Думаю при слове «криптография» все будут вспоминать этот фильм. На первом курсе у нас даже было домашнее задание типа «Посмотреть фильм „Игры разума“ », ну, были и еще более бредовые типа «Посмотреть мультик „Три паньки“ ». Препод был легендарный дядька, но в своей области спец.
Читать полностью »
Прошу прощения за желтый заголовок, но думаю, это действительно стоит обсудить.
Итак, по словам автора приложения APRSdroid, начиная с Android 2.3 при установке SSL-соединения вместо использовавшейся ранее комбинации алгоритмов шифрования и хэширования AES256 и SHA1 первой стала предлагаться значительно более слабая комбинация из RC4 и MD5.
Почитать пост с описанием этого открытия вы можете по ссылке.
Оставляя за скобками мотивы разработчиков android установить приоритет именно для этих алгоритмов, я хочу рассказать чем плох RC4 в качестве основного метода шифрования и чем это чревато для SSL.
Читать полностью »
11 сентября этого года Штаб-квартира правительственной связи (Government Communications Headquarters) Великобритании опубликовала на своём сайте сообщение, предлагающее всем желающим взломать шифрованное сообщение, созданное экспертами-криптографами. Задание и варианты ответа были опубликованы на специально созданном сайте Can You Find It, а в качестве призов были обещаны 100 Raspberry Pi и 5 планшетов Google Nexus — эти для победителей. Своеобразного шарма конкурсу добавлял тот факт, что GCHQ известна близким сотрудничеством с британской секретной службой MI5 и разведкой MI6.
Читать полностью »
Мы рады сообщить о том, что программный комплекс ViPNet Client Android сертифицирован ФСБ России как сетевое средство криптографической защиты информации класса КС1. Полученный сертификат соответствия СФ/124-2226 подтверждает, что ViPNet Client Android соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94 и требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС1 и может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
Читать полностью »
От автора: мой первый перевод, правки и улучшения принимаются в личку. Спасибо!
Это новый выпуск из серии «Licensing and Compliance Lab» – интервью с разработчиками, которые выбрали лицензии GNU для своих работ.
В этом выпуске мы взяли email-интервью у Калеба Джеймса ДеЛайла, основного разработчика cjdns – сетевого протокола с шифрованием на основе IPv6 и серверного ПО, которое использует ассимитричное шифрование для получения адресов и распределённые хэш-таблицы (DHT) для построения маршрутов.
Как уже писали на Хабре, в процессе ликвидации Silk Road, ФБР изъяло довольно много биткоинов. Вернее, не так — ФБР изъяло очень много биткоинов, около 26000. Эта криптовалюта принадлежала не столько основателю Silk Road, сколько пользователям сервиса, которые хранили свои накопления внутри сервиса. Как только ФБР получило доступ к кошельку Silk Road, биткоины, хранящиеся там, были переведены на соответствующий кошелек ФБР. И теперь эта организация не знает, что с этим богатством делать.
Нашёл буквально несколько упоминаний о SSTP на Хабре, в связи с чем хочу рассказать про устройство этого протокола. Secure Socket Tunneling Protocol (SSTP) – протокол VPN от Microsoft, основанный на SSL и включённый в состав их ОС начиная с Windows 2008 и Windows Vista SP1. Соединение проходит с помощью HTTPS по 443 порту. Для шифрования используется SSL, для аутентификации — SSL и PPP. Подробнее про устройство — под катом.
Читать полностью »
Вчера, при попытке совершить звонок (оператор МТС-Украина), мой Sony Ericsson выдал предупреждение «Шифрование не поддерживается оператором, соединение не защищено». Перепроверив на другом телефоне и поискав больше информации в интернете, наткнулся на форумы с темами пятигодичной давности, что МТС уже практиковал это дело, правда в российском сегменте. Если у кого-то есть больше информации, прошу поделится ею в комментариях. Более подробно о шифровании в GSM-сетях можно почитать тут и тут.
Привет, %username%!
Так уж вышло, что несмотря на относительно неплохое понимание инфраструктуры открытых ключей, содержимое *.crt файлов всегда оставалось для меня полнейшей загадкой.
Нет, не поймите неправильно. Я знаю, что x.509 сертификат содержит информацию о владельце, открытый ключ, сведения об удостоверяющем центре и электронную цифровую подпись. Но при установке очередного сертификата меня всегда мучило любопытство.
Чем отличается идентификатор ключа от отпечатка? Какие данные сертификата подписываются, а какие нет? И что за структура данных позволяет хранить всю эту информацию, сводя избыточность к минимуму.
Но вот наконец-то любопытство перебороло лень и в данном посте я постараюсь описать структуру x.509 сертификатов и ответить на эти и другие вопросы.
Читать полностью »
Благодаря Ричарду Сноудену все больше людей теперь знают, что такое АНБ и чем оно занимается. Исходя из внутренних презентаций, которые были раскрыты, очевидно, что АНБ тратит немало усилий не только на коллекционирование трафика и внедрение “правильных” программ в сети интернет-провайдеров и софтверных гигантов, но и на анализ криптоалгоритмов. В открытый доступ попал 178-страничный документ с бюджетом национальной безопасности на 2013 год. Из него следует, что на проект Consolidated Cryptologic Program было потрачено 11 млрд. долларов. Что же можно сделать за такие деньги? Уж точно потратить с пользой. Например, на строительство гигантского вычислительного центра в штате Юта за 2 млрд. долларов, прямо в логове мормонов. Центр cодержит 2300 м2 площади под серверы, имеет собственную электростанцию в 65 Мегаватт и 60 тыс. тонн холодильного оборудования, чтобы все это охлаждать. В 2012 году из официальных уст было весьма завуалированно заявлено, что АНБ недавно достигла прорывных успехов в криптоанализе и взломе сложных систем. Уж не для этого ли им понадобился новый дата-центр? Гуру криптографии Брюс Шнайер прокомментировал эти заявления и высказал мнение, что АНБ вряд ли сможет в ближайшее время взломать какой-нибудь современный стойкий шифр, например AES. И далее сделал предположение, что АНБ направит свои усилия не на “честный” взлом алгоритмов, а на нахождение уязвимостей в самой реализации этих алгоритмов. Брюс выделил несколько областей, где можно достичь успеха:
Попробуем разобраться, что такое атаки на побочные эффекты.
Читать полностью »
