»

Nate Lawson o varnosti kriptografije

Slo-Tech - Nate Lawson je imel 5. avgusta letos na Google Tech Talk predavanje na temo varnosti kriptografije z naslovom Crypto Strikes Back!.

Številne kriptografske metode so danes dobro preizkušene in so postale kar nekako standardne, navadno pa se zaplete pri njihovi implementaciji. Lawson tako na predavanju predstavi nekaj glavnih težav pri implementaciji kriptografije, od tim. side-channel napadov, do napak pri implementaciji algoritmov za izračun kontrolnih vsot. Dotakne se tudi slavne Debian PRNG ranljivosti ter posledic za DSA digitalne podpise.

Ob hitri menjavi ključev se je namreč kar nekako spregledalo, da so ranljivi tudi vsi DSA ključi, ki so bili zgolj uporabljeni v sistemih z okvarjenim generatorjem naključnih števil.

Lawson namreč na svojem blogu ugotavlja, da je varnost DSA zelo odvisna od varnosti tim. naključnega izziva (ang. random challenge) k. Če je ta parameter znan, je namreč mogoče izračunati celoten zasebni ključ uporabnika. To pa pomeni, da napadalec lahko v...

4 komentarji

Avtentikacija fizičnih dokumentov

Površina papirja pod mikroskopom

Slo-Tech - Skupina raziskovalcev, Will Clarkson, Tim Weyrich, Adam Finkelstein, Nadia Heninger, Alex Halderman in Ed Felten je objavila članek, v katerem opisujejo nov način ugotavljanja istovetnosti fizičnih dokumentov (na papirju).

Raziskovalci so ugotovili, da je mogoče z navadnim skenerjem prebrati naravne napake v strukturi lista papirja ter na njihovi podlagi za vsak list papirja izračunati unikatno kontrolno vsoto.



Na ta način je mogoče kasneje identificirati ta list papirja in to celo po tem, ko je na list natisnjeno besedilo, ali pa je bil list prepognjen ali zmečkan.

Vsekakor gre za zelo uporabno odkritje, a morda bo v nekaj letih sprejet zakon, ki bo od prodajalcev papirja zahteval...

13 komentarjev

Prikaz uspešnega kloniranja in ponarejanja RFID potnih listov

Times Online - Kljub temu, da so RFID potne liste uvedli z namenom onemogočanja ponarejanja potnih listov, se pompozne napovedi politikov o povečani varnosti ne uresničujejo. Raziskovalec iz Univerze v Amsterdamu Jeroen van Beek je namreč za The Times prikazal uspešno kloniranje RFID potnih listov.

V prikazu je uporabil potna lista dojenčka in 36-letne ženske, na katera je zapisal sliki Osame bin Ladna ter palestinskega samomorilskega napadalca Hibe Darghmeha. Pri tem je uporabil čitalec RFID kartic za 40 britanskih funtov, dva RFID čipa za deset britanskih funtov, javno dostopno programsko opremo ter svojo lastno programsko opremo. Kloniranje in ponarejanje RFID čipa je trajalo manj kot uro, ponarejeni RFID čip pa je bil s strani uradno odobrene opreme za branje RFID potnih listov sprejet kot originalen.

Tako ponarejene potne liste bi bilo sicer mogoče odkriti s pomočjo posebnega imenika javnih ključev vseh RFID potnih listov, tim. Public Key Directory-em (PKD), v katerega pa se je od 45...

11 komentarjev

Hushmail ameriškim pravosodnim organom izročil šifrirne ključe uporabnika

Wired Blog - Spletni dostop do elektronske pošte ima veliko prednost - dostopnost iz kateregakoli računalnika s povezavo v splet in spletnim brskalnikom. Žal pa ima tudi veliko slabost - s pomočjo napada s posrednikom (man-in-the-middle) ali v primeru vdora v strežnik na katerem je shranjena elektronska pošta, lahko pride do kršitve tajnosti elektronske pošte.

Leta 1999 pa se je pojavil spletni ponudnik elektronske pošte, ki naj bi ponudil rešitev tudi za to tržno nišo. Gre za kanadsko podjetje Hushmail, ki omogoča pošiljanje PGP/GPG šifrirane elektronske pošte preko spletnega vmesnika.

