Pull to refresh

На сервере криптографических ключей обнаружен фальшивый ключ Линуса Торвальдса

Information Security *

32-битные Short-ID окончательно дискредитированы


free@turing ~$ gpg --keyserver pgp.mit.edu --recv-keys 10000001

gpg: requesting key 10000001 from hkp server pgp.mit.edu
gpg: key 10000001: public key "Linus Torvalds" imported
gpg: key 10000001: public key "Linus Torvalds" imported
gpg: Total number processed: 2
gpg:            imported: 2  (RSA: 2)

Давно известно, что PGP уязвим к атакам на короткий идентификатор (short-ID). Относительно несложно сгенерировать пару совместимых с GnuPG 4096-битных RSA-ключей с заранее заданным коротким (32-битным) идентификатором short-ID, именем владельца и адресом электронной почты. Процедура поиска коллизии занимает буквально 10-20 минут на обычном компьютере, что демонстрировалось неоднократно. На современном GPU она занимает 4 секунды при использовании программы Scallion.

Раньше атака рассматривалась чисто теоретически, но с начиная с июня 2016 года разработчики начали сообщать о реальных случаях подделки их коротких идентификаторов — фальшивые ключи размещались на серверах криптографических ключей. А сейчас дело дошло до Линуса Торвальдса и ведущих разработчиков ядра Linux.
Читать дальше →
Total votes 23: ↑21 and ↓2 +19
Views 15K
Comments 7

PGP исполнилось 30 лет

Information Security *Cryptography *History of IT

6 июня 1991 года было создано первое приложение Pretty Good Privacy. Система, которая переводит текст в хаотический набор символов, позволяет адресату расшифровать его только с помощью криптографического ключа. Она положила начало эпохе криптографии.

Читать далее
Total votes 12: ↑12 and ↓0 +12
Views 1.9K
Comments 2

Платформа PGP теперь под Vista и Mac OS X

Cryptography *
PGP Corp. выпустила новую версию криптографического пакета PGP Encryption Platform 9.6. Теперь он работает под 32-битной Windows Vista и Mac OS X. Кроме того, в новой версии добавлена сквозная защита USB-дисков, интеграция с Lotus Notes и криптографическими продуктами ControlGuard.

Таким образом, с помощью дешёвого USB-брелка и загружаемой с него ОС любой пользователь, даже далёкий от компьютерных технологий, может получить в своё распоряжение абсолютно надёжную криптографическую защиту всех своих документов. Правда, легальность столь мощной криптографии на территории России до сих пор остаётся под вопросом, да и сам факт её использования может привлечь внимание спецслужб и прочих недоброжелателей.

via Internet News
Total votes 5: ↑5 and ↓0 +5
Views 1.6K
Comments 2

Шифрование для пользователей. Часть первая.

Cryptography *
Одному из моих заказчиков как-то понадобился способ организации защищенной коммуникации между несколькими людьми. Для общения предполагалось использовать системы мгновенного обмена сообщениями (аську). Насколько я знаю — для телефонных переговоров ими были куплены некие насадки, которые шифровали голосовой сигнал. Вживую я их не лицезрел, а потому не могу сказать насколько они эффективны. А вот о шифровании электронных сообщений я хочу рассказать подробно. Благо ими я занялся.

Читать дальше →
Total votes 35: ↑29 and ↓6 +23
Views 7.9K
Comments 44

Шифрование для пользователей. Часть вторая. Gpg4win.

Cryptography *


Для шифрования в windows можно использовать такой свободный проект, как gpg4win, о котором я мельком упомянул в прошлой части. Оно представляет собой набор патчей, плагинов и программ, покрывающих большинство потребностей пользователя в нелегком деле шифрования следов своей деятельности. А если точнее, то они умеют управлять ключами, шифрованием сообщений, пересылаемых по почте и шифрованием файлов на диске. В этом посте я хочу подробно рассмотреть его состав и возможности. Сразу хочу заметить, что я не изучал этот пакет подробно а потому могу оценивать лишь с точки зрения пользователя. Но, думаю даже это будет интересно — начинать с чего-то малого тоже надо.
Этот пакет в своём составе имеет следующий набор программ и плагинов:

Читать дальше →
Total votes 9: ↑6 and ↓3 +3
Views 22K
Comments 8

Шифруем сообщения в сети XMPP/Jabber с помощью PGP

Instant Messaging *
В этой статье я подробно опишу как использовать шифрование при передаче сообщений по сетям на основе XMPP с помощью пакета GnuPG. Показана процедура генерации ключевых пар под Windows, установка ключей в клиент Psi, проверка подписанного присутсвия, передача шифрованного сообщения.

