Криптография *

Скорее всего, если вы нашли эту статью не через поиск - вам она вряд ли понравится. Тут рассматривается решение конкретной задачи для конкретных нужд.

Привет, Хабр и читатели! В своей прошлой статье про написание скрипта на PowerShell для отслеживания сроков действия сертификатов я упоминал о том, что, по роду своей нынешней деятельности, мне очень часто приходится разворачивать разные сервисы. Практически все современные сервисы требуют сертификаты безопасности для обмена данными. В этой статье-туториале я расскажу, как создать скрипт на PowerShell, который позволит (и упростит) создавать сертификаты субъекта для сервисов, подписанные вышестоящим root сертификатом, а также будет упаковывать ключи в формат .pfx, создавать цепочку .pem. Статья будет в виде подробного туториала, чтобы охватить как можно больше аудитории (а она разная) и в основном для тех, кто будет это делать впервые и ещё слабо знаком с OpenSSL и PowerShell.

Конкретная демонстрация работы скрипта показана в самом конце статьи с помощью GIFки, и там же (в конце) я поделился полным скриптом. Начнём разбираться?

ЕСИА даёт возможность пользователям зайти в государственный или негосударственный сервис, чтобы подать заявление, сдать отчет или обратиться в органы власти. ГИС ЖКХ, Работа России, портал ФНС России, ЦИАН и Авто.ру - этот список ежегодно пополняется. Для успешного подключения к системе важно соблюдать определенные требования и следовать установленным этапам интеграции.

В этой статье мы рассмотрим основные организационные аспекты подключения информационных систем к ЕСИА, а также один из вариантов его реализации.

В практической криптографии особое внимание уделяется атакам по побочным каналам (side-channel attacks). Они позволяют злоумышленникам извлекать секретную информацию, не взламывая сам алгоритм шифрования, а лишь анализируя особенности его исполнения на физических устройствах. Эти атаки особенно опасны, поскольку обходят традиционные способы защиты.

Такие косвенные методы атак становятся возможны потому, что вычислительные устройства в процессе работы поглощают электрическую энергию, излучают электромагнитные и акустические волны, а также исполняют инструкции за разное время. Всё это происходит в зависимости от изменения данных на регистрах и может нести информацию о ключе шифрования, нарушая секретность по Шеннону.

К атакам по побочным каналам потенциально уязвимы даже самые передовые криптографические схемы, включая постквантовые, разрабатываемые на будущее для противодействия взлому с использованием квантового компьютера.

Методам защиты постквантовых криптографических схем от атак по побочным каналам посвящено исследование заместителя руководителя лаборатории криптографии по научной работе компании «Криптонит» Ивана Чижова и магистра МГУ Дмитрия Смирнова. Данное исследование представлено в рамках выступления на конференции РусКрипто’2025. В нём рассматривается группа схем постквантовой электронной подписи, построенных на основе протокола идентификации Штерна. Одной из них является российский «Шиповник» – разработка экспертов-криптографов компании «Криптонит» в рамках деятельности рабочей группы Технического комитета Росстандарта (ТК 26).

В статье приводятся оригинальные модули Python и даётся пояснение по их применению в задачах распределённой децентрализованной сети по типу блокчейн или, другими словами, в процессах самоорганизованной критичности (SOC). В научных публикациях чаще встречается физический термин SOC в качестве концепции, включающей процессы турбулентности, детонации, землетрясения, нейросети, фондовая волатильность, социальный рейтинг и другие.

Для процессов SOC характерно отсутствие управляющих параметров и масштабная инвариантность. Универсальность сложных процессов SOC со степенным законом Power law имеет тот же характер, как и универсальность простых линейных систем, не обладающих масштабной инвариантностью, по отношению к закону нормального распределения вероятности.

Зависимость от масштаба возникает при аналого-цифровом преобразовании битов в позиционную систему счисления и проявляется в законе нормального распределения вероятности в виде дисперсии и математического ожидания. Потеря масштабной инвариантности в позиционной системе счисления компенсируется приобретением принципа причинности. Например, в Древнем Риме, где была принята непозиционная система счисления, вычисляли, что «после того - не вследствие того» и сильно удивились бы истории с падающим на Ньютона яблоком.

Значительные достижения в анализе Big data заставляют предположить связь с распределением вероятности Пуассона: чем больше данных, тем чаще должны встречаться пуассоновские события и вопрос лишь в поиске подходящей метрики и системы счисления.

Хакер делает из любви то, что другие не стали бы делать и за деньги.

