Рубрика «pgp» - 2

Статья для подписчиков LWN

Стратегии офлайнового хранения ключей PGP - 1Хотя население в целом практически не использует OpenPGP, но это критический элемент безопасности, особенно для дистрибутивов Linux. Например, центральный репозиторий Debian проверяет каждый пакет с помощью OpenPGP-ключей мейнтейнера, а затем подписывает его своим ключом. Если у пакетов, которые включаются в ветку, тоже есть такие подписи, то создаётся полноценная цепочка доверия от изначального разработчика до пользователей. Кроме того, пулл-реквесты в ядро Linux тоже верифицируются цифровыми подписями. Поэтому ставки высоки: если скомпрометирован ключ для подписи релиза или хотя бы ключ единственного мейнтейнера, следствием может стать разрушительная атака на много машин.

Это привело сообщество Debian к лучшему пониманию хороших практик работы с криптографическими подписями (которые обычно создаются в программе GNU Privacy Guard, также известной как GnuPG или GPG). Например, слабые (менее 2048 бит) и уязвимые ключи PGPv3 в 2015 году удалили из связок ключей, а среди разработчиков Debian широко распространена практика взаимной подписи ключей при личной встрече. Но даже у разработчиков Debian, кажется, отсутствуют общепринятые правила хранения критического секретного материала, как видно по дискуссии в списке рассылки debian-project. Эта дискуссия сводится к единственному простому требованию: где взять «руководство по хранению электронных ключей для чайников»? Электронные аппаратные ключи или карты-ключи, как мы их здесь называем — это маленькие устройства, позволяющие хранить ключи в офлайне и представляющие собой один из вариантов защиты секретного материала, то есть ключа. В этой статье я постараюсь поделиться своим опытом в данной области и разъяснить проблему, как хранить эти драгоценные секретные ключи, которые в случае компрометации подвергают опасности миллионы компьютеров по всему миру.
Читать полностью »

Adobe случайно опубликовала в блоге свой секретный ключ PGP - 1

Компания Adobe случайно опубликовала в блоге группы реагирования на инциденты (PSIRT) свои открытый и закрытый ключи PGP. Обычно на этой странице опубликован только открытый ключ — он нужен, чтобы подтвердить аутентичность писем от PSIRT. Но в этот раз сразу под открытым ключом был опубликован и закрытый, который используется для подписи (см. скриншот).
Читать полностью »

Google запускает Key Transparency, инструмент для подтверждения криптоключей - 1

Надёжная криптография — основа современного интернета. Без криптографии нет безопасной связи, теряется возможность совершения надёжных транзакций в интернете. Мы не можем доверять даже собеседнику, если не установили защищённое соединение.

По мнению Google, в нынешней инфраструктуре публичной криптографии есть серьёзный изъян. Дело в том, что в случае компрометации сервера с ключами пользователям приходится вручную проверять ключи у собеседника. Это крайне неудобно и на практике не работает. Из-за таких сложностей некоторые энтузиасты криптографии вовсе отказываются от PGP — и их вполне можно понять.

Компания Google придумала решение: она предлагает всем задействовать прозрачный механизм поиска открытых ключей Key Transparency.
Читать полностью »

Об авторе: Филиппо Валсорда занимается криптографией и TLS, называет себя «послом urandon», входит в криптогруппу компании Cloudflare, поднял известный сервис для тестирования на уязвимость Heartbleed. Вы могли встречать его на конференциях по криптографии и компьютерной безопасности или под ником @FiloSottile на Github и в твиттере

Я отказался от PGP - 1Спустя годы мучений с GnuPG с различным уровнем энтузиазма я пришёл к выводу, что оно не стоит того, и я сдаюсь. По крайней мере относительно концепции долговременных ключей PGP.

