Криптография *

Лишь вследствие нашей слабости, вследствие нашего невежества случайность для нас существует

А. Пуанкаре

Чем больше люди постигали тайны Вселенной, тем ближе они приближались к той точке незнания, в которой их предки все приписывали богам. Теперь это называется – случайность. И хотя Эйнштейн не верил в случайность – он говорил «Бог не играет в кости», – он в числе первых из списка: Эйнштейн, Шредингер, Лаплас…

В наш век цифровых технологий и огромной роли информации в развитии человечества защита информации – актуальнейшая задача. Технологическое решение этой задачи предполагает привлечение «случайности», а именно – генерацию случайных чисел. При этом от качества используемых генераторов напрямую зависит качество получаемых результатов. Это обстоятельство подчёркивает известный афоризм Роберта Р. Кавью из ORNL: «генерация случайных чисел слишком важна, чтобы оставлять её на волю случая».

«Золото ботаников» вызвало небывалый ажиотаж на рынке

Свежий сюжет телекомпании НТВ, посвященный криптовалюте Bitcoin/

Ажиотаж вызвала никому неизвестная виртуальная валюта bitcoin — ее еще называют «золотом ботаников». Причем все серьезно: список финансовых пузырей от тюльпанов Голландии XVII века до американской ипотеки пополнился виртуальной валютой bitcoin.

Из-за происходящих событий на биржах, только ленивый не прочитал о том, что такое Bitcoin, но многие не только прочитали, но и захотели приобрести себе «кусочек счастья» в надежде на дальнейший рост валюты.

Но у многих желание отбилось после того, как они узнали, что для работы оригинального кошелька требуется скачать около 9ГБ данных.

К счастью, есть и альтернатива «родному» клиенту — Electrum.

Помните старые, добрые времена, когда Bitcoin стоил 30$ штука (это было всего месяц назад)?
Все это в прошлом. Обменный курс стал трехзначным, т.е. превысил 100$ за 1 BTC.

Месячный объем торгов — превышает 150 млн$, а размер денежной массы — впервые превысил 1 млрд $.

Сложность майнинга (подбора хэшей SHA256, необходимых для проведения платежей в системе — за что полагается часть эмиссии биткоинов) за последний месяц резко возросла — т.к. заказчикам наконец стали приходить специализированные компьютеры производства Avalon с процессорами, заточенными именно под расчет SHA256. Butterfly Labs же пока создать такую систему не смогла, хотя обещала поставки 7 месяцев назад и до сих пор принимает предзаказы.

Под катом — несколько фотографий майнера от Avalon.

Совсем недавно состоялся выпуск бета версии новой программы для P2P-обмена зашифрованными сообщениями между двумя пользователями или группой пользователей. Выпуск бета версии Bitmessage состоялся 21 марта В ней используется сильная криптография, которая надёжно защищает абонентов от прослушивания на уровне интернет-провайдера (СОРМ) или на сервере, как в случае Skype и других, которые пропускают трафик через себя.



Дальнейшее описание с исходниками под катом.

Графический пароль

Графический пароль – метод разблокировки мобильных устройств путем выполнения определенных операций над сенсорным экраном, результатом которых является получение доступа к устройству. Речь пойдет именно о таких устройствах, т.к. в обычных персональных компьютерах обычно отсутствуют сенсорные экраны, а для аутентификации в программах чаще используется пара логин — пароль.

Динамический графический пароль

Динамический графический пароль — аутентификация пользователя на устройстве без отображения постоянного пароля, в каком – либо виде, так чтобы, например, посторонний человек не смог понять, что за пароль был введен, даже запомнив все действия которые легальный пользователь выполнил при вводе пароля, и даже запомнив динамический пароль, в данном случае речь пойдет именно о динамическом графическом пароле.

Как известно, конкуренция является двигателем развития любой отрасли, обеспечивая наиболее эффективное распределение ресурсов. Совершенная конкуренция в современном мире сохранилась, пожалуй, только в одном месте – на биржах.

О том, что такое биржа и чем она отличается от обычного рынка, на Хабре много рассказывалось. Прочитайте, например, серию статей IPO for dummies. Отмечу лишь, что на бирже идёт торговля стандартизированным товаром, покупатели и продавцы конкурируют только по цене.

Товаром на бирже может быть всё, что угодно: зерно, металлы, валюта, ценные бумаги и т. д. В форме биржи, как наиболее справедливой и удобной, торгуют seo-ссылками, баннерными показами, электронной валютой. Так почему же не торговать тем, что лежит в основе IT-индустрии – вычислительными ресурсами.

Сегодня, около часа ночи UTC, по сети Bitcoin было разослано экстренное предупреждение остановить поиск новых блоков (майнинг) на клиентах версии 0.8. На bitcointalk.org появилось сообщение, призывающее к тому же. Кроме того, предлагалось приостановить любые действия связанные с отправкой BTC.

