Pull to refresh

ФСБ утвердила порядок получения ключей шифрования от интернет-сервисов

Reading time 3 min
Views 43K
Information Security *

Ключи следует предоставлять в ФСБ на магнитном носителе или по электронной почте




В чёрный день для России 7 июля 2016 года, вместе с подписанием пакета поправок Яровой, президент Путин поручил правительству обратить внимание на применение норм закона «об ответственности за использование на сетях связи и (или) при передаче сообщений в информационно-телекоммуникационной сети интернет несертифицированных средств кодирования (шифрования)», а также на «разработку и ведение уполномоченным органом в области обеспечения безопасности Российской Федерации реестра организаторов распространения информации в сети интернет, предоставляющих по запросу уполномоченных ведомств информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений в случае их дополнительного кодирования».
Читать дальше →
Total votes 35: ↑27 and ↓8 +19
Comments 343

Telegram в реестре: чем это чревато

Reading time 3 min
Views 34K
Social networks and communities

Фото: RT

Несколько дней назад на Geektimes публиковалась новость о том, что Павел Дуров согласился добавить данные Telegram в реестр ОРИ — организаторов распространения информации. Пусть и с небольшим скандалом, но это было сделано: Telegram получил реестровый номер 90-РР. Руководитель Роскомнадзора Александр Жаров после этого выразил свое удовлетворение действиями Павла Дурова и его компании: «Таким образом, Telegram начал работать в правовом поле Российской Федерации».

Создатель мессенджера, в свою очередь, оговорился, что не против зарегистрировать Telegram, но только в том случае, если все ограничится регистрацией. Он заявил, что выполнять «закон Яровой» и некоторые другие законы его компания не намерена. Речь, в первую очередь, идет о возможном требовании Роскомнадзора получить доступ к переписке пользователей Telegram. Но Жаров поспешил успокоить Дурова, сообщив, что речи об этом не идет: «Вопрос только об одном – о пяти идентификаторах, которые мессенджер должен сообщить в Роскомнадзор, они официально будут внесены в реестр распространения информации. На этом точка». Так ли это на самом деле?
Читать дальше →
Total votes 36: ↑32 and ↓4 +28
Comments 76

Как Китай заставил Apple хранить ключи шифрования пользователей iCloud на государственных китайских серверах

Reading time 3 min
Views 11K
Information Security *Cryptography *Legislation in IT
Россия и Китай требуют от коммерческих компаний хранить персональные данные местных пользователей на своей территории. В Евросоюзе тоже есть ограничение на передачу персональных данных за границу. Это сделано для защиты конфиденциальности граждан. Согласно закону GDPR, в данном случае интернет-компания, оператор связи или другая фирма, что собирает данные пользователей, рассматривается как временный «хранитель» этих данных, действующий в интересах пользователя, с его согласия и по его распоряжению. По прошествии некоторого срока компания обязана автоматически удалять эти данные. Любые движения делаются только с разрешения пользователя — все процедуры прозрачны. В России и Китае дух и буква закона несколько отличаются от GDPR.

Тем не менее, иностранным компаниям приходится выполнять местное законодательство, иначе им грозят серьёзные санкции: от штрафа до полного запрета на коммерческую деятельность в стране. И если российским рынком часто можно пренебречь, то потеря китайского рынка для крупной IT-компании станет катастрофой. Вот почему и Google, и Apple, и остальные вынуждены подчиняться требованиям КНР.
Читать дальше →
Total votes 23: ↑16 and ↓7 +9
Comments 22

Электронная подпись для участия в закупках

Reading time 5 min
Views 11K
РОСЭЛТОРГ corporate blog Information Security *


Как инструмент электронная подпись (ЭП) нужна для участия в закупках (тендерах), а также для электронного документооборота. Сама ЭП — это не привычная для многих из нас «флешка» или какой-то конкретный предмет, а информация в электронном виде, которая позволяет идентифицировать личность её владельца во время использования электронных сервисов.