Недавно я помог компании восстановить их данные после атаки программы-вымогателя Akira без выплаты выкупа. Я делюсь тем, как я это сделал, вместе с полным исходным кодом.

Код доступен здесь: https://github.com/yohanes/akira-bruteforce

Для ясности, несколько вариантов программ-вымогателей были названы Akira за эти годы, и несколько версий сейчас находятся в обращении. Вариант, с которым я столкнулся, активен с конца 2023 года по настоящее время (компания подверглась взлому в этом году).

Была более ранняя версия (до середины 2023 года), которая содержала ошибку, позволившую Avast создать дешифратор. Однако, как только это было опубликовано, злоумышленники обновили свое шифрование. Я ожидаю, что они снова изменят своё шифрование после того, как я опубликую эту информацию.

В этой статье поговорим о блочном симметричном шифровании, а также способе взлома - линейном криптоанализе. Для исследования реализуем программное обеспечение, наглядно показывающее алгоритм шифрования и его взлом.

В качестве изучаемого шифра возьмем сильно упрощенную версию шифра DES и AES. Шифр AES является одним из самых распространённых алгоритмов симметричного шифрования. Любой современный процессор поддерживает аппаратное ускорение алгоритма AES.

Автоматическое подписание документов электронной подписью используют там, где требуется пакетная подпись документов без участия сотрудника. Это могут быть как небольшие сайты, например по продаже билетов в театр и музей, или порталы с онлайн-обучением при отправке сертификатов о прохождении курсов, так и крупные банковские приложения, например, при генерации выписок по счетам, форм договоров или квитанций. В ЕСИА, СМЭВ, ГИС ЖКХ и других государственных информационных системах также реализована автоматическая подпись.

В этой статье реализуем автоматическое подписание для PDF-файлов и добавим штамп «Документ подписан электронной подписью».

Продолжаем разговор о базе знаний по старту карьеры в кибербезопасности

CTF (Capture The Flag) - это такая специфичная олимпиада, ну или хакатон (кому какая аналогия ближе) от мира кибербезопасности, точнее, от его красной части… По сути, это соревнование по легальному взлому с целью добыть ключи (флаги) в том или ином приложении.

Соревновательный дух, проверка себя, возможность выиграть неплохие призы - это, конечно, всё отлично, но, помимо этого, участие в CTF может принести пользу и в других аспектах.

Так, например, если вы только планируете поступать в вуз на направление информацимонной безопасности, участие в его CTF может помочь вам заранее наладить контакты, а, иногда, и вовсе, дать бонус при поступлении (если говорить про российские вузы, то они не сильно любят создавать сайты под свои CTF - лучше искать информацию по соцсетям, мессенджерам и сайтам самого вуза).

Если же вы уже занимаетесь поиском работы в кибербезопасности, а, особенно, в направлении red team, то команды, хорошо показавшие себя в CTF (особенно, в CTF, проводимых или спонсируемых этими компаниями), часто, вне очереди получают приглашения на интервью.

Ниже постарался собрать основные сайты крупных CTF. По ссылке доступна обновляемая версия с рабочими фильтрами по стране и организатору. Для добавления своего соревнования в список, можете писать в комментариях к посту...

Продолжаю делиться информацией о своей базе знаний по старту карьеры в кибербезопасности. Судя по всему, предыдущий пост про сайты с практическими заданиями, людям пришёлся по душе, поэтому, сегодня продолжим разговор о практике...

Итак, вы потренировались на сайтах, которые иммитируют самые популярные ИБ-продукты - все эти SIEM-ки, NGFW-шки, EDR-ы... И поняли, что хотите получить опыт ещё более приближенный к практике - иммитация вас не устраивает. Что делать в таком случае? Собирать свою мини-систему защиты на реальных, "боевых" продуктах. Благо, некоторые вендоры предоставляют их в бесплатное пользование, да и Open-source ПО в реальных системах используется немало.

Всё описанное ниже подходит, в первую очередь для людей, которые планируют в будущем заниматься внедрением средств защиты, но полезно будет и для потенциальных участников красной и синей команд - так, например, прописывание или настройка коннекторов в тех же SIEM, часто ложится на плечи инженеров SOC 1 линии. Да и для пентеста неплохо бы понимать, как работает и настраивается то или иное средство защиты.

Приветствую, Хабр! Я к вам возвращаюсь с новой статьёй о режимах шифрования и решении задачи с Cryptohack. Сегодня в центре внимания будет режим CFB-8 и уязвимость CVE-2020–1472.

