• Взаимодействие php-soap на linux с авторизацией по сертификатам с использованием алгоритмов ГОСТ

    С криптографией я сталкивался ранее, приходилось разворачивать удостоверяющий центр на КриптоПро в свое время, так что общие представления о том что такое закрытые и открытые ключи и сертификаты у меня имелось, но вот о том как все это работает в Linux представления особого не было.
    Встала задача обеспечить взаимодействие со службами РосМинздрава, а именно — с федеральным регистром медработников по протоколу SOAP. Со стороны клиента система на CentOS и работающими службами на PHP, со стороны сервера — SOAP-сервис с авторизацией по сертификатам с использованием ГОСТ алгоритмов. В наличии была флешка с закрытым ключом, сформированным удостоверяющим центром РосМинздрава и сертификат этого ключа.
    После анализа ситуации по использованию ГОСТ алгоритмов шифрования в мире Linux выяснено что за последние годы здесь есть хорошее движение вперед, но все таки не совсем все хорошо. Итак, для того чтобы заставить расширение php-soap прозрачно понимать алгоритмы ГОСТ, а также использовать сертификаты и ключи выданные РосМинздравом нужно сделать следующее:

    1. Обновить в дистрибутиве библиотеку OpenSSL до версии не ниже 1.0.1с и настроить поддержку ГОСТ.
    2. Преобразовать выданный ключ и сертификат в формат, понятный OpenSSL. Проверить работу OpenSSL.
    3. Подправить расширение OpenSSL в PHP и перекомпилировать сам PHP. Протестировать работу SOAP на PHP.

    Итак, приступим.
    Читать дальше →
    • +26
    • 17,6k
    • 8
  • Bitmessage 0.3.5: Что нового?



      Крипто мессенджер Bitmessage продолжает свое активное развитие, новая версия принесла следующие функции:
      • Поддержка русского языка
      • Полностью анонимные децентрализованные чаты
      • Огромное количество баг-фиксов

      Читать дальше →
    • Эксперты призывают готовиться к криптоапокалипсису



        На прошедшей в Лас-Вегасе конференции Black Hat с особым заявлением выступили четверо исследователей кибербезопасности: Алекс Стеймос, Том Риттер, Томас Птачек и Джавед Сэмюель. Суть их просьбы сводилась к следующему: существующие алгоритмы, лежащие в основе современной криптографии, могут находиться в опасности прогресса решения математических задач, поэтому всем нам следует отказаться от существующих SSL-сертификатов в пользу более новых методов криптографии.

        Общеизвестно, что в основе асиметричной криптографии лежит два ключа: один может зашифровать данные, другой используется для их расшифровки. Это возможно благодаря свойствам односторонних функций. Предполагается, что некоторые математические операции трудны и могут быть выполнены лишь за экспоненциальное время, то есть за время, возрастающее экспоненциально при линейном увеличении размерности задачи. Однако, существование таких функций, то есть свойство экспоненциального возрастания сложности так и остаётся недоказанной гипотезой.

        Существует ненулевая вероятность того, что в будущем найдётся подобное решение, возможное за полиномиальное время, что сулит криптографический апокалипсис. Суть доклада квартета исследователей сводилась к тому, что этот момент может быть не так отдалён от настоящего времени, в то время как альтернативные и более современные методы криптографии не имеют большого распространения.
        Читать дальше →
      • MEGA выпустили собственный SDK

          К сожалению, не нашел соответствующей новости на хабре и решил, что данный факт незаслуженно обошли вниманием. Приношу извинения если ошибся.

          8 июля в блоге ресурса появилась новость о запуске С++ SDK для работы с MEGA API, которое «позволит разработчикам использовать функциональность MEGA API, без необходимости внедрения тысяч строк низкоуровневого кода».
          Также было сообщено о запуске партнерской программы для разработчиков, которая позволит монетизировать свой аккаунт в MEGA, посредством разработанного приложения.

          Сам SDK доступен для скачивания зарегистрированным пользователям.