Сегодня ночью участником dev-team Питером Уилли (Pieter Wuille) была выявлена проблема работы биткоин-клиента версии 0.7, о чём он незамедлительно сообщил сообществу (обсуждение здесь). При дальнейшем исследовании проблемы было выявлено две цепочки блоков, сгенерированные клиентами версий 0.7 и 0.8 соответственно. Скорее всего, будет произведён откат до цепочки, сгенерированной версией 0.7.

На недавней конференции RSA выступили отцы-основатели современной криптографии с открытыми ключами — Уитфилд Диффи, Рональд Ривест, Ади Шамир, а также наш любимый (для тех, кто учится на Coursera) профессор Ден Боне. Участники делятся своими взглядами на современное состояние компьютерной безопасности, обсуждают недавно опубликованные факты массовых хакерских атак на американские компании и рассказывают о своих текущих исследованиях.

Зак Харви и Мэтт Уитлок — предприниматели и энтузиасты Биткоин — создали прототип терминала для обмена наличных долларов на биткоины. Они планируют продавать такие банкоматы магазинам, кафе и ресторанам, принимающим биткоин. Одновременно с постепенным распространением криптовалюты, как признанного платёжного средства в интернете (их принимают Wordpress и Mega, за биткоины можно заказать пиццу, и ими даже стали выплачивать зарплату в Internet Archive), некоторые оффлайн-предприятия, особенно расположенные в зонах высокой концентрации гиков, таких как Сан-Франциско, тоже начали принимать биткоины. Например, ими можно расплатиться в местной кондитерской.

Вчера состоялся релиз Bitcoind и Bitcoin-Qt версии 0.8.0

Bitcoin — это цифровая, децентрализованная криптовалюта которая предназначена для проведения безопасных транзакций, которые невозможно отменить, она неподвластна ни банкам ни странам.

Bitcoin — распределенная цифровая криптовалюта, с её помощью можно совершать платежи которые нельзя отследить* или же отменить.

Это достигается децентрализованностью, в сети нет банков, в то же самое время, при совершении платежа вы можете включить комиссию в платеж.

Внутри: Зачем нужна комиссия в сети Bitcoin, можно ли её не платить.

Ким Дотком намерен серьёзно расширить набор предоставляемых сервисов. Вчера он анонсировал в твиттере, что в «ближайшие годы» запустит почту, голосовой и видеочат, а также выпустит мобильное приложение. Всё будет основано на шифровании и других функциях, гарантирующих защиту информации.

Потенциальная аудитория аудио- и видеочата — это нынешние пользователи Skype, недовольные политикой безопасности Skype/Microsoft. То же самое касается почты: многим не нравится, что Gmail, Hotmail и другие провайдеры годами хранят логи доступа и прочую информацию, предоставляя эти данные по запросам государственных структур. Например, по закону Foreign Intelligence Surveillance Act Amendments Act спецслужбы США имеют права доступа без ордера к файлам иностранного гражданина на облачном хостинге любой американской компании. Из-за этого граждан Евросоюза предостерегают от использования американских облачных сервисов. На Google тоже нет надежды: представители компании дали понять, что никогда не будут шифровать почту пользователей, потому что в этом случае не смогут показывать контекстную рекламу.

Весьма красочно иллюстрирует размышления на тему шифрования изображение с xkcd.com.



Но если продолжить размышления и попытаться решить проблему методами ИТ, то может родиться нечто интересное. Читателям предлагается статья-описание алгоритма, который мог бы помочь «тому с зашифрованным ноутом» с картинки выдать изображенным злоумышленникам пароль без потери важной информации. Разумеется, для этого ему пришлось бы хорошенько подготовиться, помнить несколько паролей и постоянно испытывать недостаток свободного места на компьютере, т.к. изложенный алгоритм в этом плане может быть прожорлив (если владелец захочет снизить риски быть уличенным во лжи).

Итак, если кратко, то владелец «такого ноута» при использовании изложенного алгоритма будет помнить несколько паролей, каждый из которых является ключом к своему «сейфу» (контейнеру файлов). Владелец определяет то, как распределить информацию среди контейнеров. Соответственно, он может создать несколько подставных контейнеров с заведомо ложной информацией. Итогом проиллюстрированных угроз может стать выдача пароля от одного из таких «сейфов». В случае, если злоумышленники хорошо знакомы с излагаемым алгоритмом, можно, например, выдать еще 1 или 2, и/или сказать, что больше контейнеров в этом архиве нет, а все остальное — случайная информация.

Интро: В первой части мы рассмотрели стандартную структуру модуля для Битрикс. Дальнейшим логичным шагом в разработке платёжного модуля будет выбор процессинга, о чём я и хотел бы рассказать. В данной статье я попытаюсь оценить текущую ситуацию в мире Bitcoin.