Как это выглядит? На определённый носитель записывается «ключевая пара» в виде ключа ЭП и сертификата ключа проверки ЭП. А сама «электронная подпись» создаётся владельцем сертификата в момент подписания документа.

Несмотря на то, что защищённые носители внешне и выглядят как флешка, в них имеется особая начинка. В эту начинку, помимо микросхем, входит специализированный апплет, обеспечивающий взаимодействие ОС с содержимым носителя. Выдаётся носитель со всем указанным содержимым в удостоверяющих центрах (УЦ). Для большинства современных IT-шников данные понятия хорошо известны в разрезе получения и использования Code Signing и SSL-сертификатов.

Давайте разберём основные понятия, связанные с ЭП и УЦ.
Читать дальше →
Total votes 26: ↑22 and ↓4 +18
Comments 55

Аппаратный ключ шифрования за 3$ — возможно ли это?

Reading time 10 min
Views 64K
Information Security *Cryptography *Programming microcontrollers *DIY
Tutorial
Sandbox

Итоговый результат — ключ размером с флешку

Повсеместное шифрование и, как следствие, обилие ключей заставляет задуматься об их надежном хранении. Хранение ключей на внешних устройствах, откуда они не могут быть скопированы, уже давно считается хорошей практикой. Я расскажу о том, как за 3$ и 2 часа сделать такой девайс.
Читать дальше →
Total votes 151: ↑151 and ↓0 +151
Comments 151

И еще раз про аппаратные ключи GPG за копейки

Reading time 8 min
Views 11K
Information Security *Cryptography *DIY

Началось все с того что я почитав статью Аппаратный ключ шифрования за 3$ — возможно ли это? решил запилить такую штуку. В итоге stlink приехал со второго раза. Первый потерялся в недрах почты.


После приезда я выяснил что там стоит чип cks и по второй статье залил прошивку. В системе ключ определился


[612524.102634] usb 4-5: new full-speed USB device number 26 using ohci-pci
[612524.264962] usb 4-5: New USB device found, idVendor=234b, idProduct=0000, bcdDevice= 2.00
[612524.264969] usb 4-5: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[612524.264973] usb 4-5: Product: Gnuk Token
[612524.264976] usb 4-5: Manufacturer: Free Software Initiative of Japan
[612524.264979] usb 4-5: SerialNumber: FSIJ-1.0.4-9A760301

Но после этого начались проблемы.

Читать дальше →
Total votes 22: ↑22 and ↓0 +22
Comments 20

Генератор псевдослучайных чисел большой разрядности

Reading time 6 min
Views 5K
High performance *Information Security *Cryptography *Programming *Patenting *
Recovery mode
Недавно появилась статья с описанием скоростного генератора случайных чисел (утверждается, что самого быстрого в мире).

Понятно, её автор не читает русскоязычных статей по теме, но если бы читал, то не стал бы утверждать о мировом первенстве своего генератора в скорости работы. Скорость генерации псевдослучайных чисел в 12 ГигаБайт/сек. была достигнута достаточно давно.Этот генератор применяется для выработки ключей шифрования.
Читать дальше →
Total votes 16: ↑14 and ↓2 +12
Comments 3

HKDF: как получать новые ключи и при чем тут хэш-функции

Reading time 7 min
Views 4.3K
Information Security *Cryptography *
Sandbox

Для современных алгоритмов шифрования одним из факторов, влияющих на криптостойкость, является длина ключа.

Но что поделать, если существующие ключи не обладают достаточной длиной для их безопасного использования в выбранных нами алгоритмах? Тут на помощь приходит KDF (Key Derivation Function) - это функция, которая формирует один или несколько криптографически стойких секретных ключей на основе заданного секретного значения.

Именно о KDF и пойдет речь далее. Мы рассмотрим общий принцип работы, одну из версий этой функции - HKDF, а также разберем, как она может быть реализована на Python'е.

