Криптография *

Редкий четырёхроторный шифровальный аппарат Enigma M4 1944 года был продан на аукционе Christie's за 347 250 фунтов стерлингов ($437 тысяч). Победившая заявка была чуть выше максимальной оценки, ожидаемой в ходе аукциона (300 000 фунтов).

15 июля начинается эксперимент по использованию российской криптографии в государственных информационных системах. При этом будут использоваться только российские криптографические алгоритмы и средства шифрования (алгоритм шифрования «Кузнечик» и другие) и только российские TLS-сертификаты.

Согласно постановлению правительства # 963 от 30 июня 2020 года, в пилотном проекте участвуют Государственная информационная система ЖКХ (ГИС ЖКХ), федеральные государственные информационные системы «Реестры программ для электронных вычислительных машин и баз данных», Единый портал государственных и муниципальных услуг (ЕПГУ) и Единая государственная информационная система социального обеспечения (ЕГИССО).

После длительного нажатия на кнопку питания смартфон перезагружается в зашифрованную операционную систему EncroChat OS с мессенджером EncroChat и другими криптографическими приложениями

Сверхсекретная система связи, используемая преступниками для торговли наркотиками и оружием, была успешно взломана, сообщает Национальное агентство Великобритании по борьбе с преступностью (National Crime Agency).

Более 800 торговцев оружием и наркотиками задержаны после того, как сообщения на EncroChat были перехвачены и расшифрованы.

NCA объявила, что эта операция, проведённая совместно с коллегами из нескольких стран Евросоюза, стала «самой большой и самой значительной» операцией правоохранительных органов Великобритании. Всего изъято более двух тонн наркотиков, несколько десятков пистолетов и 54 миллиона фунтов стерлингов наличности.

Атака CrossTalk эксплуатирует недокументированный и ранее неизвестный общий буфер, который совместно используют ядра процессоров Intel. Эта первая в мире кросс-ядерная атака на Intel CPU делает бесполезной защиту через отключение гипертрединга и изоляцию задач по разным ядрам

Похоже, архитектурные проблемы процессоров Intel оказались серьёзнее, чем можно было предположить. Уязвимости, связанные со спекулятивным выполнением команд, снова проявили себя. В июне 2020 года опубликованы две новые атаки SGAxe и CrossTalk. Они позволяют извлечь конфиденциальные данные из анклава Software Guard eXtension (SGX), самой защищённой области в процессорах Intel.

Это не первые атаки на анклав SGX в Intel CPU. Он был скомпрометирован ещё в 2018 году атаками Meltdown и Spectre. Полностью исправить архитектурные изъяны по сути невозможно. Но теперь ситуация усугубилась, поскольку предложенные Intel защитные меры (изоляция процессов по разным ядрам и отключение гипертрединга) фактически дискредитированы.

Специалист по безопасности из Дели Бхавук Джайн обнаружил 0day в системе авторизации «Вход с Apple». Уязвимость действительно значительная. Как продемонстрировал хакер, для авторизации в чужой учётной записи достаточно только идентификатора электронной почты жертвы, причём эксплоит очень простой.

Баг может привести к полному захвату чужих аккаунтов на сторонних платформах, которые установили кнопку «Войти с Apple» (Spotify, Dropbox и др.), независимо от того, использует человек электронную почту Apple или нет.

Госдума РФ приняла в третьем чтении законопроект № 953580-7 «О внесении изменений в отдельные законодательные акты Российской Федерации в целях принятия неотложных мер, направленных на обеспечение устойчивого развития экономики и предотвращение последствий распространения новой коронавирусной инфекции».

Законопроект переносит с 1 июля 2020 года на 1 января 2021 года сроки вступления в силу положений, касающихся аккредитации и функционирования доверенных третьих сторон, удостоверяющих центров, осуществляющих хранение ключей подписи и позволяющих дистанционно ими управлять (облачная квалифицированная подпись), участие в процедуре аккредитации специальной правительственной комиссии, а также положений, связанных с применением специальных структурированных электронных машиночитаемых доверенностей.

Кроме того, он обязывает аккредитованные УЦ бесплатно продлить на 3 месяца действие выданных ранее квалифицированных сертификатов и ключей ЭП, срок действия которых истекает до 1 августа 2020 г.

Новый участник присоединился к конференции, но ещё не получил ключ шифрования

Свободное приложение для видеоконференций Jitsi Meet реализовало сквозное шифрование (end-to-end), где обмен ключами происходит между участниками видеоконференции без участия сервера, как сейчас.

Публичное тестирование здесь.

Замечания и предложения принимаются в репозитории E2EEContext.js.