          UPD: Спасибо хабрасообществу за замечание, не обратил внимание на то, что исходники демо приложения предназначены для *nix среды.
        • Хеш-функция Стрибог или в городе новый шериф

          • Tutorial
          В 2012 году вся общественность, более или менее причастная к информационной безопасности, пристально следила за выборами нового стандарта хеширования данных SHA-3. На хабре достаточно широко освещалось это важное событие: публиковались результаты каждого раунда конкурса (раз, два, три), приводилось описание нового стандарта, и даже объяснялось почему новый стандарт так крут.
          Однако, за всем этим ажиотажем совсем незамеченным осталось другое, не менее значимое событие: 1 января 2013 года в РФ также сменился стандарт хеш-функции.
          Итак, встречайте: полное описание нового стандарта и его реализация на C#. Как говорится, лучше поздно, чем никогда.
          Читать дальше →
        • Программист Google выиграл награду АНБ, а потом сказал, что эту организацию нужно упразднить

            На прошлой неделе д-р Джозеф Бонно (Joseph Bonneau) узнал, что победил на конкурсе Агентства национальной безопасности Science of Security (SoS). На конкурсе награждают авторов наиболее интересных научных работ в области ИБ, важных с государственной точки зрения. Работа Бонно — анализ 70 миллионов паролей пользователей Yahoo на предмет их стойкости и безопасности — получила приз как Best Scientific Cybersecurity Paper.

            Конкурс SoS проводится в первый раз, но АНБ надеется сделать его ежегодным. К сожалению для национальной разведки, первый блин вышел комом. Джозеф Бонно был награждён 18 июля на специальном мероприятии АНБ, выступив перед аудиторией специалистов по компьютерной безопасности, а уже на следующий день опубликовал в блоге, что он думает об АНБ.
            Читать дальше →
          • Ой, у вас баннер убежал!

            Ну. И что?
            Реклама
          • DarkJPEG: cтеганография для всех



            В рамках проекта DarkJPEG разработан стеганографический веб-сервис нового поколения, позволяющий скрывать конфиденциальную информацию в виде незаметного шума в JPEG-изображениях, при этом выделить данную информацию можно только зная заданный при кодировании секретный ключ-пароль.

            Проект разработан с целью реализации свободы информации людьми в тех странах, которые нарушают права человека, вводя цензуру средств информации или законодательно запрещая использование криптографии.

            Сервис использует стойкие методы стеганографии для сокрытия самого факта сокрытия информации вместе со стойкими методами криптографии для защиты данных, передаваемых по открытым каналам, от компрометации (факта доступа посторонних лиц). Исходные тексты проекта распространяются в рамках лицензии MIT.

            Основные особенности:

            • Использование SHA-3 для генерации ключей;
            • Симметричное шифрование AES-256;
            • JPEG (DCT LSB) стеганография;
            • Поддержка RarJPEG и двойного сокрытия;
            • Подбор случайного контейнера;
            • Вычисления без участия сервера;
            • Гарантия полной конфиденциальности.

            Читать дальше →
          • Безопасность GSM сетей: шифрование данных


              Disclaimer Данная статья публикуется исключительно в ознакомительных целях, за использование материалов, опубликованных в данной статье автор ответственности не несет.
              Так же хочу сразу предупредить, что если вы рассчитываете найти в этой статье пошаговое руководство к прослушиванию GSM трафика или надеетесь, прочитав данную статью, получить доступ к телефонным разговорам ваших друзей, знакомых, домашних животных, то лучше проигнорируйте ее. Здесь вы не найдете ничего интересного. Нет правда, не ходите под кат, там скука.
              Читать дальше →
            • BitTorrent Sync выходит в бету


                BitTorrent Sync Alpha был выпущен в апреле, а сегодня мы рады сообщить о его переходе на новую ступень — Beta.

                BitTorrent Sync — это новый продукт, разработанный для синхронизации данных между компьютерами со своими друзьями, коллегами, в команде. Он сильно облегчает работу внутри организаций, поскольку максимально использует внутренюю инфраструктуру компании. Sync создан, чтобы решить реальные проблемы, с которыми мы сталкиваемся каждый день при передаче файлов: ограничения по размеру и скорости, а также угрозы конфиденциальности и безопасности, возникающие при использовании облачных технологий.

                Подробнее
              • Почему я не лезу в криптографию

                • Перевод
                Предлагаю вашему вниманию вольный перевод интересной заметки о тяжком бремени программистов, занимающихся криптографическими алгоритмами. Заметка — личный взгляд человека, который уважает таких программистов, но сам ни за что бы не полез в криптографию.
                И вот почему
              Самое читаемое