Дисклаймер: Все написанное ниже является набором субъективных оценок автора вперемешку с фактами и не претендует на звание истины в последней инстанции.

Привет, %username%!
Мне, как ни разу не профессиональному математику и криптографу, редко бывает сразу понятно как устроен тот или иной алгоритм. И тем более, почему его выбирают.
Так и с новым стандартом SHA-3. Выбрали какой-то Keccak, спасибо камраду NeverWalkAloner, привел его описание. Но лично мне так и не стало понятно как он работает и в чем его фишка. Давайте разбираться.

В конце статьи будет небольшой бонус параноикам в виде информации к размышлению о стойкости SHA-2

Добрый день!
Будучи простым российским… неважно кем, я обычно не пишу статьи, а тихонько их читаю (мы, неважно кто, любим тишину). Однако, недавно мое внимание привлекло обилие англоязычных статей о (не)безопасности милого душе сервиса Mega. Поскольку в русскоязычной среде вопрос обсуждается менее бурно, я решил предложить вашему вниманию небольшой дайджест публикаций о «скандалоинтригах и расследованиях», недавно завертевшихся вокруг сервиса ув. тов. Доткома. Сразу должен предупредить, данная статья не содержит original research, сиречь моего собственного мнения о криптографии в Mega, а лишь стремится проинформировать русскоязычного читателя относительно состояния зарубежной дискуссии на эту тему.

Китай активно блокирует доступ к всяким страшным оппозиционным сайтам (Тянаньмей, 六四事件, 1989, баним Хабр в Китае). Для этого во всю используется DPI — глубокий анализ пакетов. Который позволяет не просто закрывать доступ к IP/доменному имени, а вырезать «лишнее», либо закрывать конкретные страницы. Если какой-то сайт (типа google) начинает использовать SSL, то SSL по этому направлению просто закрывают, оставляя пользователей с http-only.

Однако… Есть в мире сайты, которые Китай не рискует банить. Один из них — github. Если бан gmail или facebook оставит кого-то без любимой почты или возможности увидеть статусы друзей, то бан github'а оставит сотни и тысячи айтишных компаний без доступа к репозиториям open-source приложений и библиотек. А их на гитхабе уже over 5000000. Это означает простой в работе, или даже прекращение деятельности компании (мы-то знаем, что это не проблема, но китайцы свой файрвол воспринимают вполне серьёзно, и русский сценарий «мы всё запретим, а там дальше кому надо сам разберётся» не рассматривают).

При этом github использует SSL всегда. http доступа просто нет. Таким образом, прямой DPI не возможен, а некоторые товарищи, пронюхав про это, начали активно использовать github для обмена информацией о том, как обходить файрвол, адресами прокси-серверов и т.д.

Не желая мириться с подобным, Китай перенаправил трафик github на свои сервера. Разумеется, по HTTPS. И, разумеется, не имея сертификата гитхаба. Таким образом, пользователи китая начали получать предупреждения об ошибке сертификата, а китайская кровавая гэбня получила возможность читать и модифицировать чужие коммиты. Если, конечно, коммитящий или читающий, согласится с тем, что HTTPS с фальшивым сертификатом это нормально. Впрочем, вариантов (легальных) у него нет, т.к. другого варианта доступа к гитхабу не предусмотрено.

Это всё вместе называется man-in-the-middle. И это суровая китайская реальность.

В ноябре этого года Дэвид Мартин, 74-летний британский пенсионер, при ремонте старого камина в собственном доме обнаружил птичьи останки и небольшой герметичный контейнер красного цвета. Из его содержимого стало понятным, что это — недоставленное сообщение голубиной почты Второй мировой войны.

Однако, содержимое послания было зашифровано на случай перехвата, что вполне возможно при таком виде связи. На листе бумаги были напечатаны слова «Голубиная почта» и 27 рукописных блоков кода. Благодаря освещению в СМИ, к загадке сообщения было привлечено внимание любителей криптографии со всего мира, но разгадать шифр так и не удалось. Специлисты относились скептически к возможности взломать код без шифроблокнота или специальной литературы.

Как сообщает Британская широковещательная корпорация, код всё же был расшифрован, и сделал это Горд Янг, историк из Питерборо. С помощью заметок воздушных наблюдений своего прадяди, который служил в 92 эскадроне Королевского лётного корпуса, код был расшифрован в несколько минут. Янг считает, что запись отослал 27-летний сержант Уильям Стотт, стрелок из Ланкашира, который высадился в Нормандии с почтовыми голубями, чтобы доложить о положении немецких вооруженных сил. Сержант Стотт был убит несколько недель спустя, его тело было предано земле в Нормандском военном захоронении.