Читать далее
Total votes 30: ↑30 and ↓0 +30
Comments 8

Исследователи клонировали ключ безопасности Google Titan, раскрыв уязвимость чипсета

Reading time 4 min
Views 11K
Selectel corporate blog Information Security *Gadgets

Уязвимость (CVE-2021-3011) позволяет восстановить первичный ключ шифрования и обойти двухфакторную аутентификацию. Специалисты по безопасности из NinjaLab объяснили работу потенциальной хакерской атаки для токенов Google Titan на базе чипа NXP A700X, но теоретически та же схема взлома актуальна для криптографических токенов Yubico (от компании YubiKey) и Feitian, использующих аналогичный чип.

Рассказываем о том, как работает атака, и можно ли продолжать доверять физическим ключам шифрования.
Читать дальше →
Total votes 27: ↑26 and ↓1 +25
Comments 8

Hack the hackers: полное руководство по прохождению квеста

Reading time 15 min
Views 8.7K
RUVDS.com corporate blog Information Security *Hackathon Reading room
Котика разбили, рояль спасли… точнее, наоборот: котика скачали с сервера, роялю поломали ножки, но в целом он бодрячком. И сегодня был последний день, когда все желающие могли попробовать свои силы в скачивании NFT-гифки с танцующим котиком, хотя ноутбук уже пять дней как двинул лапти за печь. А теперь мы вскрываем все карты и рассказываем обо всех загадках и их решениях.
Посмотреть разбор
Total votes 73: ↑62 and ↓11 +51
Comments 6

Серьезная ошибка в процессорах Intel раскрывает ключи шифрования

Reading time 3 min
Views 5.8K
OTUS corporate blog Information Security *
Translation

CVE-2021-0146, идентификатор уязвимости, возникающей при использовании функции отладки с чрезмерными привилегиями, в результате чего злоумышленники могут читать зашифрованные файлы.

Уязвимость в безопасности чипов Intel открывает возможности для доступа к зашифрованным файлам и шпионажа, а также обхода защиты авторских прав на цифровой контент.

Читать далее
Total votes 10: ↑8 and ↓2 +6
Comments 3

YubiKey головного мозга. Как подружить Ubuntu 22.04.1 LTS c аппаратным ключом безопасности?

Reading time 4 min
Views 6.5K
Configuring Linux *Information Security *
Sandbox

Итак вы решили переехать на новенькую свежую убунту и у вас на столе лежит Юбик 5ой серии без которого вы не можете жить в современном мире.

И как у любого нормального технаря перед Вами сразу встают ровным строем несколько вопросов...

Читать далее
Total votes 10: ↑9 and ↓1 +8
Comments 9

РБК: «Яндекс» отказался выдать ФСБ сессионные ключи шифрования

Reading time 4 min
Views 25K
Information Security *Legislation in IT

Карикатура: Сергей Ёлкин, DW

Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», рассказали РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу».

Оба источника подтверждают, что российская компания отказалась подчиниться ФСБ и за прошедшее время так и не предоставила ключи. «Яндекс.Почта» и «Яндекс.Диск» входят в Реестр организаторов распространителей информации и по закону обязано предоставлять ключи шифрования в течение десяти дней после поступления запроса, а прошло уже гораздо больше времени.

Издание РБК опросило экспертов с вопросом, чем грозит «Яндексу» такое неподчинение. С аналогичной проблемой скоро может столкнуться Tinder, а последствия неподчинения можно наблюдать на примере Telegram. Сначала сотрудники ФСБ составили протокол на Telegram за нарушение КоАП, а потом Роскомнадзор начал блокаду Telegram с веерной блокировкой миллионов посторонних IP-адресов.
Читать дальше →
Total votes 39: ↑36 and ↓3 +33
Comments 113

«Яндекс» объяснил невозможность предоставления ключей шифрования ФСБ

Reading time 2 min
Views 17K
Information Security *Legislation in IT

Источник: AppleInsider.ru

Компания «Яндекс» прокомментировала ситуацию с требованием ФСБ по предоставлению ключей шифрования. По мнению представителей корпорации, исполнять законодательство нужно, но без нарушения приватности данных. Проблема в том, что закон, на который ссылаются представители СМИ относительно ключей шифрования, применяется не только к компании, но и ко всем организаторам распространения информации.