Обманное сообщение в приложении Zoom

Компания SpaceX запретила своим сотрудникам использовать приложение для видеоконференцсвязи Zoom из-за «значительных проблем конфиденциальности и безопасности». Уведомление разослано по внутренней почте через несколько дней после того, как американские правоохранительные органы предупредили пользователей о безопасности популярного приложения.

За последние три месяца количество пользователей Zoom выросло в двадцать раз: с 10 млн до 200 млн человек. Одновременно в программе обнаружен десяток новых уязвимостей и сомнительных функций. Среди них — автоматическая установка на компьютер без участия пользователя, автоматическое добавление в контакты посторонних лиц, удалённое получение рута под macOS, автоматическое преобразования путей к файлам в кликабельные ссылки (для получения хэшей NetNTLM от жертвы под Windows) и др.

_{Фото: driving.ca}

Исследователи KU Leuven в Бельгии и Университета Бирмингема в Великобритании выяснили, что в чип-ключах DST80 системы защиты от Texas Instruments есть уязвимость, которая делает возможным их клонирование. Таким образом, модели Toyota Camry, Corolla и RAV4, Kia Optima, Soul и Rio, Hyundai I10, I20 и I40, которые работают с этой системой, оказываются под угрозой.

Вчера Mozilla включила DNS-шифрование по умолчанию у американских пользователей. Инфраструктура будет нагружаться постепенно, а полное развёртывание функции займёт около двух недель.

Разработанный Mozilla, Google и Cloudflare протокол DNS-over-HTTPS (DoH) сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас злоумышленник может отслеживать содержимое DNS-пакетов и даже подменять их.

_{Источник: MIT News}

Исследователи Массачусетского технологического института (МТИ) предлагают использовать криптографические метки для борьбы с контрафактом. По мнению учёных, это может сэкономить компаниям миллиарды долларов.

_{Фото: Alicia Watkins/Flickr}

Полиция в индийском Кашмире, где доступ к Facebook, WhatsApp и Instagram заблокирован приказом администрации от 14 января, начала бороться с теми, кто пытается обойти блокировки при помощи VPN или прокси. Возбуждаются уголовные дела.

Самое безопасное в мире приложение для обмена сообщениями готовится составить конкуренцию WhatsApp

Если вы ожидаете увидеть здесь что-нибудь про баттлы с телеграмом или особенности работы сквозного шифрования, то спешу огорчить — «это уже было в Симпсонах», рекомендую пропустить новость. Речь пойдёт только о наборе сервисом популярности, но если прям очень хочется, я добавил ссылки на статьи по этим темам других хабровчан внизу.

Примерно месяц назад Мокси Марлинспайк летел в самолете, и его сосед, пожилой мужчина, попросил помочь включить авиарежим на своем стареньком Android-смартфоне. Когда Марлинспайк увидел экран, он подумал, что его разыгрывают: среди лишь нескольких приложений, установленных на телефоне, был «Signal», запущенный им пять лет назад. Он считается наиболее защищенным мессенджером со сквозным шифрованием в мире, но, разумеется, мужчина в самолете этого не знал.

Марлинспайк в телефонном интервью для Wired на следующий день заявил: «Приложение, которое мы пытаемся создать, должно быть доступным и для людей, которые даже не знают, как включить авиарежим на телефоне». Он всегда говорил о том, как сделать зашифрованные сообщения достаточно простыми для использования. А поговорим мы о том, что «Signal» достигает той массовой аудитории, для которой он всегда был предназначен, а не только приверженцам конфиденциальности и кибербез-нердам, годами формировавшим его основную пользовательскую базу.

На самом низком уровне взаимодействие между узлами TON производится по протоколу UDP. Узел зашифровывает пакет открытым ключом получателя и добавляет в начало пакета 256-битный адрес получателя. Источник: «TON: Telegram Open Network. Часть 1: Вступление, сетевой уровень, ADNL, DHT, оверлейные сети»

На неофициальном сайте Telegram Open Network опубликована инструкция по настройке прокси для доступа к TON Sites и созданию новых сайтов в сети Telegram Open Network.

В силу особенностей архитектуры пользователей Telegram Open Network значительно сложнее идентифицировать. Эта одноранговая сеть (P2P) защищена встроенным прокси и анонимайзером. По такому же принципу функционируют известные проекты анонимных одноранговых сетей вроде I2P и Tor.

Уходящий год запомнился шумихой вокруг применения электронной подписи (далее — ЭП) в мошеннических целях.

