Криптография *

Обеспечивают ли конфиденциальную связь современные сервисы? В популярных мессенджерах есть функции для этого, используется сквозное шифрование, можно даже проверить исходный код. Это хорошо, но есть риск того, что при форс-мажорных обстоятельствах хозяева сервиса выпустят обновление с бэкдором, позволяющим обходить шифрование и проводить атаку посередине на канал связи интересующих пользователей.
Конфиденциальность может быть гарантирована только в случае, когда она обеспечена самими собеседниками. Как можно реализовать это? Использовать шифрование данных своими ключами. При этом возникает проблема передачи секретного ключа собеседнику. Она надёжно решается при личной встрече. Но что делать, когда такой возможности нет или собеседников по секретным вопросам много? Собеседникам можно действовать по следующему алгоритму:

1. Зарегистрироваться по своему номеру телефона в двух-трёх мессенджерах из разных юрисдикций, в которых есть функции сквозного шифрования. Например, в Телеграм, Signal и Wire.

2. Включить в мессенджерах сквозное шифрование и выключить резервное копирование сообщений.

3. Одному собеседнику сгенерировать и выслать второму составные части ключа шифрования в разных мессенджерах. Например, три части по 85, 85 и 86 (суммарно 256) бит.

4. После приема частей ключа получателю объединить их и хранить в надёжном месте.

5. Обоим собеседникам удалить отправленные сообщения с ключом.

6. Установить у себя приложения для шифрования сообщений. Например,  Secure Text, где используется AES. Отменить у приложения разрешения на доступ к функциям своих устройств связи.

7. Отправлять друг другу ценную личную информацию, зашифрованную своим секретным ключом, по любому удобному каналу связи.

После передачи ключа следует проверить наличие уведомлений о входе в мессенджеры с неизвестных устройств. Если уведомление было, можно повторить шаги 1-3 с новым ключом и регистрацией по номеру другого оператора связи.

Вероятность компрометации сразу нескольких чатов в независимых мессенджерах мала. Но и в этом случае, для получения единого ключа наблюдателю потребуется оперативное взаимодействие агентов из разных юрисдикций, что ещё менее вероятно.  

При обычном общении дополнительные сложности ни к чему, шифровать все подряд не нужно. Описанный метод может пригодиться для передачи особо ценной личной информации, например, финансовой.

Обновили кейс с Гринатом — и не просто освежили текст, а напомнили себе, насколько масштабный и значимый это проект.

Разработка Платформы доверенных сервисов (ПДС) продолжается, и вместе с АО «Гринатом» мы последовательно развиваем систему, которая стала цифровым фундаментом юридически значимого документооборота в атомной отрасли.

В рамках проекта мы реализовали:
— выпуск и учёт всех типов электронных подписей (УКЭП и УНЭП);
— автоматизированную систему управления сертификатами и СКЗИ;
— интеграцию с кадровыми базами, ЕСИА и СМЭВ;
— удобные API для других ИТ-систем;
— масштабирование до 100 000+ пользователей.

Впереди — новые этапы развития: интеграция с ЕБС и другими сервисами. Мы продолжаем делать ПДС удобным, масштабируемым и устойчивым решением для всей отрасли.

Прочитайте обновлённый кейс на сайте и посмотрите, как именно мы решаем нетривиальные задачи в высокорегулируемой среде.

➡️ Читать статью

От механики до цифровой эпохи: шифровальная техника XX века

Музей криптографии представляет коллекцию из 39 единиц шифровальной техники, полученной по распоряжению Правительства РФ. Это рассекреченные образцы отечественных криптографических устройств, созданных с 1950–1960-х годов до начала 2000-х.

Некоторые экспонаты сохранились в рабочем состоянии — у них полностью сохранены внутренние модули. У других рассекречена только внешняя часть (корпус), а секретные модули удалены, поэтому они уже не функционируют. Несмотря на это, каждый из них — уникальное свидетельство технологической истории.

Особое внимание привлекает Kryha Liliput — шифровальное устройство в форме карманных часов, созданное в 1924 году. Более ста лет спустя оно поражает как техническим исполнением, так и эстетикой промышленного дизайна.

