Как стать автором
Обновить

РБК: «Яндекс» отказался выдать ФСБ сессионные ключи шифрования

Информационная безопасность *Законодательство в IT

Карикатура: Сергей Ёлкин, DW

Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», рассказали РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу».

Оба источника подтверждают, что российская компания отказалась подчиниться ФСБ и за прошедшее время так и не предоставила ключи. «Яндекс.Почта» и «Яндекс.Диск» входят в Реестр организаторов распространителей информации и по закону обязано предоставлять ключи шифрования в течение десяти дней после поступления запроса, а прошло уже гораздо больше времени.

Издание РБК опросило экспертов с вопросом, чем грозит «Яндексу» такое неподчинение. С аналогичной проблемой скоро может столкнуться Tinder, а последствия неподчинения можно наблюдать на примере Telegram. Сначала сотрудники ФСБ составили протокол на Telegram за нарушение КоАП, а потом Роскомнадзор начал блокаду Telegram с веерной блокировкой миллионов посторонних IP-адресов.
Читать дальше →
Всего голосов 39: ↑36 и ↓3 +33
Просмотры 25K
Комментарии 113

«Яндекс» объяснил невозможность предоставления ключей шифрования ФСБ

Информационная безопасность *Законодательство в IT

Источник: AppleInsider.ru

Компания «Яндекс» прокомментировала ситуацию с требованием ФСБ по предоставлению ключей шифрования. По мнению представителей корпорации, исполнять законодательство нужно, но без нарушения приватности данных. Проблема в том, что закон, на который ссылаются представители СМИ относительно ключей шифрования, применяется не только к компании, но и ко всем организаторам распространения информации.

«Сегодня в СМИ появилась информация о том, что к „Яндексу“ обратились с требованием предоставить ключи шифрования. Закон, на который ссылаются представители СМИ, применяется не только к „Яндексу“, но ко всем организаторам распространения информации, доступным на территории РФ, включая все почтовые сервисы, мессенджеры и социальные сети. В законе говорится о предоставлении информации, „необходимой для декодирования сообщений“, из него не следует требование о передаче ключей, которые необходимы для расшифровки всего трафика», — говорится в сообщении компании.
Читать дальше →
Всего голосов 22: ↑15 и ↓7 +8
Просмотры 17K
Комментарии 43

«Яндекс» заявил о решении проблемы с ключами шифрования для ФСБ, а Павел Дуров зовет разработчиков компании к себе

Информационная безопасность *Законодательство в IT
Управляющий директор «Яндекса» Тигран Худавердян заявил в интервью РБК о появлении решения в вопросе выдачи ключей шифрования сервисов компании ФСБ. К сожалению, подробности этого решения Худавердян не раскрыл.

«Ситуация очень простая: есть «закон Яровой», и все его должны исполнять. Наша задача — сделать так, чтобы соблюдение закона не противоречило приватности пользовательских данных», — прокомментировал Худавердян ситуацию.
Читать дальше →
Всего голосов 47: ↑37 и ↓10 +27
Просмотры 35K
Комментарии 82

Проблемы TPM-FAIL позволяли хакерам похищать хранящиеся в TPM-процессорах криптографические ключи

Информационная безопасность *Криптография *Серверное администрирование *
image

Исследователи из Вустерского политехнический института США, Любекского университета Германии и Калифорнийского университета в Сан-Диего выявили две уязвимости в TPM-процессорах. Проблемы под общим названием TPM-FAIL делали возможным для злоумышленников похищать хранящиеся в процессорах криптографические ключи.

Уязвимость CVE-2019-11090 затрагивает технологию Intel Platform Trust (PTT). Данное программное TPM-решение от Intel fTPM применяется в серверах, ПК и ноутбуках. Его используют большинство производителей компьютеров, включая Dell, HP и Lenovo. Также Intel fTPM широко используется в семействе продуктов Intel Internet of Things (IoT) для промышленности, здравоохранения и транспортных средств.