Речь не о самой программе gpg и не о криптографических инструментах в принципе. Многие писали на эту тему. Я говорю о модели долговременных ключей PGP, будь она гарантирована сетью доверия, отпечатками открытых ключей или моделью TOFU — неважно. Я говорю о том, что она не подходит для меня лично.
Читать полностью »

32-битные Short-ID окончательно дискредитированы

free@turing ~$ gpg --keyserver pgp.mit.edu --recv-keys 10000001

gpg: requesting key 10000001 from hkp server pgp.mit.edu
gpg: key 10000001: public key "Linus Torvalds" imported
gpg: key 10000001: public key "Linus Torvalds" imported
gpg: Total number processed: 2
gpg:            imported: 2  (RSA: 2)

Давно известно, что PGP уязвим к атакам на короткий идентификатор (short-ID). Относительно несложно сгенерировать пару совместимых с GnuPG 4096-битных RSA-ключей с заранее заданным коротким (32-битным) идентификатором short-ID, именем владельца и адресом электронной почты. Процедура поиска коллизии занимает буквально 10-20 минут на обычном компьютере, что демонстрировалось неоднократно. На современном GPU она занимает 4 секунды при использовании программы Scallion.

Раньше атака рассматривалась чисто теоретически, но с начиная с июня 2016 года разработчики начали сообщать о реальных случаях подделки их коротких идентификаторов — фальшивые ключи размещались на серверах криптографических ключей. А сейчас дело дошло до Линуса Торвальдса и ведущих разработчиков ядра Linux.
Читать полностью »

Полиция Нидерландов смогла взломать защиту PGP BlackBerry - 1

Правоохранительные органы Нидерландов, подразделение, которое занимается различными исследованиями в криминалистике, заявили о получении доступа к зашифрованным сообщениям электронной почты на сверхзащищенных кастомных телефонах BlackBerry, которые получили название PGP BlackBerry. В этих смартфонах основной упор делается на защиту пользовательской информации, включая сообщения электронной почты.

«Да, мы можем получать зашифрованные данные из PGP BlackBerry устройств», — сообщил пресс-офицер подразделения NFI. Впервые информация об этом появилась на голландском блоге, посвященном криминалу. Администрация блога опубликовала документ NFI, где в подробностях рассказывалось о процессе считывания зашифрованных сообщений электронной почты.
Читать полностью »

В данном руководстве мы рассмотрим работу с OpenPGP на Java с использованием библиотеки Bouncy Castle Cryptography Library с ориентацией на использование в веб-разработке.

image
Читать полностью »

cryptoparty

Криптопати на фестивале активистского искусства МедиаУдар.
3 ноября, 19:00. Центр ARTPLAY, Малый зал.

Теория и практика криптоанархии, ролевая игра про копов, биткоины, анонимусов и торговцев запрещенными книгами, рейв от Dreamers United.

Читать полностью »

в 8:52, , рубрики: pgp, qt, Qt Software, tutorial, метки: , ,

Так как оказалось, что наши коммуникации довольно легко просматриваются товарищами из АНБ то похоже что нужно шифровать все коммуникации. Я решил проверить насколько сложно подключить шифрование в разработке Qt приложений. Как оказалось что все совсем несложно даже в случае использовании PGP.

Так что тут больше дело привычки разработчика чтобы шифровать критические данные.

Вот и попробуем использовать PGP в нашем простом примере. Конечно уже существует отличный framework QCA (http://delta.affinix.com/qca/) который сделает все за нас. Нам только разобраться с правильным использованием QCA.

Создадим простое десктопное пролижение которое может зашифровать входной текст. Предполагается что у нас уже установлен GnuPG, сгенерированны ключики, получены ключики получателя, установлен и отконфигурирован gpg-agent, установлен и проверен pinentry-qt/pinentry-gtk(дада, мы на линуксе). Затем нам нужно установить qca и qca-gnupg

emerge --ask qca qca-gnupg

Запустим Qt Creator, выберем Qt Gui application, добавим туда qca:Читать полностью »

Ким Дотком (Mega, Megaupload) собирается запустить защищенный от прослушки мессенджер и электронную почту

В общем-то, не нужно быть Вангой, чтобы догадаться, что после раскрытия методов «прослушки», используемых спецслужбами разных стран, последует активное развитие защищенных мессенджеров. Вероятно, прямо сейчас разрабатывается около десятка подобных сервисов, о части которых мы уже слышали, а о другой части — предстоит услышать. К примеру, защищенный мессенджер от Петера Сунде, сооснователя The Pirate Bay, уже собрал около 100 тысяч долларов, необходимых на разработку. Кроме того, поисковый сервис DuckDuckGo, где нельзя отследить поисковые запросы пользователей, стал набирать обороты в последнее время. Ну, и Кит Дотком, основатель Mega, также заявил о скором запуске защищенного мессенджера, а также, позже — электронной почты.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js