Как стать автором
Обновить
31.02

Криптография *

Шифрование и криптоанализ

Сначала показывать
Порог рейтинга
Уровень сложности

VETKeys — on-chain шифрование в Internet Computer

Уровень сложности Средний
Время на прочтение 7 мин
Количество просмотров 55
Обзор

В этой статье обзорно поговорим про грядущую фичу Internet Computer'a под названием VETKeys. Она полностью решает проблему менеджмента ключей в privacy-focused приложениях (и в Web3.0, и в Web2.0), позволяя вообще не хранить ключи шифрования пользователей, а запрашивать их on-demand из блокчейна по протоколу гарантирующему, что никто кроме самого пользователя его ключ не увидит.

Читать далее
Рейтинг 0
Комментарии 0

Новости

SSL для всех (пользователей MariaDB), даром, и пусть никто не уйдёт обиженный

Уровень сложности Средний
Время на прочтение 3 мин
Количество просмотров 1.4K

MySQL научился использовать OpenSSL, чтобы шифровать трафик между клиентом и сервером году где-то в 1999. В принципе работало оно нормально, свою задачу выполняло, трафик шифровало. Но был там один фатальный недостаток. SSL в MySQL, а позже и в MariaDB, не работал сам, сразу. Его надо было настроить. И это было непросто.

Ну а что делать, сертификат-то проверять надо. Иначе это не защита, а пшик. Приходится терпеть. Так мы и терпели почти четверть века, и очень небольшое количество пользователей проходило квест настройки SSL до конца. Это должно измениться новом релизе MariaDB 11.3 (пока доступен только в виде превью тут).

Читать далее
Всего голосов 7: ↑7 и ↓0 +7
Комментарии 7

Анонимная идентификация для групп

Время на прочтение 13 мин
Количество просмотров 783

Настоящая публикация состоит из разделов с описанием протоколов анонимной групповой идентификации для двух различных сценариев, анализом криптостойкости ключей и устойчивости к имперсонификации, оценкой количества передаваемой информации, а также оптимизации вычислений и ресурса памяти.

Читать далее
Всего голосов 4: ↑3 и ↓1 +2
Комментарии 8

Простой способ компрометации приватных ключей при помощи SSH-Agent

Уровень сложности Средний
Время на прочтение 8 мин
Количество просмотров 3.8K
Кейс
Перевод

Введение


Однажды я просматривал видео из закладок и решил запустить AASLR: Leveraging SSH Keys for Lateral Movement Хэла Померанца. Примерно на середине видео я захотел начать заново и открыл заметки, чтобы документировать полученную информацию, потому что это был очень интересный материал, которого я не видел раньше. Воспользовавшись этой информацией как фундаментом, я начал искать другие способы применения утилиты ssh-agent и решил создать демо в своей домашней лаборатории. В этом посте я расскажу о своих открытиях.
Читать дальше →
Всего голосов 41: ↑39 и ↓2 +37
Комментарии 12

Истории

PKI, прикладная криптография и электронная подпись: о чем здесь речь и как это работает в нашей блокчейн-платформе

Уровень сложности Простой
Время на прочтение 12 мин
Количество просмотров 1.7K
Обзор

Криптография в целом — это большая область знаний. И хотя блокчейн всегда идет с ней рука об руку, в реальных проектах на базе распределенных реестров используется лишь некоторые из достижений криптографии. В этом посте я постараюсь рассказать простым языком, что они собой представляют и как работают в рамках нашей блокчейн-платформы.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 0

Шпаргалка по криптографии: что делать, если попал в проект с криптографами

Уровень сложности Простой
Время на прочтение 14 мин
Количество просмотров 9.4K

Решили помочь аналитикам, менеджерам проектов и другим людям, которым нужно быстро освоить или вспомнить базовые понятия криптографии. Возможно, вы пытаетесь подготовиться к собеседованию в компанию, которая занимается разработкой продуктов в сфере криптографической защиты информации, но раньше вы в этой области не работали.

