Криптография *

Автоматическое подписание документов электронной подписью используют там, где требуется пакетная подпись документов без участия сотрудника. Это могут быть как небольшие сайты, например по продаже билетов в театр и музей, или порталы с онлайн-обучением при отправке сертификатов о прохождении курсов, так и крупные банковские приложения, например, при генерации выписок по счетам, форм договоров или квитанций. В ЕСИА, СМЭВ, ГИС ЖКХ и других государственных информационных системах также реализована автоматическая подпись.

В этой статье реализуем автоматическое подписание для PDF-файлов и добавим штамп «Документ подписан электронной подписью».

Продолжаем разговор о базе знаний по старту карьеры в кибербезопасности

CTF (Capture The Flag) - это такая специфичная олимпиада, ну или хакатон (кому какая аналогия ближе) от мира кибербезопасности, точнее, от его красной части… По сути, это соревнование по легальному взлому с целью добыть ключи (флаги) в том или ином приложении.

Соревновательный дух, проверка себя, возможность выиграть неплохие призы - это, конечно, всё отлично, но, помимо этого, участие в CTF может принести пользу и в других аспектах.

Так, например, если вы только планируете поступать в вуз на направление информацимонной безопасности, участие в его CTF может помочь вам заранее наладить контакты, а, иногда, и вовсе, дать бонус при поступлении (если говорить про российские вузы, то они не сильно любят создавать сайты под свои CTF - лучше искать информацию по соцсетям, мессенджерам и сайтам самого вуза).

Если же вы уже занимаетесь поиском работы в кибербезопасности, а, особенно, в направлении red team, то команды, хорошо показавшие себя в CTF (особенно, в CTF, проводимых или спонсируемых этими компаниями), часто, вне очереди получают приглашения на интервью.

Ниже постарался собрать основные сайты крупных CTF. По ссылке доступна обновляемая версия с рабочими фильтрами по стране и организатору. Для добавления своего соревнования в список, можете писать в комментариях к посту...

Продолжаю делиться информацией о своей базе знаний по старту карьеры в кибербезопасности. Судя по всему, предыдущий пост про сайты с практическими заданиями, людям пришёлся по душе, поэтому, сегодня продолжим разговор о практике...

Итак, вы потренировались на сайтах, которые иммитируют самые популярные ИБ-продукты - все эти SIEM-ки, NGFW-шки, EDR-ы... И поняли, что хотите получить опыт ещё более приближенный к практике - иммитация вас не устраивает. Что делать в таком случае? Собирать свою мини-систему защиты на реальных, "боевых" продуктах. Благо, некоторые вендоры предоставляют их в бесплатное пользование, да и Open-source ПО в реальных системах используется немало.

Всё описанное ниже подходит, в первую очередь для людей, которые планируют в будущем заниматься внедрением средств защиты, но полезно будет и для потенциальных участников красной и синей команд - так, например, прописывание или настройка коннекторов в тех же SIEM, часто ложится на плечи инженеров SOC 1 линии. Да и для пентеста неплохо бы понимать, как работает и настраивается то или иное средство защиты.

Приветствую, Хабр! Я к вам возвращаюсь с новой статьёй о режимах шифрования и решении задачи с Cryptohack. Сегодня в центре внимания будет режим CFB-8 и уязвимость CVE-2020–1472.

Стеганография — древнее искусство сокрытия информации, которое обрело новую жизнь в цифровую эпоху. В отличие от криптографии, где мы шифруем содержимое сообщения, стеганография прячет сам факт существования секретной информации.

Представьте: вы отправляете безобидную фотографию в социальной сети, но внутри нее скрыто сообщение, которое увидит только нужный человек. Или пересылаете документ, содержащий невидимую цифровую подпись для подтверждения авторства. Все это — примеры современной стеганографии.

