Slashdot - Bruce Schneier in skupina raziskovalcev iz University of Washington so se pred kratkim lotili analize verodostojnega zanikanja (ang. plausible deniability) v znanem šifrirnem programu TrueCrypt, različica 5.1.

Deniable File System (DFS), datotečni sistem, ki omogoča skrivanje ne samo vsebine, pač pa tudi obstoja datotek se namreč skoraj vedno nahaja v nekem okolju, ki ga lahko onemogoči. Tako operacijski sistem ter aplikacije lahko še vedno beležijo ali hranijo podatke, ki izkušenemu napadalcu lahko razkrijejo obstoj datotek, ki jih je uporabnik želel skriti.

Schneier je s sodelavci ponovno potrdil dejstvo, da okolje šifrirnega programa beleži določene podatke zunaj DFS sistema. Tako operacijski sistem Windows Vista (pa tudi ostali) npr. hranijo bližnjice z imeni datotek. Programi za neposredno urejanje datotek, npr. urejevalnik besedil MS Office, hranijo začasne kopije podatkov. Nevarne pa so tudi ostale aplikacije, npr. iskalnik Google Desktop, ki zunaj DFS hranijo indekse z...

Slashdot - Te dni je podjetje Fujitsu predstavilo 2,5 palčni 320 GB trdi disk z imenom MHZ2 CJ, ki ima vgrajeno strojno podporo za šifriranje podatkov. Za šifriranje uporablja šifrirni algoritem AES-256.

Proizvajalec trdi, da je prva serija diskov, ki strojno podpira 256-bitni algoritem AES. Podobne rešitve so se na tržišču pojavile že pred tem, saj je leta 2005 podjetje Seagate predstavilo trdi disk z vgrajenim šifriranjem, vendar pa je njihova rešitev uporabljala Triple DES, podpora za AES pa je bila le napovedana.

Prednost strojne podpore šifriranju trdega diska je predvsem v višji hitrosti branja in zapisovanja šifriranih podatkov, poleg tega pa v takem primeru niso mogoči napadi, pri katerih skuša napadalec zaseči vsebino pomnilnika in tako pridobiti šifrirni ključ.

Po drugi strani pa je uporaba vgrajenega šifriranja lahko problematična, saj vgrajeni algoritem lahko vsebuje napake pri implementaciji ali pa vsebuje namerno vgrajena "stranska vrata". Ali bo Fujitsu omogočal nalaganje...

Schneier.com - Kot poroča Schneier (in še precej drugih spletnih strani), se je na internetu pojavil nov program za šifriranje, poimenovan Mujahideen Secrets. Program naj bi bil napisan - če verjamemo poročilom - kot pomoč članom teroristične mreže Al Kajda pri medsebojnem komuniciranju preko interneta.

V kolikor program ni navadna zafrkancija ali morda celo trojanski konj razvit s strani kakšne tajne službe z namenom "nadzorovanja" domnevnih "teroristov" je očitno, da gre za medijsko povsem prenapihnjeno zgodbo. Nekatera medijska poročila namreč pravijo, da je program v drugi različici izredno izboljšan, saj namesto 256-bitnega AES šifriranja sedaj uporablja kar 2048-bitno šifriranje. Trditev je gotovo medijsko zelo privlačna, v resnici pa gre za popolno neumnost.

Poleg tega tudi ni jasno zakaj bi domnevni teroristi za šifriranje uporabljali ta program, saj je na tržišču že kopica veliko boljših, v namizno okolje bolj integriranih in lažje dostopnih šifrirnih programov, tako komercialnih,...

Schneier.com - Kot poroča Schneier ameriško Ministrstvo za domovinsko varnost ameriški državni denar vlaga tudi v splošno koristne stvari.

V okviru projekta Open Source Hardening Project so namreč marca 2006 vložili 300.000 USD v plačujejo za varnostna testiranja odprtokodne programske opreme in odpravo najdenih napak. Pregled in odpravo izvajata podjetje Coverity ter Stanfordska univerza.

Od leta 2006 so pomagali odpraviti že 7826 varnostnih ranljivosti v 250 odprtokodnih projektih, preiskane pa je bilo okrog 50 milijonov vrstic kode.

Podjetje Coverity se poleg odprtokodnih projektov ukvarja tudi z iskanjem in odpravo napak v zaprtokodnih projektih.

Slo-Tech - Kot "vemo", je arabski svet poln teroristov ali pa vsaj njihovih podpornikov, ki bi radi z naftnimi dolarji financirali teroristične akcije po celem svetu. Zato je treba "preprečiti", da bi teroristi prišli do denarja. Kako? Tako, da identificiramo teroriste in jim onemogočimo mednarodne denarne transakcije.

Tako so pri Western Union, po njihovih besedah zaradi smernic ameriške Državne zakladnice (U.S. Treasury Department), s katerimi naj bi preprečili financiranje terorizma, blokirali vse transakcije osebam z določenimi karakteristikami.

Te pa med drugim obsegajo tudi (morda predvsem?) ime. Osebe, ki se imenujejo Mohammed ali Ahmed tako preko Western Uniona ne morejo prejeti denarja. S tem je gotovo onemogočen velik del financerjev teroristov. Več o tem si lahko preberete na Yahoo News

Bruce Schneier v zvezi s tako varnostjo uporablja nek nadvse ustrezen izraz: varnostni teater.

Crypto-Gram - Kot vemo, je distribucija avtorskopravno zaščitenih datotek prepovedana. Zato je Jason Rohrer prišel na idejo, da bi to preproved zaobšel, in sicer tako, da ne bi distribuiral avtorsko zaščitenih datotek, hkrati pa bi jih distribuiral.

Se sliši zapleteno? Rešitev je tehnično povsem preprosta. Izdelal je namreč program Monolith, ki je v osnovi šifrirni program, ki za šifriranje uporablja algoritem XOR.

Program vzame dve datoteki in med njima izvede operacijo XOR. Rezultat je tretja datoteka, ki jo program imenuje "datoteka Mono". Če sedaj vzamemo prvo datoteko in datoteko Mono ter med njima izvedemo operacijo XOR, bomo dobili drugo datoteko. Če pa vzamemo drugo datoteko in datoteko Mono, bomo dobili prvo datoteko.

Ideja avtorja je, da vzamemo avtorsko nezaščiteno datoteko, npr. kakšno ISO-sliko Linuxovega CD-ja ter avtorsko zaščiteno datoteko in iz njiju naredimo Mono datoteko. Nato distribuiramo uporabljeno ISO-sliko ter datoteko Mono. S tem naj ne bi kršili nobenega zakona....

Moddin'.Net - Se vam doma kje v kakšnem zaprašenem kotu valja kak star napajalnik, vi bi pa radi imeli več moči v ohišju? Zelo preprosta zadeva je vezava dveh napajalnikov skupaj, tako da dobimo iz njiju moč obeh skupaj. Sam sem le-to modifikacijo izvedel (po Slo-Techovih navodilih) in tako sedaj moje komponente uživajo pri 450W moči. Mislim, da je bo to dovolj še za dolgo časa. No, na Moddin'.net pa so si ogledali malce bolj industirjsko možnost za isti trik. Splača se sigurno, sami pa se odločite, katero možnost boste izbrali (sam navijam za "slovensko" rešitev, saj je cenejša in lažje dostopna).