Slo-Tech - Dva tedna po objavi glavnega ključa HDCP, ki je ušel Intelu, je na spletu že odprtokodna implementacija algoritma za šifriranje in dešifriranje. Pod licenco BSD objavljena koda vsebuje bločni kod (block cipher), tokovno šifro (stream cipher) in zgoščevalno funkcijo (hashing algorithm) za vzpostavitev povezave s HDCP-napravo ter šifriranje in dešifriranje videa.

Konkretni primer zmore šifrirati video pri 180 sličicah na sekundo ločljivosti 640 x 480 na Xeonu z 2,33 GHz, medtem ko lahko višje ločljivosti dosežemo s paralelizacijo. Dešifriranje videa v HD-ločljivosti 1080p je sedemkrat počasnejše, tako da na enem jedru ni možno (recimo zmogljiv dvojedrni 64-bitni procesor bi zmogel 1080p pri 30 fps). Mogoče so še dodatne izboljšave algoritma, recimo z izkoriščanjem nabora ukazov SSE, ki jih ta koda ne.

Slo-Tech - Christopher Soghoian je letos poleti vse vladne agencije, ki delujejo v okviru ameriškega Ministrstva za pravosodje na podlagi ameriškega zakona o dostopu do informacij javnega značaja (FOIA) zaprosil za podatek o tem, koliko posamezni ponudniki dostopa do interneta in telefonski operaterji računajo za posredovanje osebnih podatkov svojih uporabnikov in prisluhov komunikacij na podlagi sodne odredbe.

Soghoian, ki na Indiana University pripravlja doktorat na temo nadzora in zasebnosti, je menil, da bi na ta način lahko izdelal oceno o obsegu nadzora interneta s strani ameriških državnih organov. Dobil je kar nekaj zanimivih podatkov, zapletlo pa se je pri Verizonu in Yahooju, ki sta dostop do podatkov (kot stranska udeleženca v FOIA postopku) zavrnila. Verizon je med razlogi navedel, da bi razkritje "prisluškovalnega cenika" zmedlo njegove stranke, Yahoo, pa je bil mnenja, da bi ga razkritje osramotilo in šokiralo njegove uporabnike.

A dokumenti niso ostali dolgo skriti. Kmalu za...

Slashdot - Hushmail je spletni ponudnik e-pošte, ki omogoča pošiljanje PGP/GPG šifrirane elektronske pošte preko spletnega vmesnika. Pri tem uporablja poseben Java applet, ki omogoča šifriranje in dešifriranje na strani odjemalca.

Hushmail naj bi bil tako najbolj varen ponudnik e-pošte, vendar pa se je konec lanskega leta izkazalo, da je kanadsko podjetje Hushmail na podlagi vzajemnega sporazuma o pravni pomoči med Kanado in ZDA ameriškim pravosodnim organom izročilo dešifrirana elektronska sporočila svojega uporabnika. Predstavniki Hushmaila so kasneje tudi priznali, da beležijo IP naslove uporabnikov.

Te dni pa so pri Cryptome odkrili še nekaj nadvse nenavadnega.

Hushmail namreč na svoji spletni strani ponuja dostop do celotne izvorne kode svojega šifrirnega stroja, tim. Hush Encryption Engine. Koda vsebuje tudi Javanski program označen z različico 3-0-0-30, ki skrbi za izvedbo šifriranja.

Kar je nadvse nenavadno pa je dejstvo, da so pri Cryptome odkrili, da se javanska izvršilna...

Slo-Tech - Za The Hacker Webzine se je pojavil zanimiv članek o identificiranju uporabnikov interneta, ki uporabljajo Firefox.



Programček z imenom Total Recall vsebuje dve skripti (HTML in XML). XML skripta poskuša pridobiti chrome DTD datoteke iz dodatkov za Firefox ter uporabniške nastavitve v brskalniku.



Na podlagi teh podatkov izračuna skupno kontrolno vsoto (ang. hash) uporabnikovega brskalnega okolja. Izkaže se, da so lahko v primeru, da je vhodnih podatkov dovolj veliko število, te kontrolne vsote unikatne za vsakega uporabnika. Te podatke je skupaj z IP naslovom in piškotkom mogoče shraniti v bazo na strežniku.



Kaj to pomeni v praksi?



Predpostavimo, da bodoči napadalec obišče neko spletno stran iz svojega IP naslova. Upravitelj spletne strani poleg IP naslova zabeleži tudi unikatno kontrolno vsoto uporabnikovega brskalnega okolja.



