, спецслужбы, США, утечки, шифрование, Эдвард СноуденВзломать Tor, PGP и OTR спецслужбам не под силу
Только благодаря утечкам Эдварда Сноудена и похожим событиям у нас появляется уникальная возможность посмотреть на внутреннюю кухню американских спецслужб. Сами они никаких конкретных цифр выдавать не могут по определению.
«Шпигель» опубликовал статью о том, как у Агентства национальной безопасности США обстоят дела со взломом криптографических алгоритмов. Это очередная утечка материалов Сноудена.
Самым полезным из этой информации является то, что на момент создания документов (2012 год) некоторые чаты и программы для пересылки электронной почты всё ещё представляли сложность для АНБ.
Читать полностью »
Группировка Lizard Squad попыталась атаковать Tor
2014-12-28 в 9:06, admin, рубрики: ddos, distributed denial-of-service, Lizard Squad, PlayStation, playstation 4, playstation network, The Onion Router, Tor, xbox, xbox live, xbox one, атака на одноранговые сети, бравада, взлом, информационная безопасность, криптография, уязвимостиРанее хакеры «положили» PlayStation Network и Xbox Live
Хакерская группировка Lizard Squad поставила своей целью атаку на сеть Tor. Об этом они сообщили в своём официальном аккаунте Twitter.
Из их заявления следует, что взломщики прекратили атаку на сервисы Xbox Live и PlayStation Network и теперь тестируют уязвимость нулевого дня в Tor — уязвимость, пакета исправления для которой пока не существует. Эти слова несколько отличаются от того, что было проделано на самом деле.
Читать полностью »
Встраивание электронной подписи в системы с WEB-интерфейсом с помощью браузерного плагина и openssl
2014-12-26 в 13:23, admin, рубрики: openssl, Блог компании Компания «Актив», информационная безопасность, криптография, рутокен плагин, рутокен эцп, эцп 
Несколько лет назад нашей компанией был выпущен продукт Рутокен Плагин, который предназначен для встраивания ЭЦП в системы с web-интерфейсом. Основываясь на полученном опыте интеграции продукта в реальные проекты мне хочется отметить, что нередко разработчики для реализации серверной части предпочитают использовать поддерживающий российские криптоалгоритмы openssl.
В данной статье будет расписана типичная схема подобной интеграции, основанная на следующих сценариях использования плагина:
- Регистрация на портале (с выдачей сертификата или по имеющемуся сертификату)
- Строгая аутентификация на портале
- Электронная подпись данных и/или файлов в формате CMS
- Шифрование данных и/или файлов в формате CMS
Данные сценарии предполагают клиент-серверное взаимодействие, написание клиентских скриптов на JavaScript и соответствующих им серверных вызовов openssl.
Подробности под катом.
Читать полностью »