»

Nate Lawson o varnosti kriptografije

Slo-Tech - Nate Lawson je imel 5. avgusta letos na Google Tech Talk predavanje na temo varnosti kriptografije z naslovom Crypto Strikes Back!.

Številne kriptografske metode so danes dobro preizkušene in so postale kar nekako standardne, navadno pa se zaplete pri njihovi implementaciji. Lawson tako na predavanju predstavi nekaj glavnih težav pri implementaciji kriptografije, od tim. side-channel napadov, do napak pri implementaciji algoritmov za izračun kontrolnih vsot. Dotakne se tudi slavne Debian PRNG ranljivosti ter posledic za DSA digitalne podpise.

Ob hitri menjavi ključev se je namreč kar nekako spregledalo, da so ranljivi tudi vsi DSA ključi, ki so bili zgolj uporabljeni v sistemih z okvarjenim generatorjem naključnih števil.

Lawson namreč na svojem blogu ugotavlja, da je varnost DSA zelo odvisna od varnosti tim. naključnega izziva (ang. random challenge) k. Če je ta parameter znan, je namreč mogoče izračunati celoten zasebni ključ uporabnika. To pa pomeni, da napadalec lahko v...

4 komentarji

ZDA spet cilj obveščevalnega hekanja?

Schneier.com - Po navedbah TechWeb-a so neznani hekerji preko (ali pa iz) kitajskih strežnikov vdrli v Bureau of Industry and Security, ki je del ameriškega trgovinskega ministrstva.

Omenjeni urad je v ZDA zadolžen za izdajo izvoznih dovoljenj za tehnologije dvojne rabe. Proizvajalci tehnologij dvojne rabe, mednje se v ZDA štejejo tudi specializirane kriptografske naprave, morajo Uradu za industrijo in varnost v postopku prošnje za pridobitev licence predložiti detajlno dokumentacijo o svojem proizvodu. Posledica tega je, da omenjeni urad v svojih sistemih hrani obsežno zbirko občutljivih podatkov o kriptografskih in drugih tehnologijah dvojne rabe.

Glede na to, da je bilo na ameriške strežnike v preteklosti že izvedenih precej napadov za katerimi naj bi stala kitajska vojska in obveščevalne službe (najbolj znana je operacija Titan Rain), obstaja velika verjetnost, da je temu tako tudi tokrat.

A po drugi strani je primer poučen tudi iz vidika varnosti. Kriptografski produkti, ki so bili...

7 komentarjev

EPIC-ov poziv k zaščiti WHOIS baze

Slo-Tech - V naslednjem tednu bo imela ICANN (Internet Corporation for Assigned Names and
Numbers, ki skrbi za upravljanje globalnega domenskega sistema) srečanje, na katerem bodo razpravljali o WHOIS bazi, v kateri so shranjene informacije o veljavnosti domen, o njihovih lastnikih in DNS strežnikih.
Organizacija EPIC (Electronic Privacy Information Center) pa opozarja, da bi lahko imela ta razprava pomembne posledice na zasebnost, civilne svoboščine ter svobodo izražanja na internetu. Problem je namreč v tem, da so podatki iz WHOIS baze javno (in globalno) dostopni vsem. Tako spammerjem, kriminalcem ter državnim organom totalitarnih režimov. EPIC opozarja, da se zaradi tega lahko lastniki domen znajdejo pod različnimi pritiski ter dodajajo, da lastniki domen upravičeno pričakujejo zaščito njihove zasebnosti in posledično svobode izražanja. Člani EPICa so zato na predsednika ICANN-a Paul Twomeya naslovili pismo, v katerem ga pozivajo naj ICANN za WHOIS bazo zagotovi visoko stopnjo zaščite...

2 komentarja

Novi amerški zakoni

Slashdot - ACLU (Ameriška organizacija za civilne svoboščine) je pripravila povzetek vseh zakonov, ki se trenutno srpejemajo v kongresu (kot odgovor na teroristični napad). Predvsem so se skoncentrirali na načine na katere lahko tajne službe in policija neovirano nadzorujejo ljudi in vohunijo.
Saj smo pridni državljani, ki ničesar ne skrivamo, zato nam lahko policija prisluškuje po mili volji... a ne?

1 komentar

Posledice na free software

Linux Today - Vem, da je bilo o dogodkih že veliko napisano, a vseeno, tokrat malce drugačna tema.
Očitno bo prejšnji torek imel precej posledic na nadalnje sukanje sveta. Tudi na prosto programje. Pričakuje se, da bodo ZDA in nekatere 'zaveznice' poostrile zakone glede izdelovanja kriptografskih orodij in poskušale uničiti vse projekte nad katerimi nimajo neposredne kontrole (beri: v open source je malce težko vdelati backdoore, brez da bi te kdo videl).
Zaradi tega se začenja inicjativa, v kateri bi poskušali vse kriptografske projekete prenesti na varne lokacije izven 'zibelke demokratičnega sveta', saj bodo tam morda kmalu prepovedani. Prepoved kuhinjskih in olfa nožev bo verjetno v drugem krogu nove zakonodaje... :)
Prav tako ata Stallman opozarja, da je dovolj že to, da so tisoči umrli in, da ne smejo sedaj nastradati še miljoni, ki jim bodo pod krinko varnosti vzete civilne svoboščine.
Bodo naše svoboščine v bistvu naslednja žrtev norih teroristov in prevzetnih kavbojev?...

0 komentarjev