Pull to refresh
  • by relevance
  • by date
  • by rating

GnuPG на смарт-картах. Как это выглядит…

Cryptography *
image
Почти все знают что такое GPG. Многие им пользуются. Некоторые даже в курсе, что есть возможность хранить секретные ключи на внешнем носителе типа смарт-карты. Я-же хочу описать как это все выглядит на практике.

Несколько дней назад ко мне приехала пара «OpenPGP SmartCard v2». Заказаны они были у официального их распространителя — shop.kernelconcepts.de/index.php?language=en. Цена одной карты на данный момент составляет 17.14 евро. Две заказанные карты были отправлены чем-то вроде заказного письма и пересылка обошлась мне в 5 евро, что очень даже неплохо. Еще порадовало что карты без проблем прошли через таможню. Не уверен что так будет с большим количеством, но для личного использования, думаю, можно заказывать достаточно безопасно.

И вот они у меня...
Total votes 39: ↑37 and ↓2 +35
Views 7.1K
Comments 34

OpenPGP-модуль для Gmail

Cryptography *
Специалисты из немецкой компании Recurity Labs разработали JavaScript-реализацию стандарта OpenPGP (RFC 4880) для подписи и шифрования писем в почтовых веб-интерфейсах. Таким образом, PGP-криптография доступна прямо в браузере без установки дополнительного софта.



Модуль GPG4Browsers реализован в качестве расширения для Google Chrome и работает только с Gmail, но не должно стать проблемой переделать его для другого браузера и/или почтового сервиса, ведь исходные коды открыты.
Читать дальше →
Total votes 33: ↑31 and ↓2 +29
Views 15K
Comments 28

Mailpile собрал $120K на разработку open source криптопочты

Information Security *Cryptography *Open source *
За две недели до окончания срока cбора средств на краудфандинговом сайте Indiegogo разработчики почтового веб-сервера Mailpile собрали необходимые $100 тыс. на его создание, и даже больше: на данный момент собрано $120 631.

Суть проекта заключается в создании почтового open source веб-сервера, которое работает на личных компьютерах пользователей и абсолютно защищено от внешней прослушки с помощью стойкой криптографии c поддержкой OpenPGP. Оно создано для пользователей, которые хотят избавиться от проблем, связанных с использованием Gmail, Hotmail и прочих прослушиваемых сервисов. Людям нужно встроенное шифрование, отсутствие рекламы, скорость работы, собственный хостинг, но при этом они хотят сохранить удобство интерфейса, полнотекстовый поиск, теги, аттачменты и другие привычные функции.

Такая простая концепция вызвала живой отклик у сообщества, и оно довольно быстро профинансировало разработку проекта. Теперь дело за реализацией.
Читать дальше →
Total votes 56: ↑53 and ↓3 +50
Views 19K
Comments 23

Google предложит пользователям GMail использовать end-to-end шифрование

Information Security *Open source *
Корпорация Google готовится выпустить специальное расширение для браузера Google Chrome, которое позволит пользователям сервиса GMail зашифровывать сообщения перед отправкой, чтобы исключить возможность перехвата сообщений. Расширение под простым названием End-to-End использует стандарт OpenPGP, но пока не готово к выпуску, так как Google просит помощи у сообщества.
Читать дальше →
Total votes 80: ↑76 and ↓4 +72
Views 32K
Comments 42

Pandor — end-to-end шифрование емейл переписки

Self Promo


На злобу дня, когда все говорят о перехваченных переписках или взломанных почтовых ящиках (Аркадий Дворкович стал жертвой хакеров), я хочу вам представить Pandor — решение для защиты содержимого емейл переписки.

