Криптография *

После десяти лет обсуждений и тестирования десятков алгоритмов Национальный институт стандартов и технологий (NIST) утвердил окончательный стандарт «облегчённой криптографии» (lightweight cryptography) для микроконтроллеров, встроенных CPU, слабых FPGA и других устройств с ограниченными аппаратными возможностями, то есть минимальным количеством памяти и вычислительными ресурсами.

Принятие стандартов даёт надежду, что современная криптография — идентификаторы, цифровые подписи, шифрование, защита от кибератак — будет поддерживаться на миллиардах устройств Интернета вещей и другой малой электронике, такой как RFID-метки и медицинские имплантаты.

Время имеет большое значение для прикладной криптографии. Многие и многие аспекты применения криптосистем прямо или косвенно завязаны на ход или на измерение хода времени. Иногда влияние очевидно. Но чаще – нет. Рассмотрм на примерах самые занимательные аспекты времени в приложениях криптографии.

Топологический аудит ECDSA: как найти уязвимости с одной подписью

Традиционный анализ безопасности ECDSA требует сотен подписей для выявления уязвимостей. Но что делать, когда у вас есть только одна подпись из блокчейна?

Мы разработали AuditCore — систему топологического аудита, которая анализирует безопасность ECDSA, используя лишь публичный ключ и одну реальную подпись. Система автоматически генерирует необходимое количество валидных подписей и проводит глубокий анализ пространства (u_r, u_z) как топологического тора.

Ключевые возможности:

Определение уязвимостей по топологическим инвариантам (числам Бетти)

Расчет TVI Score — количественной метрики уязвимости

Автоматическое обнаружение паттернов: фиксированный k, линейные зависимости, кластеры

Генерация необходимого количества данных для статистически значимого анализа

Система состоит из нескольких специализированных модулей:

TopologicalAnalyzer для вычисления персистентных гомологий

BettiAnalyzer для интерпретации топологических показателей

CollisionEngine для поиска коллизий

SignatureGenerator для создания валидных подписей

TCON для оценки соответствия топологии тора

AuditCore позволяет обнаруживать уязвимости, которые традиционные методы пропускают, включая слабые места в генераторах случайных чисел и системах, подобные той, что привела к компрометации ключей Sony PS3.

Полная реализация доступна на GitHub: https://github.com/miroaleksej/AuditCore/tree/main/Scripts

Страх удобен – он прост и легко распространяется.

Но реальность устроена куда сложнее.

Вспомните «Энигму» во Второй мировой – её считали неприступной, пока Тьюринг и его команда не нашли ключ. Это не конец криптографии, а начало новой эры. С квантовыми компьютерами будет то же самое.

Всем привет! В этой серии статей я бы хотел разобрать тонкости работы с GPG, которые по моему недостаточно освещены в интернете. Сегодня я вам расскажу про подписи (и немного затронем модель Web of trust). Я бы их поделил на 2 вида: подписи файлов и подписи ключей.

В этом гайде разбираем установку и первичную инициализацию программно-аппаратного комплекса «Соболь» версии 4.5. Пошагово пройдемся по установке платы, запуску инициализации, регистрации администратора и настройке параметров безопасности. 

Топологическая безопасность ECDSA: Раскрываем скрытые уязвимости через законы диагональной периодичности

Ваши подписи на эллиптических кривых могут содержать скрытые паттерны, которые традиционные методы анализа пропускают. В новой статье я представляю революционный подход к анализу безопасности ECDSA через призму алгебраической топологии.

Вы узнаете:

Как закон диагональной периодичности помогает обнаруживать subtle уязвимости

Почему числа Бетти (, , ) являются ключевыми индикаторами безопасности

Как метод динамических улиток снижает сложность анализа с O(m⁴) до O(m log m)

Как TVI Score заменяет субъективные оценки количественной метрикой риска.

Когда большинство людей думают о криптографии, первым делом приходит на ум шифрование: сохранение конфиденциальности информации. Но не менее важно (если не важнее) — подлинность: гарантия того, что информация действительно исходит от аутентичного источника. Когда вы посещаете веб-сайт, сервер обычно доказывает свою личность с помощью сертификата Transport Layer Security (TLS), подтверждённого инфраструктурой открытых ключей веба (Web PKI). Пароли — традиционное решение для аутентификации пользователей, но они страдают от фишинга и утечек данных. Здесь и появляются пасскеи.

Не из-за кризиса банка, а потому, что кто-то в другом полушарии написал всего несколько строк кода.

Добро пожаловать в мир криптовзломов, где средства исчезают одним кликом, а ущерб измеряется не тысячами, а миллиардами долларов.

'Помните наш прошлый разговор о математической невозможности взлома кошельков?
О том, что подбор приватного ключа – это как искать один нужный номер среди 115 792 089 237 316 195 423 570 985 008 687 907 853 269 984 665 640 564 039 457 584 007 913 129 639 936 различных вариантов ?

Что даже современные компьютеры неспособны перебрать все комбинации 12–24-словной seed-фразы?

Всё это абсолютная правда.

Математически взломать криптографию Bitcoin, Ethereum или TON невозможно, по крайней мере, при текущем уровне технологий.

'Но тогда почему за последние 13 лет хакеры украли из криптопроектов более $19 миллиардов?