Сейчас мы с вами разберемся с базой!

Читать далее
Всего голосов 13: ↑11 и ↓2 +9
Комментарии 2

Парольные менеджеры 2023 года: что нового?

Уровень сложности Простой
Время на прочтение 6 мин
Количество просмотров 18K
Обзор


С каждым годом хакеры становятся всё изощреннее в методах отъёма честно нажитого у пользователей интернета. Поэтому нужно всегда быть начеку и заботиться о защите своих персональных данных. Инструменты для этого известны: надёжное шифрование и защищённый парольный менеджер, внутри которого хранятся секреты, а пароль доступа знаете только вы (плюс дополнительная аппаратная защита через 2FA).

Посмотрим, что нового появилось в этой области за последнее время. А посмотреть есть на что.
Читать дальше →
Всего голосов 46: ↑41 и ↓5 +36
Комментарии 89

Постмодерн в криптографии или как в книгах плодятся симулякры третьего порядка

Уровень сложности Простой
Время на прочтение 12 мин
Количество просмотров 2.7K
Обзор

Данная статья не вышла бы на свет и вовсе, если бы у меня не существовало такого фетиша как скупки книг по криптографии, за счёт которого я откопал ещё недавно выставленную книгу - "Криптография. Основы практического шифрования и криптографии". Книга описывает лишь основы криптографии, но можно ли заблудиться в трёх соснах? Давайте попробуем разобраться.

Читать далее
Всего голосов 12: ↑11 и ↓1 +10
Комментарии 8

Верните мне мой 2007: как поменялись ключевые носители для электронной подписи за последние годы

Уровень сложности Простой
Время на прочтение 13 мин
Количество просмотров 3.1K
Ретроспектива

Привет, Хабр! Недавно мы с коллегами стали вспоминать, как выглядела работа с электронной подписью (ЭП) и ключевые носители, когда мы только начали работать в этой области. Мы искренне удивились тому, как за такое короткое время технологии шагнули вперед. Так родилась идея для этой статьи. Она для всех, кто когда‑нибудь имел дело с настройкой компьютера для работы с ЭП, отправкой отчетности в контролирующие органы, знает, что такое токены, оказывал техническую поддержку по работе с электронным документооборотом. Особенно для тех, кто помнит Windows XP, шариковые мышки и дискеты.

Очень надеюсь, что этот материал вызовет у вас такую же теплую ностальгию, которую ощутили мы с коллегами, когда вспоминали, как это было.

Читать далее
Всего голосов 14: ↑13 и ↓1 +12
Комментарии 13

Blockchain-разработка глазами Backend-разработчика

Уровень сложности Средний
Время на прочтение 17 мин
Количество просмотров 3.3K
Обзор

Я достаточно давно занимаюсь Backend разработкой и последние несколько лет, все больше и больше пишу разные блокчейн проекты (Solidity на EVM). Погружение в блокчейн мне давалось непросто и мой бэкендерский мозг несколько раз ломался, и я решил поделиться своим взглядом на погружение в блокчейн-разработку.

У этого поста также есть видеоверсия.

Читать далее
Всего голосов 19: ↑16 и ↓3 +13
Комментарии 20

Недвоичные регистры сдвига с линейной обратной связью модулированные пилообразным кодом

Уровень сложности Средний
Время на прочтение 2 мин
Количество просмотров 1.6K
Туториал

Ранее, Full-stack шифрование на обобщенных регистрах с линейной обратной связью / Хабр (habr.com), рассматривались недвоичные регистры сдвига с линейной обратной связью (LFSR), обеспечивающие периоды T_q = {p}^{m-q} - 1, где q=0,1,....

Для увеличения периода комбинировались два регистра с периодами T_0 и T_1, что в итоге давало период

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 0

Путешествие от шифра Цезаря до RSA. Прикладная теория чисел

Уровень сложности Простой
Время на прочтение 4 мин
Количество просмотров 3.4K

Путешествие от шифра Цезаря до RSA. Прикладная теория чисел.