Мы поговорили с командой Музея криптографии — директором Лидией Лобановой и руководителем отдела хранения и развития коллекции Людмилой Кузягиной. Они рассказали, как в музее шифровальные машины становятся арт-объектами, как звук 70-летней давности оживает на бумаге и почему цифровое искусство требует такой же заботы, как живопись и скульптура.

Настройка КриптоПро HSM Client на Suse/RedHat/ROSA Linux

Подготовили пошаговую подробнейшую инструкцию со скриншотами для разработчиков информационных систем со встроенными СКЗИ по настройке КриптоПро HSM Client на Suse, RedHat и ROSA Linux (включая ошибки, которые позволяет обойти данное руководство) для того, чтобы использовать HSM как самостоятельный криптографический провайдер с выполнением всей математики на борту или в качестве надежного хранилища ключевого материала.

Заходите, читайте, сохраняйте в закладках.

АНБ США рассекретила внутреннее исследование 1988 года под названием: «Пятьдесят лет математического криптоанализа (1937-1987)».

Магические квадраты с произведением

 О магических квадратах известно, наверное, всё. А возможны ли магические квадраты, в которых равны не суммы значений в строках, столбцах и на диагоналях, а их произведения? Оказывается – возможны. В дальнейшем буду называть такие квадраты «магическими квадратами с произведением» (сокращённо – МКП).

Интересно, что, как и «обычных» магических квадратов, возможно бесчисленное множество вариантов МКП. В общем случае для трёх чисел a, b и n МКП размером 3 × 3 имеют вид:

При этом a ≠ b, a ≠ 1, b ≠ 1, a ≠ b², b ≠ a²,

Интересно, что любой МКП размером 3 × 3 может быть основой для формирования бóльших МКП. Одно из возможных решений заключается в том, чтобы поместить такой  квадрат в центр квадрата 5 × 5 и потом подобрать такие остальные числа, чтобы они соответствовали свойствам МКП. Это означает, что МКП являются также так называемыми «рамочными магическими квадратами» – магическими квадратами, которые сохраняют свое магическое свойство, если в них отбросить окаймляющие «полосы» в две клетки.

После комментариев  @miksoft я удалю сей свой пост

Что такое «совершенные» и «избыточные» числа? Рассказывают эксперты ИТ-компании «Криптонит».

Наверняка вы знакомы с понятием «делители числа». Например, у шестёрки кроме неё самой есть три делителя: 1, 2, и 3. Если сложить их, получится ровно шесть (1+2+3=6). Числа, у которых сумма делителей, не считая самого числа, равна самому числу, называются совершенными.

Если же сумма делителей оказывается больше самого числа, то такие числа называются избыточными. Самое малое избыточное число: 12. У него много делителей: 1, 2, 3, 4, 6. Если их сложить, получится 16, а 16 > 12.

Понятия совершенных и избыточных чисел возникли ещё в Древней Греции. Их описали пифагорейцы, заложившие основы учения о свойствах чисел и их классификации.

Какие же свойства есть у избыточных чисел?

• 12 — наименьшее избыточное число. Проверьте сами!

• все числа, кратные избыточному числу, также являются избыточными. Раз 12 – избыточное число, значит 24, 36, 48 и т.д. тоже будут избыточными;

• существуют как чётные, так и нечётные избыточные числа;

• наименьшее нечётное избыточное число – 945. Сможете ли назвать все его делители?

У совершенных чисел свойства другие:

• все известные совершенные числа чётные;

• возможность существования нечётных совершенных чисел не доказана и не опровергнута;

• сумма обратных величин всех делителей совершенного числа, включая само число, всегда равна двум. Пример для обратных делителей числа 6: 1/1 + 1/2 + 1/3 + 1/6 = 2;

• все известные совершенные числа заканчиваются на 6 или 8 (6, 28, 496 и т.д.);

• совершенные числа используются для вычисления простых чисел Мерсенна.