Другая уязвимость CVE-2019-16863 затрагивает чип ST33 TPM производства STMicroelectronics, который применяется на устройствах начиная от сетевого оборудования и заканчивая облачными серверами. Он является одним из немногих процессоров с классификацией CommonCriteria (CC) EAL 4+, то есть поставляется со встроенной защитой против атак по сторонним каналам.
Читать дальше →
Всего голосов 18: ↑17 и ↓1 +16
Просмотры 3.3K
Комментарии 21

Вышел OpenSSH 9.0

Информационная безопасность *Криптография *Open source *Квантовые технологии

Вышел релиз OpenSSH 9.0. Он ориентирован на исправление ошибок, а также включает постквантовую криптографию по умолчанию.

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 2.1K
Комментарии 1

ФСБ утвердила порядок получения ключей шифрования от интернет-сервисов

Информационная безопасность *

Ключи следует предоставлять в ФСБ на магнитном носителе или по электронной почте




В чёрный день для России 7 июля 2016 года, вместе с подписанием пакета поправок Яровой, президент Путин поручил правительству обратить внимание на применение норм закона «об ответственности за использование на сетях связи и (или) при передаче сообщений в информационно-телекоммуникационной сети интернет несертифицированных средств кодирования (шифрования)», а также на «разработку и ведение уполномоченным органом в области обеспечения безопасности Российской Федерации реестра организаторов распространения информации в сети интернет, предоставляющих по запросу уполномоченных ведомств информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений в случае их дополнительного кодирования».
Читать дальше →
Всего голосов 35: ↑27 и ↓8 +19
Просмотры 43K
Комментарии 343

Telegram в реестре: чем это чревато

Социальные сети и сообщества

Фото: RT

Несколько дней назад на Geektimes публиковалась новость о том, что Павел Дуров согласился добавить данные Telegram в реестр ОРИ — организаторов распространения информации. Пусть и с небольшим скандалом, но это было сделано: Telegram получил реестровый номер 90-РР. Руководитель Роскомнадзора Александр Жаров после этого выразил свое удовлетворение действиями Павла Дурова и его компании: «Таким образом, Telegram начал работать в правовом поле Российской Федерации».

Создатель мессенджера, в свою очередь, оговорился, что не против зарегистрировать Telegram, но только в том случае, если все ограничится регистрацией. Он заявил, что выполнять «закон Яровой» и некоторые другие законы его компания не намерена. Речь, в первую очередь, идет о возможном требовании Роскомнадзора получить доступ к переписке пользователей Telegram. Но Жаров поспешил успокоить Дурова, сообщив, что речи об этом не идет: «Вопрос только об одном – о пяти идентификаторах, которые мессенджер должен сообщить в Роскомнадзор, они официально будут внесены в реестр распространения информации. На этом точка». Так ли это на самом деле?
Читать дальше →
Всего голосов 36: ↑32 и ↓4 +28
Просмотры 33K
Комментарии 76

Как Китай заставил Apple хранить ключи шифрования пользователей iCloud на государственных китайских серверах

Информационная безопасность *Криптография *Законодательство в IT
Россия и Китай требуют от коммерческих компаний хранить персональные данные местных пользователей на своей территории. В Евросоюзе тоже есть ограничение на передачу персональных данных за границу. Это сделано для защиты конфиденциальности граждан. Согласно закону GDPR, в данном случае интернет-компания, оператор связи или другая фирма, что собирает данные пользователей, рассматривается как временный «хранитель» этих данных, действующий в интересах пользователя, с его согласия и по его распоряжению. По прошествии некоторого срока компания обязана автоматически удалять эти данные. Любые движения делаются только с разрешения пользователя — все процедуры прозрачны. В России и Китае дух и буква закона несколько отличаются от GDPR.