Во все времена люди пытались найти способ безопасной передачи информации, метод, при котором зашифрованное сообщение мог прочитать только тот, кому оно было адресовано. Предлагаю рассмотреть разные методы шифрования и проследить за их развитием на протяжении нескольких тысяч лет.

Читать далее
Всего голосов 4: ↑2 и ↓2 0
Комментарии 12

Kerberos Bronze Bit Attack – Theory (CVE-2020-17049)

Уровень сложности Простой
Время на прочтение 6 мин
Количество просмотров 1.1K
Recovery Mode

Эта статья будет посвящена уязвимости в расширениях для Kerberos S4U2Self и S4U2Proxy. Для полного понимания того, как работает уязвимость нужно знать, как происходит аутентификация в Kerberos, а также понимать такие процессы как делегирование.

Дисклеймер: Все данные, предоставленные в данной статье, взяты из открытых источников, не призывают к действию и являются только лишь данными для ознакомления, и изучения механизмов используемых технологий.

Kerberos – это протокол аутентификации пользователей, серверов и других ресурсов в домене. Протокол основан на симметричной криптографии, где каждый принципал имеет свой ключ. Этот ключ известен только самим принципалам и центру распределения ключей (KDCKey Distribution Center). В его роли выступает контроллер домена (DC, Domain Controller).

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 0

Ближайшие события

Yandex Scale
Дата 25 – 26 сентября
Время 17:00 – 18:00
Место Москва Онлайн
Битва пет-проектов
Дата 25 сентября – 30 ноября
Место Онлайн
Business&IT Day: Retail CPG
Дата 28 сентября
Время 09:50 – 14:00
Место Онлайн
XIX конференция разработчиков свободных программ «Базальт СПО»
Дата 29 сентября – 1 октября
Время 10:00 – 19:00
Место Переславль-Залесский Онлайн
Kokoc Hackathon
Дата 29 сентября – 1 октября
Время 19:00 – 21:00
Место Онлайн
Ruby Russia 2023 Online
Дата 30 сентября
Время 11:00 – 21:00
Место Онлайн
PG Boot Camp Russia 2023
Дата 5 октября
Время 10:00 – 17:00
Место Москва Онлайн
Joker
Дата 9 – 14 октября
Время 16:00 – 19:30
Место Санкт-Петербург Онлайн
Russia Risk Conference 2023 — 19-я конференция по риск-менеджменту
Дата 25 – 26 октября
Время 10:00 – 19:00
Место Москва Онлайн

Протокол обмена ключами Диффи-Хеллмана для «самых маленьких»

Уровень сложности Средний
Время на прочтение 10 мин
Количество просмотров 2.9K

За последние десять лет масса технологий, имеющих хоть какое-либо отношение к информационным, претерпела массу изменений. Более того, многие сферы жизни, изначально не имеющие к IT никакого отношения, также преобразились до неузнаваемости и приобрели некий IT-шный бэкграунд. Немаловажную роль в этих процессах информатизации сыграла концепция Интернета вещей (IoT). С самого появления этой концепции было понятно, что она серьёзно повлияет на все сферы деятельности человека, экономические и социальные процессы, а спустя несколько лет после её появления технология оказалась на карандаше Национального разведывательного совета США и была занесена в список «подрывных инноваций».

По мере развития технологии IoT, ставшей устойчивой тенденцией на протяжении последних десяти лет, она наполнялась технологическим содержанием и практическими стандартами. При этом до некоторого времени комплексная информационная безопасность этой технологии вообще никого не интересовала. Если внедрялись какие-то меры безопасности, то по крайне остаточному принципу. Учитывая, что изначально никто никаких специальных стандартов для устройств IoT не разрабатывал, в основном использовали то, что было. Понятно, что «взрослые» варианты стандартов подходят для IoT не в полной мере. Требуются технологии, обладающие высокой производительностью в ограниченных средах. Устройства IoT связаны достаточно жёсткими ограничениями по питанию, памяти и вычислительным ресурсам.