Сегодня этот метод используется как в легальных целях (защита авторских прав, цифровые водяные знаки), так и злоумышленниками для обхода защитных систем. Поэтому специалистам по информационной безопасности критически важно понимать принципы работы стеганографических систем и методы их анализа.

В этой статье мы разберем основы стеганографии, проанализируем возможные атаки на стегосистемы и способы защиты от них.

strongSwan — опенсорсная имплементация IPsec, фреймворка VPN. Несмотря на полувековой стаж, проект продолжает развиваться: последняя на сегодня версия приложения вышла в декабре. У него подробная документация, есть блог с CVE и публичная база тестов. По полезной пропускной способности, задержке и утилизации CPU strongSwan превосходит Wireguard, но остаётся в тени — из-за сложности и малой пригодности для обхода блокировок. Зато перед теми, кто не ленится, он открывает широкий простор для экспериментов.

Меня часто спрашивают, как лучше всего строить свою карьеру в кибербезопасности - где изучать теорию, где отрабатывать знания на практике и т.д. Если без шуток, то вопросы, действительно, периодически поступают, и они, часто одни и те же. Поэтому, я решил собрать всю доступную мне инфу в единую базу знаний. Периодически её пополняю. И вот сегодня решил рассказать о ней на хабре. Собственно, начать решил с, наверное, одного из ключевых пунктов - с практических задач для отработки полученных знаний.

Сайтов с такими задачами существует много. Скорее всего, тут собрана даже не половина. Но я постарался охватить самые полезные/популярные из них.

То есть:

Привет, Хабр! Я – Петр, эксперт по ML/AI (и не только) в Skillbox (и не только), а ещё – CEO межбанковской скоринговой платформы Bloomtech. Так уж вышло, что я неплохо разбираюсь в разных PET (Privacy-Enhancing Technologies) и уже писал на хабре про совместные конфиденциальные вычисления. Сегодня повышаю градус и рассказываю про магию следующего порядка: слепую (забывчивую) передачу или oblivious transfer. Как обычно, на примере.    

Вообразите, что уже знакомая нам Алиса поддерживает большой, более или менее регулярно обновляемый телефонный справочник и решает это дело монетизировать. Например, сделать сервис-определитель номеров.  Архитектура напрашивается такая:

В предлагаемой статье приводится полная списочная многострочная модель (СММ) составного полупростого числа N и перечень вопросов, сопровождающих ее описание. Ответы на вопросы предлагается находить самим читателям. Найденные правильные ответы, либо комментируемые другими читателями, обеспечат глубокое понимание проблем, связанных с подобными числами и задачами. Выбор самих чисел предопределен их широким использованием в области информационной безопасности.
Рассматривая строки модели, особенно ее средней части читателя могут удивлять появления в строках квадратичных вычетов полных квадратов, возникающие интервалы между строками с кратными значениями делителей числа N, поведение средних вычетов и, возможно, что-то еще.

В предлагаемой вниманию читателей модели роль исследуемого числа отводится модулю N КЧКВ, т.е. N задан (может быть большим) и требуется в одной из задач отыскивать делители N.

Для моделирования выбрана простая зависимость (линейная) N = х1 + хо. Очевидно, что список представлений такой модели конечен, и для чисел ограниченного размера может быть легко построен в форме таблицы, содержащей S =½ (N –1) строк. Модель названа списочной многострочной моделью и кратко обозначается (СММ, СМ-модель).

Как часто вы открывали сделку на пробой уровня, а затем цена разворачивалась против вас? Ложный пробой случается достаточно часто и является проблемой для многих трейдеров, которые покупают на максимумах и продают на минимумах.

Торговля на пробой — это достаточно популярная и жизнеспособная торговая стратегия. Однако некоторые пробои часто оказываются ложными. Это может быть довольно неприятно, не говоря уже о том, что это часто может привести к убыточной сделке.

Однако во многих случаях опытный трейдер может проанализировать ситуацию на рынке и отреагировать на нее соответствующим образом. Ложные пробои могут принести прибыль, если вы знаете, как правильно их торговать.