Pandor — существует на данный момент как расширение к браузеру Google Chrome и работает с веб-интерфейсом Gmail. Расширение добавляет в интерфейс элементы для создания шифрованного сообщения на основе OpenPGP. Основная задача — сделать безопасную переписку максимально простой для использования конечными пользователями. С этой идей я и мой коллега Khalil Bouzidi пришли на Startup Weekend Monaco — решили попробовать свои силы создать примерный бизнес-план и, конечно, прототип. На самом деле, в течении викенда мы смогли лишь четко определить, как мы хотим чтобы это работало. Все должно быть лишь в один-клик и пользователям не надо было бы «договариваться» о принципе шифрованного обмена информации. На стартапе мы представили презентацию и видео, как мы видем работу сервиса с точки зрения пользователя. По решению жури наш проект получил первое место.
Высокая оценка на конкурсе воодушивила нас на воплощение проекта в жизнь. В течении 2-х месяцев, мы в свободное от основной работы занимались проектом и запустили сейчас бету версию, которую я вам и предлагаю оценить. Параллельно с разработкой, был разработан бизнес-план и пакет документов был подан на другой конкурс в Монако и уже прошли в нем первый тур (из 30 проектов было отобрано 11).
Читать дальше →
Total votes 48: ↑40 and ↓8 +32
Views 3.3K
Comments 29

Работа с цифровыми подписями PGP с использованием Bouncy Castle Cryptography Library на Java

Cryptography *Java *
Tutorial
В данном руководстве мы рассмотрим работу с OpenPGP на Java с использованием библиотеки Bouncy Castle Cryptography Library с ориентацией на использование в веб-разработке.

image
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 11K
Comments 4

Письма от социальных сетей: достаточно ли хороша ваша приватность? Две проблемы и их решение

Information Security *Cryptography *Open source *Software Social networks and communities
Tutorial
При использовании социальных сетей имеют место разнообразные проблемы, выходящие за рамки темы этой статьи. Но есть две проблемы, о которых обыкновенно забывают. Социальные сети периодически посылают своим пользователям письма о недавних событиях: публикациях друзей, ответах, лайках, личных сообщениях и т.д. Вот с этими-то письмами и связаны две проблемы.

Privacy image

Во-первых, письмо может быть прочитано кем-то ещё. Скажем, вы приняли участие в обсуждении, а сегодня в нём появилось новое высказывание. Или кто-то сообщил вам конфиденциальную информацию. А соцсеть прислала вам по электронной почте письмо с текстом сообщения. Или вы запросили ссылку для сброса забытого пароля (или её запросил злоумышленник). Письмо по пути к вам пройдёт через разные узлы всемирной сети, и его сможет прочитать любой, у кого есть доступ к какому-либо из этих узлов.

Во-вторых, злоумышленник может прислать вам письмо, имитирующее письмо социальной сети (например, чтобы побудить вас ввести ваш пароль к социальной сети на мошенническом сайте или послать деньги будто бы другу). Да, присмотревшись к письму повнимательнее, вы можете понять, что оно ненастоящее; но всякое ли полученное электронное письмо вы внимательно исследуете?

А теперь представьте, что социальная сеть посылает вам свои письма зашифрованными, а на вашем компьютере они автоматически расшифровываются: вы читаете эти письма, а больше никто прочитать их не может. Представьте также, что социальная сеть подписывает свои письма вам, и вы, открыв подписанное письмо, видите над текстом краткое уведомление, настоящая подпись или поддельная. Не правда ли, было бы здо́рово? Что касается наличия такой функциональности у разных социальных сетей, у меня для вас три новости. Плохая новость: у Хабра такой функциональности нет. Ещё одна плохая новость: у большинства социальных сетей такой функциональности тоже нет. И, наконец, хорошая новость: у одной из социальных сетей такая функциональность есть; эта социальная сеть — Фейсбук.
Читать дальше →
Total votes 10: ↑9 and ↓1 +8
Views 6.8K
Comments 14

Проблема PGP

Information Security *Cryptography *Software
Translation
Криптоинженеры уже несколько десятилетий кричат о недостатках PGP. Когда это слышат обычные разработчики, то бывают крайне удивлены. Как, PGP никуда не годится? Зачем же тогда его советуют использовать? Ответ в том, PGP действительно никуда не годится, и никому никогда не следует его рекомендовать. Он должен исчезнуть.