Если добавить к этому ненадёжные каналы связи, каналы с потерями, сильно ограниченные полосы пропускания и крайне динамичную сетевую топологию, то становится совсем кисло.

Читать далее
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 10

Преобразование закрытого ключа КриптоПро CSP по ГОСТ 2012 в контейнер p12, который понимает java

Уровень сложности Средний
Время на прочтение 2 мин
Количество просмотров 2.5K
Туториал


Закрытый ключ КриптоПро CSP представляет из себя флеш-накопитель, на котором в директории ххххх.000 лежат файлы primary.key, primary2.key, masks.key, masks2.key, name.key и header.key.

Читать далее
Всего голосов 13: ↑9 и ↓4 +5
Комментарии 9

PKI на ENS(Ethereum name system) и CA

Уровень сложности Средний
Время на прочтение 4 мин
Количество просмотров 512

Я бы хотел описать ENS в плане возможности доказательства владения публичным ключом при подписи данных и небольшого сравнения с CA(certificate authority).

Читать далее
Рейтинг 0
Комментарии 0

Можно ли оставаться анонимным внутри государства, которое закрыло весь внешний Интернет?

Уровень сложности Средний
Время на прочтение 42 мин
Количество просмотров 29K
Аналитика

Существующие популярные анонимные сети, подобия Tor или I2P, хороши своим прикладным использованием, а также относительно хорошей скоростью и лёгкостью настройки. Они также хороши и непосредственно в анонимизации трафика, когда нам необходимо скрыть истинную связь между отправителем и получателем, основываясь на принципе федеративности, то есть на свойстве, при котором узлы сети расположены в разных государствах, а сама цепочка маршрутизации проходит сквозь множество несвязанных между собой узлов. Но что делать, если государство единственно, как выстраивать маршруты в целях анонимизации, если нет никакого сетевого доступа в другие государства? Что делать, если все доступные государства находятся в своеобразном картеле, где сам принцип федеративности теряет свой основной замысел?

Читать далее
Всего голосов 45: ↑40 и ↓5 +35
Комментарии 34

Экосистема Hyper. Полный пиринг и шифрование

Уровень сложности Средний
Время на прочтение 7 мин
Количество просмотров 4.4K
Обзор


В настоящее время резко выросла потребность людей в защищённых коммуникациях. А с ней и популярность сервисов для защиты связи и шифрования. Это VPN, mesh-сети и пиринговые приложения для прямого обмена зашифрованными сообщениями, файлами и т. д. Один из самых продвинутых наборов такого рода — экосистема Hyper. Есть и другие (о них ниже).
Читать дальше →
Всего голосов 53: ↑53 и ↓0 +53
Комментарии 11

Менеджеры паролей. Какие бывают и правда ли безопасны?

Время на прочтение 18 мин
Количество просмотров 8.5K

В 1997 году американский криптограф и специалист по компьютерной безопасности Брюс Шнайер написал первый в мире менеджер паролей — Password Safe. Это была простая и бесплатная утилита для Windows 95 с примитивным пользовательским интерфейсом и базой данных в виде зашифрованного файла, внутри которого хранился список логинов и паролей.

Однако последние 20 с лишним лет менеджеры эволюционировали. Сегодня это полноценные кроссплатформенные приложения с продвинутым интерфейсом и множеством полезных (и не очень) фич. В этой статье мы рассмотрим, какие менеджеры паролей бывают и в каких ситуациях они будут полезны.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 33

Протоколы идентификации на основе спаривания, совместимые с режимом моментальной цифровой подписи

Время на прочтение 9 мин
Количество просмотров 524

В предыдущей публикации мы представили модифицированный протокол Шнорра, совместимый с режимом моментальной электронной цифровой подписи (МЭЦП), а также анонсировали разработку других протоколов с этим свойством. Здесь мы приводим описание таких протоколов на основе функции спаривания точек эллиптической кривой.

Читать далее
Всего голосов 5: ↑3 и ↓2 +1
Комментарии 0

Вклад авторов