В повседневной жизни мы не задумываемся о том, совершенное перед нами число, избыточное или какое-то другое. Однако такая классификация лежит в основе теории чисел, которая имеет большое значение в сфере ИТ и, в частности, для криптографии.

Изучение свойств чисел помогает развивать математическое мышление, писать эффективные алгоритмы и понимать более сложные математические концепции.

Цитату из Библии нашли в блоке №666 666 в блокчейне Bitcoin: «Не будь побеждён злом, но побеждай зло добром» — Римлянам 12:21.

В это воскресенье (20 апреля) в 13:30 приглашаем на «Ключ к профессии»! Осталось всего 40 билетов!

Эта встреча будет посвящена профессии «криптограф». Мы с представителями других брендов расскажем про особенности этой специальности, о навыках криптографов и о том, как им стать.

Успейте зарегистрироваться — сделать можно это по вот этой ссылке.

Для кого?
Для старшеклассников и студентов

Зачем?
Участники смогут задать вопросы экспертам, послушать доклады о профессиях, пообщаться с рекрутерами и оставить им своё резюме на стажировку

Сколько стоит?
Участие бесплатное, но на каждое мероприятие нужно зарегистрироваться

Где проходит?
В Музее криптографии. Вот тут карта, как проехать

Кто будет выступать?

• Иван Чижов, заместитель руководителя лаборатории криптографии по научной работе в «Криптоните»

• Алиса Коренева, начальник отдела криптографического анализа в «Коде Безопасности»

• Евгений Алексеев, заместитель руководителя департамента информационной безопасности компании «КриптоПро»

• Андрей Жиляев, старший исследователь Центра научных исследований и перспективных разработок в компании «ИнфоТеКС» и другие

Зарегистрироваться

Выводим Ситника на чистую воду

Топ перлов:

• Sync-engine избавляет от однотипного кода по загрузке данных .. он заставляет вас проверять isLoading === true и рисовать крутилку.

• Во всех sync-engine используются нормальные стейт менеджеры .. например, nanostore (см. видео с разбором этой библиотеки).

• (Я запилил штуку, которая ничего не умеет, но ты можешь поверх этой штуки запилить своих костылей для решения проблем, которые у тебя возникнут из-за моей штуки).

• CRDT - это просто лог операций (лог операций - это CmRDT и OT, CvRDT даже близко не лог).

• Работать с IndexedDB через скомпилированный под WASM SQLite быстрее, чем напрямую работать с IndexedDB (разве что, если руки заточены под обнимашки).

Упомянутые ссылки:

• Local-First база данных CRUS-DB

• Децентрализованное хранилище секретов

• Реактивный ToDoMVC без sync-engine

• $mol_wire в React

• Протоколы запросов HARP vs GQL

• Легковесный язык разметки MarkedText

• Натальная травматология фронтенда

• Гильдия Гипер Дев

Копилка благодарностей

Ваш ребёнок — школьник, который разбирается в математике? Тогда скорее участвуйте в олимпиаде по криптографии имени И.Я. Верченко!

Это отличный шанс проверить свои знания по этим точным наукам. Задания будут непростые, но и ставки высоки — победители и призёры смогут поступить в вуз без экзаменов! Все подробности читайте в правилах на сайте.

Отборочный этап проходит онлайн, поэтому можно участвовать из любого города.
Скорее регистрируйтесь!

Иван Яковлевич Верченко — советский математик, криптограф, педагог, доктор физико-математических наук.

Компания АМИКОН выпустила обновлённый комплекс «ФПСУ‑IP» Amigo, модификации 7.1, который полностью совместим с операционными системами РЕД ОС версий 7.3 и 8 от компании «РЕД СОФТ».

Программное обеспечение «ФПСУ‑IP» (Amigo) предназначено для подключения к программно‑аппаратному комплексу ФПСУ‑IP и обеспечивает защищённое соединение с криптомаршрутизатором ФПСУ‑IP для доступа к внутренней сети компании. Ключевые функции ПАК «ФПСУ‑ИП» включают шифрование, обнаружение и предотвращение несанкционированного доступа.