Мотивация


Для чего может понадобится шифрование сообщений?
  1. Так как сеть XMPP федеративная и каждый может основать свой узел, то ставится вопрос доверия администратору данного сервера. Сервер могут сломать, сам админ может подбарижить данными и т.д.
  2. XMPP набирает популярность в качестве внутрикорпоративного обмена. Может быть сервер и не имеет выхода в Интернет, но никто не застрахован от приезда Party-van с маски-шоу внутри
  3. Цифровая подпись повышает надёжность идентификации. То есть вы точно знаете что в данный момент за компьютером сидит именно тот человек, который вам дал ключ, а не тот кто ломанул его аккаунт или воспользовался его отсутсвием его за компьютером

Читать дальше →
Total votes 67: ↑66 and ↓1 +65
Views 78K
Comments 80

Шифрование с использованием PGP

Lumber room

Иногда сталкиваешься с ситуацией, когда в довольно большом предприятии совершенно не понимают (или не хотят понимать) зачем необходимо шифрование данных, каналов связи, почтовой переписки. Такая ситуация имеет место и на моей работе. Разрубить этот гордиев узел помогла ситуация со странной утерей данных клиент-банка.

Сейчас в несколько этапов проходит обучение коллектива азам работы с программой gpg. Решение использовать для шифрования почтовой переписки, файлов утилиту GnuPG принято из-за ее доступности в различных дистрибутивах Linux. Вы спросите — чего Linux делает в предприятии. Я отвечу так — в следствии упорной 3-х месячной работы сеть из порядка 200 пк была с 90%-ым успехом переведена на linux, о чем я возможно расскажу немного позже.
Читать дальше →
Total votes 16: ↑14 and ↓2 +12
Views 5.7K
Comments 16

Теперь будет PGP против ElcomSoft?

Lumber room
Где-то я такое уже видел. Прямо дежавю какая-то :)

Adobe наехал на ElcomSoft в 2001 году. Поднялась волна протестов «Свободу Дмитрию Склярову». А потом еще и США долго судилось с российской фирмой…

Сегодня узнал, что на ЭлкомСофт наехал PGP. Опять двадцать пять?
Читать дальше →
Total votes 5: ↑3 and ↓2 +1
Views 498
Comments 3

PayPal опять заморозил активы Wikileaks.org

Payment systems *
Платёжная система PayPal заморозила финансовые активы сайта Wikileaks.org, сообщил в твиттере один из активистов этой организации. Как известно, это крупнейшая в интернете площадка для публикации компромата: здесь уже 1,2 млн документов. Через PayPal собирались пожертвования.

Уже второй раз PayPal замораживает аккаунт Wikileaks.org. В прошлый раз разбираться с ситуацией пришлось более полугода. Сколько сейчас будет продолжаться конфликт — неизвестно, но без финансовой поддержки сайт просто не сможет продолжать существование (на зарплату и хостинг нужно около $600.000 в год). Сейчас работа сервиса частично приостановлена, осталась только форма для закачки новых документов.
Читать дальше →
Total votes 67: ↑63 and ↓4 +59
Views 265
Comments 23

GnuPG: Безопасная почта для Win, Mac и *nix

Information Security *
GnuPGGnuPG (GNU Privacy Guard ) — открытая реализация PGP, совместимая со стандартами OpenPGP ( RFC 2440 ). GnuPG позволяет шифровать, расшифровывать, подписывать и верифицировать электронные сообщения при помощи пар ключей ( RSA по-умолчанию ). Наиболее частое применение GnuPG — в шифровании электронной почты и проверки подписи файлов, выложенных для скачивания. Но есть возможность использовать и в других протоколах: например, PSI (Jabber-клиент) поддерживает GnuPG и позволяет поточно шифровать переговоры.

Рассмотрим установку и первичную настройку GnuPG для трёх ОС: Windows, Mac OS X и Linux.
Подразумевается, что читатель имеет достаточные знания для того, чтобы выполнить несколько команд в консоли ОС (CMD/Terminal/xterm соответственно).

Читать дальше →
Total votes 46: ↑38 and ↓8 +30
Views 28K
Comments 24

Избавляемся от PGP в почтовом ящике mutt

Configuring Linux *
Tutorial
На мой параноидальный взгляд по возможности всё общение по почте и IM должно быть зашифровано. (Не потому, что мне есть что скрывать, а просто потому, что я не вижу причин показывать свои сообщения соседу Пете, вне зависимости от того, где он работает — нигде, у провайдера, или в спецслужбе.) Для почты это PGP/GPG, для IM это OTR. Но это шифрование призвано защищать сообщения в процессе передачи по сети, а не на винте в почтовом ящике/логах IM. На винте от него толку нет, одни неприятности — медленный поиск в сообщениях (если в вашем MUA поиск вообще работает в зашифрованных письмах), невозможность обрабатывать почтовый ящик простыми скриптами, etc. Если есть необходимость шифровать данные у себя на винте, то для этого есть другие, более подходящие и универсальные средства, чем PGP для части писем.