Čez nekaj časa se napadalec odloči za izvedbo napada na spletno stran. Seveda tokrat na spletno stran ne dostopi preko svojega IP naslova, pač pa...

Slo-Tech - Dodatek za Firefox FireGPG, ki omogoča uporabo GPG šifriranja na strani spletnega odjemalca, z različico 0.4.8 prinaša zanimivo in potencialno uporabno novost poimenovano FireGPG API.

Uporabnik bo namreč za posamezno spletno stran (seveda z ustrezno podporo na strežniški strani) dovolil neposredno uporabo FireGPG funkcij.

V kolikor bodo razvijalci spletnih strani vgradili možnosti za uporabo FireGPG preko API vmesnika, bodo uporabniki s pomočjo FireGPG dodatka lahko enostavno in varno dostopali do šifriranih podatkov in vsebin na spletnih strežnikih.

FireGPG sicer že sedaj omogoča razmeroma enostavno uporabo šifriranja spletne e-pošte.

Wired Blog - Spletni dostop do elektronske pošte ima veliko prednost - dostopnost iz kateregakoli računalnika s povezavo v splet in spletnim brskalnikom. Žal pa ima tudi veliko slabost - s pomočjo napada s posrednikom (man-in-the-middle) ali v primeru vdora v strežnik na katerem je shranjena elektronska pošta, lahko pride do kršitve tajnosti elektronske pošte.

Leta 1999 pa se je pojavil spletni ponudnik elektronske pošte, ki naj bi ponudil rešitev tudi za to tržno nišo. Gre za kanadsko podjetje Hushmail, ki omogoča pošiljanje PGP/GPG šifrirane elektronske pošte preko spletnega vmesnika.

Hushmail namreč uporablja Java applet, ki omogoča šifriranje in dešifriranje na strani odjemalca. S tem na strežnik "prispejo" že šifrirani podatki, kar pomeni, da vdor ali vpogled v uporabniški predal ne razkrije vsebine e-pošte.

Vendar pa je nalaganje Java appleta razmeroma moteče, zato so pri Hushmailu leta 2006 ponudili možnost, da uporabniki uporabljajo šifriranje in dešifriranje na strežniški strani. S...

Slashdot - Steganografija se ukvarja s skrivanjem sporočil, kar so v preteklosti uporabljali predvsem razni vohuni (nevidno črnilo, mikrotisk, itd.). Z razvojem računalništva pa se je izkazalo, da je mogoče sporočila skrivati tudi v zvočne (WAV) in slikovne (GIF) datoteke, pri čemer te datoteke ostanejo (na videz) nespremenjene. Eno najbolj znanih orodij, ki to zmore je S-Tools, s tem pa je steganografija postala dostopna praktično vsakomur. V zvočne datoteke ali slike torej lahko vstavimo skrita sporočila, ali pa jih opremimo s serijskimi številkami.

A izkazalo se je, da je mogoče sporočila shranjevati tudi v binarne (izvršilne datoteke). Orodje, ki to zmore je Hydan. Hydan zna skrivati sporočila v Linux, NetBSD, FreeBSD (i386 platforma) in Windows XP izvršilne datoteke (bin, exe), pri čemer velikost datoteke ostane nespremenjena, sporočilo pa je zašifrirano še z algoritomom Blowfish. Več o programu si lahko preberete v članku Hydan: Hiding Information in Program Binaries, lahko pa si ga...

Slashdot - Danes je izšla najnovejša različica brezplačne alternative za deljenje datotek in strežnikov Windows omrežjih - Samba. Različica 3.0.0 tako prinaša polno podporo za NT4 domene (primarni in nadomestni domenski kontroler) ter integracijo z Active Directory. Prav tako niso pozabili na podporo za Windows 2003 domenske kontrolerje. Vse novosti si lahko preberete v sporočilu za javnost.

Novica sama ni tako zanima za domače uporabnike, kot bolj za podjetja, ki dejansko izkoriščajo zgoraj naštete funkcije. Vendar pa pomeni pomemben korak pri prehodu na Linux okolje, saj je mogoče izkoristiti obstoječa Windows orodja za uporabljanje s Sambinim domenskim kontrolerjem in tako olajša prehod tako sistemskim administratorjem kot tudi za uporabnikom, ki lahko nemoteno delajo. Šefom se pa samo smeji, ker so prišli ceneje do stabilnejšega omrežja.