Только в 2024 году ущерб от краж и мошенничества составил более $8,3 миллиарда.

Фишинговые и социально-инженерные атаки пережили настоящий взлёт – они стали самым опасным видом кибератак.

В основном хакеры ломают не криптографию – они ломают людей.

В 2024 году эта тенденция усилилась за счёт генеративного ИИ. В США зафиксировано свыше 100 тысяч атак с использованием deepfake: злоумышленники имитировали коллег и руководителей на видеозвонках, нацеливаясь на финансовых директоров и сотрудников с доступом к средствам.

Только за первый квартал ущерб превысил $200 млн, а большинство фишинг-писем теперь создаётся нейросетями, что сделало такие атаки рекордно прибыльными.

Привет всем!

Я решил написать эту статью, потому что сам разобрался со всеми деталями работы этой версии шифровальной машины, и убедился, что написанная мною программа работает идентично эмуляторам этой машины. Это было сделать непросто, так как все описания в интернете, что мне удавалось найти, в лучшем случае упускали часть важных деталей работы этого механизма, а в худшем - содержали смесь из описаний работы разных машин. Кроме того, многие описания мне показались не слишком понятными - я постарался здесь всё описать как можно проще и яснее.

В этой статье описываю всё подробно, не опуская детали, и записывая куски кода на Python для иллюстрации. В конце статьи полный код, реализующий алгоритм Энигмы.

Откройте для себя, как топология превращается из абстрактной математической дисциплины в мощный инструмент криптоанализа!

В этой статье будет описано, как один чересчур поверивший в себя программист пытался взломать один из фундаментальных алгоритмов криптографии. Эта статья признана огородить других от подобных попыток или наоборот заинтересовать новых смельчаков для подобной авантюры. Сначала я опишу суть алгоритма на простом коде, затем перечислю методы и идеи, которыми я пытался его взломать.

Новый подход к анализу безопасности алгоритма цифровой подписи на эллиптических кривых (ECDSA) через призму алгебраической топологии.

В предыдущих статьях мы рассмотрели ChameleonLab как инструмент для стеганографии и стеганоанализа. Но одна из ключевых идей проекта — не просто дать инструмент, а показать, как он работает изнутри. Многие программы используют шифрование, но почти ни одна не позволяет заглянуть в "чёрный ящик" и увидеть весь путь превращения вашего секретного сообщения в неуязвимый шифротекст.

Именно для этого и был создан Визуализатор криптографии — интерактивная образовательная площадка внутри ChameleonLab, которая пошагово демонстрирует весь конвейер современного симметричного шифрования. Давайте разберёмся, зачем это нужно и как это реализовано.

В настоящее время от игроков, желающих участвовать в онлайновых многопользовательских сеансах, в античитерских движках обязательно требуется включить безопасную загрузку (Secure Boot) и встроенный доверенный платформенный модуль (fTPM). Удастся ли таким образом обуздать читеров, или же это бесплодная попытка купировать разрастающуюся проблему?

Всем привет. Представлюсь — меня зовут Евгений Думчев и я Team Lead.NET разработки в DDPlanet.

В какой‑то момент в моей практике появилась задача по интеграции с внешним API. Для взаимодействия требовалось применять предоставленный публичный доверенный сертификат сервера.cer и клиентский.pfx сертификат. Особенность в том, что.pfx сертификат был выпущен через CryptoPro CSP — а это вносит свои тонкости в процесс интеграции…

Сразу оговорюсь, что обычно я не занимаюсь компьютерной безопасностью и не интересуюсь, а занимаюсь алгоритмами и структурами данных - в прикладном применении это оптимизация быстродействия, высокопроизводительные вычисления типа CUDA, AVX512, многопоточность, что применяется например для майнеров криптовалют. Так я влез в криптанализ, ибо области, получается, соприкасаются. Был у меня заказ от человека, который хотел очень быстро на видеокартах перемножать 256-битные числа в 512-битные произведения. Я конечно сделал как он хотел, но вот пришла идея: так а зачем перемножать безчисленное количество чисел, если в принципе можно разложить на множители 512-битное число имея текущие технологии? Об этом дальше и речь.

Дано:

Привет, Хабр!

Недавно на работе возникла задача, связанная с асимметричным шифрованием — методом криптографии, где для шифрования и расшифровки используются два разных ключа:
Открытый ключ (public key) — можно свободно передавать, им шифруют данные.
Закрытый ключ (private key) — хранится в тайне, только им можно расшифровать.

И в процессе изучения у меня сложилась путаница в голове.
«Почему расшифровать сообщение можно только закрытым ключом?»
«Как открытый ключ не может расшифровать то, что сам же зашифровал?!»

4 июля 2025 неизвестные перевели 8 × 10 000 BTC (около 8,6 миллиарда долларов) с кошельков, которые молчали с 2010 года. Всё бы ничего, но это, вероятно, хакеры. И они хотят сделать всё по закону. Помогает им в этом известная американская юридическая фирма Salomon Brothers. Хронология и технические детали крупнейшего присвоения под катом.

Развитие нейросетей создало прецедент, когда видеозапись события не может быть однозначным достоверным доказательством. Однако на горизонте зажглась надежда в виде системы аутентификации, которая будет добавлять не просто водяные знаки на видео, а целый световой мерцающий код, используя освещение на месте съёмки.