Началось всё с того, что я запостил инструкцию о том, как зарегистрировать переход права на недвижимость с помощью ЭП. Затем то ли, это совпадение, то ли «не думаю», но появились посты о том, что Мошенники переоформили квартиру в Москве с помощью поддельной цифровой подписи, что электронный ключ, позволяющий переоформить квартиру, можно получить на любого человека, и даже по похожей схеме получилось зарегистировать на граждан юрлица — последний пост даёт неплохой обзор о состоянии законной части вопроса.

И вот, менее чем через год законодатель ответил на вызовы времени — в Госдуме проходит чтения законопроект 747528-7.

Руководитель «Сбербанка» Герман Греф предлагает внести изменения в законопроект об электронной цифровой подписи, который Госдума приняла в первом чтении в ноябре 2019 года.

Новый закон сильно ужесточает требования к выдаче усиленных квалифицированных электронных подписей (УКЭП) — цифрового аналога собственноручной подписи и печати, который создаётся с помощью сертифицированных ФСБ средств шифрования. С помощью УКЭП организации и граждане обмениваются юридически значимыми документами в электронном виде, заключают сделки, в том числе о купле-продаже недвижимости.

Сегодня КЭП выдаются повсеместно: в России насчитывается почти 500 удостоверяющих центров (УЦ), в том числе банки, страховые компании, биржи, брокеры, «Почта России», частные ИТ-компании и т. д. Главная проблема — недостаточная идентификация клиентов удостоверяющими центрами. Сотни коммерческих УЦ предлагают получить цифровую подпись по копии паспорта или в офлайне по ксерокопии. Триггером для внесения изменений в закон «Об электронной подписи», возможно, стали недавние истории, как с помощью электронной подписи воруют квартиры и как мошенники оформляют на ничего не подозревающих граждан фиктивные фирмы.

Разработчики Brave опубликовали первую версию браузера со встроенной защитой от рекламы или платой за её просмотр.

Браузер работает в двух режимах приватности. Первый аналогичен любому другому режиму инкогнито: данные о посещенных страницах не сохраняются на устройстве, но их все равно могут просматривать сайты, которые вы посещаете, а также сетевые администраторы или интернет-провайдеры. Для дополнительной безопасности у Brave есть ещё один режим — с использованием Tor, в котором информация зашифровывается и передаётся через несколько узлов.

Исследователи из Вустерского политехнический института США, Любекского университета Германии и Калифорнийского университета в Сан-Диего выявили две уязвимости в TPM-процессорах. Проблемы под общим названием TPM-FAIL делали возможным для злоумышленников похищать хранящиеся в процессорах криптографические ключи.

Уязвимость CVE-2019-11090 затрагивает технологию Intel Platform Trust (PTT). Данное программное TPM-решение от Intel fTPM применяется в серверах, ПК и ноутбуках. Его используют большинство производителей компьютеров, включая Dell, HP и Lenovo. Также Intel fTPM широко используется в семействе продуктов Intel Internet of Things (IoT) для промышленности, здравоохранения и транспортных средств.

Другая уязвимость CVE-2019-16863 затрагивает чип ST33 TPM производства STMicroelectronics, который применяется на устройствах начиная от сетевого оборудования и заканчивая облачными серверами. Он является одним из немногих процессоров с классификацией CommonCriteria (CC) EAL 4+, то есть поставляется со встроенной защитой против атак по сторонним каналам.

На Надвоицком алюминиевом заводе (НАЗ), который находится в Карелии, собираются майнить криптовалюту. Займётся этим компания Russian Mining Company (RMC), созданная при участии интернет-омбудсмена Дмитрия Мариничева. Для этого предприятие собирается арендовать помещения завода.

Завод принадлежит компании «Русал». Он был законсервирован в прошлом году из-за санкций США. После их введения предприятие больше не может поставлять свою продукцию в эту страну. Представитель компании подтвердил, что RMC действительно будет арендовать площади завода и отметил, что она будет не единственным арендатором на НАЗе.

В ноябре 2019 года правительство собирается запустить масштабный двухлетний эксперимент по выдаче и использованию облачной электронной цифровой подписи (ЭЦП), сообщает РБК. Минкомсвязи уже подготовило проект постановления правительства. По словам представителя Минкомсвязи Евгения Новикова, проект постановления правительства находится в стадии обсуждения с заинтересованными ведомствами.

Усиленная квалифицированная ЭЦП позволит гражданам и организациям дистанционно оформлять простые сделки. Например, подписывать договоры об услугах связи, заключать сделки на электронных торговых площадках, оформлять договоры купли-продажи недвижимости. Такой вид подписи даёт самые широкие полномочия и является аналогом собственноручной подписи.