Буквально совсем недавно на хабре опубликована статья про то, что реализация собственной криптографии это очень плохая идея. Я подумал, что было бы интересно сделать контрольный эксперимент. У меня нет глубоких криптографических знаний, но всегда было интересно написать инструмент симметричного шифрования. В этой статье я опишу реализацию и почему я принимал те или иные решения. Очень рассчитываю на то, что в комментариях мне объяснят, что и почему я сделал неправильно.

Опять какие‑то философы из V века до н.э. зашифровали ваше сообщение? Разберемся, что с этим делать, в этой статье.

Приветствую, Хабр!

В своей предыдущей статье (посвященной оценке необходимости срочного перехода на постквантовые криптоалгоритмы) я упомянул о принятых в США стандартах на постквантовые алгоритмы электронной подписи и обмена ключами. Данные стандарты были приняты в августе прошлого года (а перед этим они в течение года проходили оценку криптологическим сообществом в виде драфтов), при этом Институт стандартов и технологий США NIST анонсировал принятие дополнительных (альтернативных) постквантовых криптостандартов в будущем.

Поскольку принятие стандартов на постквантовые криптоалгоритмы можно считать весьма значительным событием в сфере асимметричной криптографии, а также принимая во внимание предполагаемый переход с традиционных на вышеупомянутые стандарты на горизонте в несколько лет (причем не только в США, но и в той значительной части мира, которая ориентируется на стандарты США), предлагаю вашему вниманию в данной статье описание (помимо описаний, я попытался схематично изобразить основные преобразования – под катом много схем с пояснениями) алгоритмов, на которых основаны постквантовые криптостандарты США, а также краткое обсуждение ближайших перспектив выхода новых стандартов на постквантовые криптоалгоритмы и рекомендаций по переходу с традиционных криптографических алгоритмов на постквантовые. Перечень текущих стандартов и рекомендаций NIST в части асимметричной криптографии со ссылками на их официальные публикации приведен в списке литературы к данной статье.

В TLS 1.3 постквантовые криптосистемы используются в составе гибридных схем, совместно с обычными, классическими, криптосистемами. Посмотрим на дампы TLS-сообщений и, на примере дампов, попробуем разобраться с основами практического использования ML-KEM - пока что единственного постквантового варианта для распространённых браузеров.

Определение уровней поддержки и сопротивления на дневных графиках

Разберем процесс построения уровней поддержки и сопротивления на дневных таймфреймах. Если вам кажется, что уровни на всех временных интервалах определяются одинаково, то это заблуждение.

Опытные трейдеры, работающие с прайс экшен, знают, что дневные свечи содержат значительно больше информации, чем часовые. Если рассматривать каждую свечу как отражение борьбы между быками и медведями, то на более крупных таймфреймах эта картина становится более ясной — здесь четко видно, где начиналась атака той или иной стороны.

С 1.06.2023 году вступили в действие новые требования к сертификатам для подписи кода (aka CodeSigning), которые значительно осложнили жизнь разработчиков ПО. Суть изменений - прощай старый добрый PFX, закрытые ключи теперь должны быть неизвлекаемыми и некопируемыми. Примеры изменений у поставщиков: раз, два, три - в общем-то у всех одно и тоже.

Мы, как российские разработчики, оказались точно также затронуты этими нововведениями. Эта статья родилась как итог экспериментов и проб по преодолению новых вызовов, появившихся на ровном месте, потому что кто-то решил, что...

Приветствую, Хабр! Я продолжаю освещать режимы шифрования блочных шифров и сегодня расскажу про режим CTR (Counter), а также разберу решение задачи CTRIME, в которой этот режим используется. При этом в задаче напрямую не используется уязвимость самого режима шифрования, решение будет построено на основе уязвимости CRIME. Впрочем, про уязвимость в CTR я тоже расскажу.