Hushmail namreč uporablja Java applet, ki omogoča šifriranje in dešifriranje na strani odjemalca. S tem na strežnik "prispejo" že šifrirani podatki, kar pomeni, da vdor ali vpogled v uporabniški predal ne razkrije vsebine e-pošte.

Vendar pa je nalaganje Java appleta razmeroma moteče, zato so pri Hushmailu leta 2006 ponudili možnost, da uporabniki uporabljajo šifriranje in dešifriranje na strežniški strani. S...

7 komentarjev

PGP praznuje petnajstko

Slashdot - V teh dneh praznuje PGP petnajsto obletnico obstoja, poroča Slashdot. Pod prvo verzijo se je leta 1991 podpisal Phil Zimmermann, od takrat pa je PGP doživel še mnogo izboljšav in se razvil v pravi standard za varno izmenjavo informacij. Ključna značilnost PGP-ja je asimetrično kriptiranje, to je uporaba javnega ključa za enkripcijo in zasebnega za dekripcijo, zaradi česar odpade potreba po pošiljanju gesel zraven zašifriranega sporočila in kar bistveno poveča varnost. V svoji zgodovini je bil tako izvoz PGP-ja iz ZDA že tudi prepovedan.

0 komentarjev

Pipin odprti termin: Kako zavarovati elektronsko pošto pred prestrezanjem?

Slo-Tech - Na pipinem odprtem terminu v torek 24. 1. ob 19.00 vas vabimo v Kiberpipo na predavanje z naslovom: Kako zavarovati elektronsko pošto pred prestrezanjem? Predava dr. Matej Kovačič.

Na predavanju bo prikazan konkreten primer izvedbe prestrezanja elektronske pošte, nato pa bomo spregovorili o zgodovini in osnovah kriptografije. V nadaljevanju bo predstavljena zaščita elektronske pošte s programoma PGP in GPG (tako za okolje Windows, kot za okolje Linux) ter namestitev šifrirnega vmesnika Enigmail za odprtokodni odjemalec Thunderbird.

47 komentarjev

Podpisovanje ključev PGP/GPG

Slo-Tech - Ker je internet vse bolj nadziran, sniffan, kontroliran in cenzuriran, se vse več ljudi zateka k močni kriptografiji, ki omogoča varno pošiljanje zasebnih elektronskih sporočil. Eden večjih problemov pa je, kako si na varen način izmenjati javne ključe, da bodo ti zagotovo verodostojni.

Če bi torej rad, svoj javni ključ varno spravili do čimveč ljudi in zagotovili čimveč podpisov na njem, je danes v Kiberpipi na festivalu HAIP ob 20.00 idealna priložnost.

Ne potrebujete niti diskete, le prej morate odposlati svoj ključ po e-pošti in si natisniti določene podatke na list papirja.

Navodila: Vse, ki se mislite udeležiti današnjega srečanja s podpisovanjem javnih ključev GPG/PGP (keysigning party), prosimo, da pošljete svoj javni ključ GPG/PGP skupaj s svojim imenom in priimkom na e-poštni naslov keysign@kiberpipa.org. Če uporabljate GPG, lahko ključ dobite z ukazom "gpg --armor --export vase_ime". Na srečanje prinesite dve vrsti dokumenta s sliko (na primer vozniško dovoljenje in...

5 komentarjev

Izžrebanci

Slo-Tech - Bolje pozno kot nikoli, je rekel 80 letni mladec ter začel delati vozniško. Izžrebani so bili nagrajenci, ki so po elektronski pošti že prejeli podrobnosti o prejemu njihovih kart za na Infos. Srečneži so:
  • Jan Hrušovar
  • Bucan Boris
  • Sebastjan Lesjak
  • Jan Hančič
  • Matjaž Cimperšek
  • Luka Finžgar
  • Sašo Jovičič
  • Andrej Cenčič
  • Andrej Bukvič
  • Žiga Jenko
Če je vaše ime na tapeti, brž poglejte pošto ter preverite podrobnosti! Če ni, pa pač - več sreče prihodnjič .

4 komentarji