Как вы скоро увидите, у PGP много проблем. Если не вдаваться в подробности, основная причина в том, что программа разработана в 90-е годы, до появления серьёзной современной криптографии. Ни один компетентный криптоинженер сегодня не станет разрабатывать систему в таком виде и не потерпит большинства её дефектов ни в какой другой системе. Серьёзные криптографы в основном отказались от PGP и больше не тратят на неё времени (за некоторыми заметными исключениями). Поэтому хорошо известные проблемы в PGP остаются нерешёнными более десяти лет.
Читать дальше →
Total votes 54: ↑44 and ↓10 +34
Views 38K
Comments 71

Пост-анализ: что известно о последней атаке на сеть серверов криптоключей SKS Keyserver

VAS Experts corporate blog Information Security *IT Infrastructure *Server Administration *
Хакеры использовали особенность протокола OpenPGP, о которой известно более десяти лет.

Рассказываем, в чем суть и почему её не могут закрыть.

Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 4K
Comments 0

Ещё раз про аппаратные ключи GPG за копейки

Information Security *Programming microcontrollers *DIY
Sandbox


В февралe 2020 года на Хабре появилась увлекательная статья про преобразование программатора ST-Link v2 в аппаратный ключ шифрования. Уже тогда в комментариях появились жалобы на то, что результат не удаётся повторить, но они остались без ответа.


За прошедшее время до меня дошла пара посылок с Aliexpress и теперь, самостоятельно пройдя весь путь, я попытаюсь представить более или менее полную инструкцию с комментариями, которая поможет неспециалисту перепрошить микропроцессор в китайском клоне ST-Link v2. Постараюсь не повторять уже известное, поэтому про пайку контактов и использование GPG с аппаратным ключом смотрите в исходной статье.

Читать дальше →
Total votes 43: ↑43 and ↓0 +43
Views 21K
Comments 17

OpenPGP переписывают на Rust: проект Sequoia

VDSina.ru corporate blog Information Security *Cryptography *Open source *Rust *

Секвойя Стагг в роще Олдер-Крик, Калифорния

В 2018 году три бывших разработчика GnuPG начали работу над проектом Sequoia — реализацией OpenPGP на Rust. Как известно, OpenPGP — это открытый стандарт шифрования данных, часто используемый для защищённой электронной почты; а GnuPG — эталонная реализация этого стандарта.

Сами разработчики так изложили мотивацию за создание новой библиотеки OpenPGP:

  • GnuPG трудно модифицировать. Код и API накапливались в течение 21 года. Модульные тесты отсутствуют. Компоненты тесно связаны друг с другом. Архитектура оставляет желать лучшего, и простой рефакторинг уже не поможет.
  • Многие разработчики недовольны программными интерфейсами GnuPG. У инструмента командной строки GnuPG и соответствующих программных библиотек разная функциональность: некоторые команды доступны только из командной строки.
  • Rust — безопасный для памяти язык, что автоматически исключает целый класс багов.
  • GnuPG невозможно использовать под iOS из-за ограничений GPL.
Читать дальше →
Total votes 47: ↑46 and ↓1 +45
Views 7.1K
Comments 16

Вышел пакет Sequoia 0.20.0, реализация OpenPGP на Rust

Selectel corporate blog Information Security *Cryptography *Software

Вчера был представлен выпуск пакета Sequoia 0.20.0. Он предлагает библиотеку функций и инструментарий командной строки с реализацией стандартов OpenPGP (RFC-4880). Команда проекта состоит из трех человек — участников проекта OpenPGP (RFC-4880). Для повышения безопасности и надежности кодовой базы они решили создать новую свободную реализацию OpenPGP на языке Rust. Код проекта распространяется под лицензией GPLv2+.

Цель разработчиков — не только повышение безопасности продукта, но и избавление от недостатков GnuPG. Без нарушения совместимости или кардинальной переработки кодовой базы их нельзя устранить в основном проекте. Так, связь между отдельными компонентами GnuPG достаточно сильная, так что вносить изменения сложно, не говоря уже о создании системы unit-тестирования. Инструментарий командной строки gpupg не синхронизирован по функциональности и библиотекой функций, так что ряд действий можно выполнить лишь при помощи утилиты.
Читать дальше →
Total votes 23: ↑22 and ↓1 +21
Views 2.1K
Comments 1