«Сегодня в СМИ появилась информация о том, что к „Яндексу“ обратились с требованием предоставить ключи шифрования. Закон, на который ссылаются представители СМИ, применяется не только к „Яндексу“, но ко всем организаторам распространения информации, доступным на территории РФ, включая все почтовые сервисы, мессенджеры и социальные сети. В законе говорится о предоставлении информации, „необходимой для декодирования сообщений“, из него не следует требование о передаче ключей, которые необходимы для расшифровки всего трафика», — говорится в сообщении компании.
Читать дальше →
Total votes 22: ↑15 and ↓7 +8
Comments 43

«Яндекс» заявил о решении проблемы с ключами шифрования для ФСБ, а Павел Дуров зовет разработчиков компании к себе

Reading time 4 min
Views 35K
Information Security *Legislation in IT
Управляющий директор «Яндекса» Тигран Худавердян заявил в интервью РБК о появлении решения в вопросе выдачи ключей шифрования сервисов компании ФСБ. К сожалению, подробности этого решения Худавердян не раскрыл.

«Ситуация очень простая: есть «закон Яровой», и все его должны исполнять. Наша задача — сделать так, чтобы соблюдение закона не противоречило приватности пользовательских данных», — прокомментировал Худавердян ситуацию.
Читать дальше →
Total votes 47: ↑37 and ↓10 +27
Comments 82

Проблемы TPM-FAIL позволяли хакерам похищать хранящиеся в TPM-процессорах криптографические ключи

Reading time 2 min
Views 3.4K
Information Security *Cryptography *Server Administration *
image

Исследователи из Вустерского политехнический института США, Любекского университета Германии и Калифорнийского университета в Сан-Диего выявили две уязвимости в TPM-процессорах. Проблемы под общим названием TPM-FAIL делали возможным для злоумышленников похищать хранящиеся в процессорах криптографические ключи.

Уязвимость CVE-2019-11090 затрагивает технологию Intel Platform Trust (PTT). Данное программное TPM-решение от Intel fTPM применяется в серверах, ПК и ноутбуках. Его используют большинство производителей компьютеров, включая Dell, HP и Lenovo. Также Intel fTPM широко используется в семействе продуктов Intel Internet of Things (IoT) для промышленности, здравоохранения и транспортных средств.

Другая уязвимость CVE-2019-16863 затрагивает чип ST33 TPM производства STMicroelectronics, который применяется на устройствах начиная от сетевого оборудования и заканчивая облачными серверами. Он является одним из немногих процессоров с классификацией CommonCriteria (CC) EAL 4+, то есть поставляется со встроенной защитой против атак по сторонним каналам.
Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Comments 21

Toyota: ключ доступа к системе T-Connect находился на GitHub пять лет

Reading time 2 min
Views 3.5K
Information Security *GitHub *Transport

Toyota предупредила клиентов, что их личная информация могла быть раскрыта после того, как ключ доступа к системе T-Connect «пролежал» на GitHub в течение почти пяти лет.

Читать далее
Total votes 7: ↑7 and ↓0 +7
Comments 2

Полиция обманом выманила у операторов шифровальщика DeadBolt ключи дешифрования

Reading time 2 min
Views 1.7K
Hosting Information Security *Data storage *

Национальная полиция Нидерландов вместе со специалистами компании инфобеза Responders.NU смогла обманом выманить у операторов шифровальщика DeadBolt 155 ключей для дешифровки данных. Полицейские платили злоумышленникам, получали ключи, а затем отзывали свои платежи.

Читать далее
Total votes 4: ↑3 and ↓1 +2
Comments 4

«Ростех» представил программу на ИИ для защиты биометрии

Reading time 2 min
Views 633
Cryptography *Algorithms *Artificial Intelligence

Холдинг «Росэлектроника» (входит в «Ростех») создал нейросеть, которая преобразует биометрическую информацию в особые электронные ключи шифрования. Как утверждают разработчики, это позволит сделать использование биометрии безопасным.

Читать далее
Total votes 4: ↑3 and ↓1 +2
Comments 1