Новая версия «ФПСУ‑IP» (Amigo), модификации 7.1, предоставляет расширенные возможности для защиты данных, обеспечивая высокий уровень безопасности при работе на отечественных операционных системах.РЕД ОС — это российская операционная система общего назначения для серверов и рабочих станций, разработанная компанией «РЕД СОФТ». Продукт обладает сертификатом ФСТЭК России и входит в Реестр российского программного обеспечения Минцифры России.

Специалисты обеих компаний подтвердили совместимость решений, что позволяет интегрировать комплекс «ФПСУ‑IP» Amigo модификации 7.1 в инфраструктуру различных организаций, использующих российские программные продукты.

Интеграция российских ОС и отечественного ПО для защищённого подключения к ИТ‑инфраструктуре помогает повысить кибербезопасность компаний. Полностью совместимые защищённые решения уменьшают количество точек проникновения и повышают защищённость ИТ‑периметра, что снижает риск утечки данных.

​​Информационная безопасность на практике 🔐

В новом курсе рассказываем, с помощью каких инструментов защищаться от киберугроз. Внутри — 10 материалов, в числе которых инструкции по настройке средств защиты, советы по их использованию и интересные задачи.

Приступить к изучению →

В рамках курса вы:

🔹 проверите защищенность вашего сервиса,

🔹 узнаете о распространенных атаках полным перебором и о методах противодействия им,

🔹 ознакомитесь с ИБ-инструментами на реальных примерах.

Переходите в Академию Selectel, чтобы ознакомиться со всеми материалами. 

Наши коллеги-криптографы приняли участие в конференции CTCrypt2024. Вот, о чём были их доклады. 

Степан Давыдов, старший специалист-исследователь лаборатории криптографии, рассказал об инвариантных подпространствах матриц-циркулянтов.  

Один из перспективных методов криптоанализа — изучение инвариантных подпространств матрицы линейного преобразования. 

В работе изучаются инвариантные подпространства линейных преобразований, заданных матрицами-циркулянтами. Они используются в шифрсистемах AES, SM4, а также хэш-функции Whirlpool.

Юрий Шкуратов, младший специалист-исследователь лаборатории криптографии, рассказал о самодуальности квазициклических алгеброгеометрических кодов, ассоциированных с эллиптической кривой.

В современной криптографии (особенно постквантовой) применяется теория помехоустойчивого кодирования. 

❗️С её помощью были разработаны криптографические системы, основанные на кодах. Они могут быть устойчивы к взлому классическими суперкомпьютерами и квантовыми.

📌Одним из перспективных направлений в разработке надёжных кодовых криптосистем являются модификации криптосистемы Мак-Элиса на квазициклических кодах Гоппы. Предложенный Валерием Гоппой класс алгеброгеометрических кодов позволяет оптимизировать затраты памяти на хранение секретного ключа и ускорить процесс шифрования. 

В этой работе изучается конкретный подкласс алгеброгеометрических кодов: для него рассматривается возможность одновременного наличия свойств квазицикличности и самодвойственности.

Никогда такого не было и вот опять (с) Черномырдин

Олды из 90-х помнят про чеченские авизо в системе Госбанка, когда благодаря концепции безопасности "Джентельменам верят на слово", в Чечню уходили караваны денег.

История повторяется ...

https://www.rbc.ru/politics/24/05/2024/665086f09a79473be1adc6dd?from=from_main_2

 Через единую систему электронного документооборота ПФР были сформированы реестры поручений с внесенными в них «заведомо ложными сведениями» о начислении разовых выплат до 2020 года.

Уверен - "систему электронного документооборота ПФР" обладает всеми справками по безопасности, которые можно и нужно получить для госконтракта. Я сам сталкивался с ТЗ от заказчика, когда "начальника" в Мухосранске обладает полной возможностью рулить всей системой ...

ха-ха-ха неудачники

Интересуетесь сферой ИБ? С вас — участие в опросе, с нас — приятный бонус ?

Привет, Хабр! Знаем, что многие наши читатели неравнодушны к темам ИБ. Хотим выпустить много нового, а чтобы материалы вышли максимально интересными и полезными, приглашаем вас поучаствовать в составлении контент-плана.

