»

Canon, Nikon in Sony z digitalnimi podpisi proti deepfakom

Slo-Tech - Ker razvoj umetne inteligence prinaša nove izzive pri zagotavljanju verodostojnosti slik in drugih posnetkov, so se v preteklosti pojavili pozivi za obvezno označevanje tako ustvarjenih vsebin. A problema se je možno lotiti tudi z druge smeri. Canon, Nikon in Sony razvijajo tehnologijo, ki bo v slike vstavila digitalne podpise, ki bodo jamčili za njihovo avtentičnost.

Orodje Verify, ki ga uporablja več novinarskih hiš, podpirajo pa ga tudi proizvajalci fotoaparatov in druge tehnike, omogoča brezplačno preverjanje avtentičnosti posnetkov. Če ima slika digitalni podpis, stran to prikaže skupaj s podatki o datumu, lokaciji in drugih podrobnostih. Standard podpira tudi omenjena trojica proizvajalcev, kamer ki obvladujejo več kot 90 odstotkov trga.

Sony bo spomladi letos pripravil posodobitve firmwara, ki bodo prinesli digitalne podpise v fotoaparate SLR. Canon bo prav tako izdal prvi fotoaparat s podporo za digitalne podpise v začetku tega leta, podpo tudi Nikon. Poteka tudi razvoj...

24 komentarjev

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti

Slo-Tech - V nedeljo popoldan se je na nas (in na SI-CERT) preko omrežja Tor obrnil neimenovan varnostni raziskovalec, ki je odkril več resnih varnostnih ranljivosti v podpisni komponenti, ki jo uporablja AJPES. Gre za aplikacijo mdSign, s pomočjo katere zavezanci podpisujejo dokumente, ki jih elektronsko oddajajo AJPES-u. Ker je bilo obvestil v zvezi s to spletno stranjo iz različnih virov v zadnjem času kar precej in ker gre v tem primeru res za jagodni izbor, smo se odločili prejeto obvestilo objaviti nemudoma.

Varnostni raziskovalec je ugotovil, da zaradi napake v podpisni komponenti obstaja možnost, da napadalec, ki ima zmožnost izvesti aktiven napad s posrednikom (tim. MITM napad), žrtev pretenta, da z zasebnim ključem svojega kvalificiranega digitalnega potrdila...

201 komentar

Izračunana uspešna kolizija nad SHA-1

Slo-Tech - Zgostitveni algoritmi danes tvorijo osnovo varnosti na internetu. Uporabljajo se za zaščito gesel (hramba v obliki kontrolne vsote), kot pseudonaključni generator števil, pri generiranju naključnih imen datotek, za preverjanje integritete pri prenosu datotek (npr. v P2P omrežjih), za preverjanje integritete arhivskih datotek (tim. checksum), pri implementaciji digitalnega podpisa, časovnega žigosanja, overovitvi digitalnih potrdil, za digitalno podpisovanje datotek, gonilnikov ter seveda pri digitalni forenziki. Iz vsega tega je jasno, da morajo biti algoritmi za izračun kontrolnih vsot karseda varni.

To ne velja več za algoritem SHA-1.

Skupina raziskovalcev iz CWI Amsterdam in Google Research je namreč te dni objavila rezultate svoje raziskave, ki je pokazala, da...

18 komentarjev

Nikonovo digitalno podpisovanje slik razbito

Policisti pri ogledu kraja dejanja tega dodobro dokumentirajo s steganografijo ali fotografijo, avtentičnost posnetkov pa je seveda še kako pomembna. Slika je iz lasvegaške različice serije CSI, kjer proti ustreznemu plačilu dosledno reklamirajo Nikonove izdelke.

vir: Heise
Heise -

Manj znana prednost digitalne fotografije je digitalno podpisovanje slik neposredno na fotoaparatu. S tem lahko imetnik fotografije preveri, če je slednja res avtentična in torej ni bila spremenjena (popularno shopped). Zmožnosti se poslužujejo predvsem sodišča in drugi pravosodni organi, v nevladni sferi pa časopisi, ker želijo od svojih fotografov dobiti originalne vsebine.

Boljši zrcalnorefleksni izdelki podjetja Nikon imajo v svojem nedrju skrit zasebni ključ, s katerim se takoj po snemanju podpisujejo fotografije. Preverjanje podpisa je mogoče z namenskim programom Image Authentication Software, ki ni zastonj (cena je okoli 500€) in za delovanje zahteva celo poseben USB ključek s kodo. Žal nič od tega ne pomaga, če hekerji uspejo priti do zasebnega ključa...

13 komentarjev

SHA-1 razbit

Slashdot - Bruce Schneier v svojem blogu poroča, da naj bi kitajski raziskovalci Xiaoyun Wang, Yiqun Lisa Yin in Hongbo Yu uspeli najti kolizijo v SHA-1 funkciji.

To pomeni, da so raziskovalci našli dve različni sporočili, za kateri algoritem SHA-1 vrne isto vrednost, njihova metoda iskanja pa je veliko hitrejša kot metoda grobe sile, ki temelji na preiskušanju vseh možnih kombinacij.

To v praksi pomeni, da je mogoče npr. neko potrdilo banke tako prirediti, da bo izračun digitalnega podpisa pokazal, kot da je potrdilo poslala banka, čeprav bo le-to v resnici pa bo ponarejeno. Z drugimi besedami - razbitje SHA-1 je pomemben korak na poti k možnosti ponarejanja digitalnih podpisov.

21 komentarjev

Linux @ Xbox: Prosimo žegen

The Register - Očitno je nagrada v višini 200.000 USD za prvo ekipo, ki bo spravila Linux k delovanju na nemodificiranih Xboxih, precej vabljiva ([:\\]). Ako tej temi v preteklosti niste ravno sledili, naj vam podam kratek povzetek: neznani osebek (za katerega se je kasneje izkazalo, da je sam Gospod Lindows) je ponudil nagrado za prvo delujočo verzijo Linuxa, ki za poganjanje ne bo potrebovala (nezakonitega) posega v samo konzolo Xbox. Ta ima namreč vdelan zaščitni sistem, ki od vsakega zagnanega programa zahteva digitalni podpis, ki pa ga morajo kakopak blagosloviti pri Microsoftu. Linux se na omenjenih škatlicah uspešno poganja že kar nekaj časa, vendar je za to potreben poseg v konzolo: zamenjava čipa.

Skupina, ki je javnosti še najbolj poznana, se je odločila poslati odprto pismo Microsoftu, v katerem jih pozivajo (prosijo), naj jim dodelijo digitalni podpis in tako požegnajo njihov projekt. Dasiravno argumentom v pismu ne gre oporekati, bi sam drznil reči, da fantom ne bo uspelo. Xbox...

5 komentarjev