Стеганография — древнее искусство сокрытия информации, которое обрело новую жизнь в цифровую эпоху. В отличие от криптографии, где мы шифруем содержимое сообщения, стеганография прячет сам факт существования секретной информации.

Представьте: вы отправляете безобидную фотографию в социальной сети, но внутри нее скрыто сообщение, которое увидит только нужный человек. Или пересылаете документ, содержащий невидимую цифровую подпись для подтверждения авторства. Все это — примеры современной стеганографии.

Сегодня этот метод используется как в легальных целях (защита авторских прав, цифровые водяные знаки), так и злоумышленниками для обхода защитных систем. Поэтому специалистам по информационной безопасности критически важно понимать принципы работы стеганографических систем и методы их анализа.

В этой статье мы разберем основы стеганографии, проанализируем возможные атаки на стегосистемы и способы защиты от них.

strongSwan — опенсорсная имплементация IPsec, фреймворка VPN. Несмотря на полувековой стаж, проект продолжает развиваться: последняя на сегодня версия приложения вышла в декабре. У него подробная документация, есть блог с CVE и публичная база тестов. По полезной пропускной способности, задержке и утилизации CPU strongSwan превосходит Wireguard, но остаётся в тени — из-за сложности и малой пригодности для обхода блокировок. Зато перед теми, кто не ленится, он открывает широкий простор для экспериментов.

Меня часто спрашивают, как лучше всего строить свою карьеру в кибербезопасности - где изучать теорию, где отрабатывать знания на практике и т.д. Если без шуток, то вопросы, действительно, периодически поступают, и они, часто одни и те же. Поэтому, я решил собрать всю доступную мне инфу в единую базу знаний. Периодически её пополняю. И вот сегодня решил рассказать о ней на хабре. Собственно, начать решил с, наверное, одного из ключевых пунктов - с практических задач для отработки полученных знаний.

Сайтов с такими задачами существует много. Скорее всего, тут собрана даже не половина. Но я постарался охватить самые полезные/популярные из них.

То есть:

Привет, Хабр! Я – Петр, эксперт по ML/AI (и не только) в Skillbox (и не только), а ещё – CEO межбанковской скоринговой платформы Bloomtech. Так уж вышло, что я неплохо разбираюсь в разных PET (Privacy-Enhancing Technologies) и уже писал на хабре про совместные конфиденциальные вычисления. Сегодня повышаю градус и рассказываю про магию следующего порядка: слепую (забывчивую) передачу или oblivious transfer. Как обычно, на примере.    

Вообразите, что уже знакомая нам Алиса поддерживает большой, более или менее регулярно обновляемый телефонный справочник и решает это дело монетизировать. Например, сделать сервис-определитель номеров.  Архитектура напрашивается такая:

В предлагаемой статье приводится полная списочная многострочная модель (СММ) составного полупростого числа N и перечень вопросов, сопровождающих ее описание. Ответы на вопросы предлагается находить самим читателям. Найденные правильные ответы, либо комментируемые другими читателями, обеспечат глубокое понимание проблем, связанных с подобными числами и задачами. Выбор самих чисел предопределен их широким использованием в области информационной безопасности.
Рассматривая строки модели, особенно ее средней части читателя могут удивлять появления в строках квадратичных вычетов полных квадратов, возникающие интервалы между строками с кратными значениями делителей числа N, поведение средних вычетов и, возможно, что-то еще.

В предлагаемой вниманию читателей модели роль исследуемого числа отводится модулю N КЧКВ, т.е. N задан (может быть большим) и требуется в одной из задач отыскивать делители N.

Для моделирования выбрана простая зависимость (линейная) N = х1 + хо. Очевидно, что список представлений такой модели конечен, и для чисел ограниченного размера может быть легко построен в форме таблицы, содержащей S =½ (N –1) строк. Модель названа списочной многострочной моделью и кратко обозначается (СММ, СМ-модель).

Как часто вы открывали сделку на пробой уровня, а затем цена разворачивалась против вас? Ложный пробой случается достаточно часто и является проблемой для многих трейдеров, которые покупают на максимумах и продают на минимумах.

Торговля на пробой — это достаточно популярная и жизнеспособная торговая стратегия. Однако некоторые пробои часто оказываются ложными. Это может быть довольно неприятно, не говоря уже о том, что это часто может привести к убыточной сделке.

Однако во многих случаях опытный трейдер может проанализировать ситуацию на рынке и отреагировать на нее соответствующим образом. Ложные пробои могут принести прибыль, если вы знаете, как правильно их торговать.