Какие инструкции помогут вам в работе? Какой формат текстов вы предпочитаете? О чем вы давно хотели узнать? Пройдите наш опрос, чтобы регулярно получать экспертные материалы под ваши цели и задачи. 

? Прохождение опроса займет около 3 минут.

? Бонус для участников — розыгрыш 5 сертификатов Ozon на 1500 рублей и 5 наборов фирменного мерча Selectel.

Пройти опрос →

Amazon обвинили в использовании функции исчезновения сообщений Signal для уничтожения доказательств по антимонопольному иску. Федеральная торговая комиссия ранее уличила компанию в в создании секретного алгоритма ценообразования «Проект Несси», который мог принести ей более $1 млрд дополнительной прибыли.

Теперь выяснилось, что Amazon — лишь одна из нескольких компаний, которая применяла мессенджеры с шифрованием для автоматического удаления переписок без возможности восстановления. 

В качестве доказательства ФТС привела скриншоты чата Signal между двумя руководителями Amazon, один из которых спросил: «Вы ощущаете шифрование?», после чего включил опцию исчезающих сообщений. Юристы говорят, что нынешний генеральный директор Энди Ясси, главный юрисконсульт Дэвид Запольски, бывший генеральный директор по международным операциям Дэйв Кларк и другие руководители компании являются пользователями Signal. Комиссия утверждает, что они могли вынуждать сотрудников уничтожать информацию, которая могла бы служить доказательством в деле.

ФТС утверждает, что Amazon до сих пор отказывалась предоставить большую часть запрошенных данных. Если судья обнаружит, что компания проявила халатность, не сумев сохранить их, то ей могут грозить санкции.

Разбираемся в основах информационной безопасности ?

Необходимо быть во всеоружии, чтобы противостоять клещам зловредам! Для этого мы подготовили бесплатный курс о базовых принципах информационной безопасности. Внутри — 10 материалов, на изучение которых уйдет около двух часов.

Приступить к изучению →

Из курса вы узнаете:

• о классификации ИБ-угроз и методах борьбы с ними;

• как устроена система для управления доступом IAM и как ее внедрять;

• что учесть при проектировании аттестованных систем;

• чем отличается аттестованный сегмент ЦОД от обычного;

• о PCI DSS — одном из самых распространенных ИБ-фреймворков.

Больше интересных курсов ищите в Академии Selectel.

Специалисты-исследователи лабораторий криптографии и телекоммуникаций Анастасия Чичаева и Роман Самохвалов представили свой доклад «Сегменты криптографической защиты в сетях ПРТС 5-го поколения» на конференции #РусКрипто

В нём они рассматривают подлежащие защите сегменты ПРТС, используемые в них криптографические механизмы и вопросы внедрения их отечественных аналогов.

Особое внимание уделяется стойкости алгоритмов обеспечения конфиденциальности и целостности трафика (NEA, NIA), а также возможностям перехода на российские стандартизованные криптографические механизмы (IPSec, IKEv2, TLS).

А я предупреждал (неоднократно)?

Нетронутые с 2010 года биткоины начали перемещаться...;

Неизвестный майнер, добывший 2 тыс. биткоинов в 2010 году, объединил свои активы в одном кошельке. Об этом пишет The Block. На момент добычи монет их совокупная стоимость составляла около $600, однако сегодня она достигла почти $140 млн.

https://www.rbc.ru/crypto/news/6603f9209a7 947 334c651b10?from=vitrina_for‑investors_2&utm_source=rbc.ru&utm_medium=inhouse_media&utm_campaign=vitrina_for‑investors__2&utm_content=6603f9209a7 947 334c651b10&utm_term=10.4B_noauth

А разве кошельки битка уже не повскрывали с помощью квантовых вычислений?Или пока курс держат для хомячков, которые не в курсе?

https://habr.com/ru/articles/757 660/comments/#comment_25 913 010

ЗЫ.... но их много... (криптохомячков)

UPD.

Господи... как #войтивайти за...