Поскольку PGP требуется только во время передачи по сети, то было бы идеальным решением шифровать/дешифровать письма в момент приёма/передачи, т.е. используя локальный POP3/SMTP relay сервер. В этом случае все почтовые клиенты (MUA) автоматически получили бы «поддержку PGP», и при этом ничего о PGP сами не знали, и работали с не зашифрованными письмами. Под Windows такой сервер есть — GPGrelay. Под *NIX я аналога найти не смог. Есть утилитка kuvert, которая может автоматически шифровать исходящую почту, но утилитки для дешифровки входящей я не нашёл.

Но девиз mutt не зря «All mail clients suck. This one just sucks less.» — мне удалось с помощью его гибкости, небольшого вспомогательного скрипта для qmail, и такой-то матери решить эту, на первый взгляд банальную, задачку.
Читать дальше →
Total votes 22: ↑20 and ↓2 +18
Views 3.4K
Comments 9

Silent Code — в августе мир увидит комплексную систему защиты переговоров для мобильных устройств

Group-IB corporate blog Information Security *
В настоящий момент каждому желающему предоставляется возможность бесплатного тестирования Silent Circle, для этого нужно просто отправить заявку с указанием адреса электронной почты. Проект разрабатывался около 7-ми лет.

image

Идеологами проекта являются:
— Phil Zimmermann (создатель PGP);
— Mike Janke (в прошлом — снайпер подразделения «морские котики» ВМС США);
— Vic Hyder (командир подразделения морской пехоты ВМС США);
— Jon Callas (сооснователь PGP Corporation, технический директор Entrust).

Возможности приложения будут позволять организовать шифрования голосовой, видео и текстовой информации (электронная почта, SMS, средства IM и др.). Приложение адаптировано ко всем современным мобильным платформам, включая Android и Apple iOS. Одной из наиболее интересных функций Silent Code является организация защищенной видеоконференции.

Изначально идея была связана с применением подобных технологий на службе военных, когда солдатам необходимо связаться со своими семьями и близкими, при этом обеспечив надежность и безопасность переговоров. Правительство США обеспокоено появлением подобного приложения в отношении простых смертных, в первую очередь по причине того, что использование Silent Code осложнит возможность перехвата данных в целях оперативно-розыскных мероприятий, что определено Communications Assistance for Law Enforcement Act (CALEA).
Читать дальше →
Total votes 42: ↑38 and ↓4 +34
Views 19K
Comments 65

Ким Дотком (Mega, Megaupload) собирается запустить защищенный от прослушки мессенджер и электронную почту

Information Security *


В общем-то, не нужно быть Вангой, чтобы догадаться, что после раскрытия методов «прослушки», используемых спецслужбами разных стран, последует активное развитие защищенных мессенджеров. Вероятно, прямо сейчас разрабатывается около десятка подобных сервисов, о части которых мы уже слышали, а о другой части — предстоит услышать. К примеру, защищенный мессенджер от Петера Сунде, сооснователя The Pirate Bay, уже собрал около 100 тысяч долларов, необходимых на разработку. Кроме того, поисковый сервис DuckDuckGo, где нельзя отследить поисковые запросы пользователей, стал набирать обороты в последнее время. Ну, и Ким Дотком, основатель Mega, также заявил о скором запуске защищенного мессенджера, а также, позже — электронной почты.

Читать дальше →
Total votes 46: ↑34 and ↓12 +22
Views 22K
Comments 52

КриптоПати! — party hard!

Information Security *Cryptography *
криптопати

CryptoParty — crypto от греческого κρυπτός, «тайный, скрытый» и party — «политическая партия» или «вечеринка».

КриптоПати! – это воркшоп, цель которого получение участниками реального опыта организации доверительных каналов связи с помощью современных технологий шифрования данных и тиражирование этого опыта.

Хочу!
Total votes 6: ↑5 and ↓1 +4
Views 3.2K
Comments 7

Семинар про криптографию и PGP Keysigning party

Information Security *Cryptography *
На семинаре про криптографию, который завтра пройдет в Яндексе, состоится PGP Keysigning party. Если хочется подписать свои ключи и пообщаться с криптопараноиками, приходите.

Для того, чтобы поучаствовать в подписи ключей, лучше заранее загрузить свой публичный ключ на biglumber.
Total votes 7: ↑4 and ↓3 +1
Views 2.7K
Comments 6

Интернет на магнитах 3 — P2P Сайт и Форум

Decentralized networks
image Концепция интернета на магнитах состоит в том чтобы не зависеть от программного обеспечения, протокола или способа передачи данных. Не важно каким образом вы получаете файл имея магнит вы можете удостоверится что получили именно то что заказывали.

Для создания и обновления магнитного сайта с множеством страниц нам понадобится электронная подпись. Нужна она чтобы обозначить источник и связать между собой страницы сайта. Для её создания и использования можно воспользоваться пакетом GnuPG.

Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views 12K
Comments 5

Работа с цифровыми подписями PGP с использованием Bouncy Castle Cryptography Library на Java

Cryptography *Java *
Tutorial
В данном руководстве мы рассмотрим работу с OpenPGP на Java с использованием библиотеки Bouncy Castle Cryptography Library с ориентацией на использование в веб-разработке.

image
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 11K
Comments 4