Тем не менее, иностранным компаниям приходится выполнять местное законодательство, иначе им грозят серьёзные санкции: от штрафа до полного запрета на коммерческую деятельность в стране. И если российским рынком часто можно пренебречь, то потеря китайского рынка для крупной IT-компании станет катастрофой. Вот почему и Google, и Apple, и остальные вынуждены подчиняться требованиям КНР.
Читать дальше →
Всего голосов 23: ↑16 и ↓7 +9
Просмотры 11K
Комментарии 22

Электронная подпись для участия в закупках

Блог компании РОСЭЛТОРГ Информационная безопасность *


Как инструмент электронная подпись (ЭП) нужна для участия в закупках (тендерах), а также для электронного документооборота. Сама ЭП — это не привычная для многих из нас «флешка» или какой-то конкретный предмет, а информация в электронном виде, которая позволяет идентифицировать личность её владельца во время использования электронных сервисов.

Как это выглядит? На определённый носитель записывается «ключевая пара» в виде ключа ЭП и сертификата ключа проверки ЭП. А сама «электронная подпись» создаётся владельцем сертификата в момент подписания документа.

Несмотря на то, что защищённые носители внешне и выглядят как флешка, в них имеется особая начинка. В эту начинку, помимо микросхем, входит специализированный апплет, обеспечивающий взаимодействие ОС с содержимым носителя. Выдаётся носитель со всем указанным содержимым в удостоверяющих центрах (УЦ). Для большинства современных IT-шников данные понятия хорошо известны в разрезе получения и использования Code Signing и SSL-сертификатов.

Давайте разберём основные понятия, связанные с ЭП и УЦ.
Читать дальше →
Всего голосов 26: ↑22 и ↓4 +18
Просмотры 11K
Комментарии 55

Аппаратный ключ шифрования за 3$ — возможно ли это?

Информационная безопасность *Криптография *Программирование микроконтроллеров *DIY или Сделай сам
Из песочницы
Tutorial

Итоговый результат — ключ размером с флешку

Повсеместное шифрование и, как следствие, обилие ключей заставляет задуматься об их надежном хранении. Хранение ключей на внешних устройствах, откуда они не могут быть скопированы, уже давно считается хорошей практикой. Я расскажу о том, как за 3$ и 2 часа сделать такой девайс.
Читать дальше →
Всего голосов 151: ↑151 и ↓0 +151
Просмотры 62K
Комментарии 151

И еще раз про аппаратные ключи GPG за копейки

Информационная безопасность *Криптография *DIY или Сделай сам

Началось все с того что я почитав статью Аппаратный ключ шифрования за 3$ — возможно ли это? решил запилить такую штуку. В итоге stlink приехал со второго раза. Первый потерялся в недрах почты.


После приезда я выяснил что там стоит чип cks и по второй статье залил прошивку. В системе ключ определился


[612524.102634] usb 4-5: new full-speed USB device number 26 using ohci-pci
[612524.264962] usb 4-5: New USB device found, idVendor=234b, idProduct=0000, bcdDevice= 2.00
[612524.264969] usb 4-5: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[612524.264973] usb 4-5: Product: Gnuk Token
[612524.264976] usb 4-5: Manufacturer: Free Software Initiative of Japan
[612524.264979] usb 4-5: SerialNumber: FSIJ-1.0.4-9A760301

Но после этого начались проблемы.

Читать дальше →
Всего голосов 22: ↑22 и ↓0 +22
Просмотры 11K
Комментарии 20

Генератор псевдослучайных чисел большой разрядности

Высокая производительность *Информационная безопасность *Криптография *Программирование *Патентование *
Recovery mode
Недавно появилась статья с описанием скоростного генератора случайных чисел (утверждается, что самого быстрого в мире).

Понятно, её автор не читает русскоязычных статей по теме, но если бы читал, то не стал бы утверждать о мировом первенстве своего генератора в скорости работы. Скорость генерации псевдослучайных чисел в 12 ГигаБайт/сек. была достигнута достаточно давно.Этот генератор применяется для выработки ключей шифрования.
Читать дальше →
Всего голосов 16: ↑14 и ↓2 +12
Просмотры 4.7K
Комментарии 3

HKDF: как получать новые ключи и при чем тут хэш-функции

Информационная безопасность *Криптография *
Из песочницы

Для современных алгоритмов шифрования одним из факторов, влияющих на криптостойкость, является длина ключа.

Но что поделать, если существующие ключи не обладают достаточной длиной для их безопасного использования в выбранных нами алгоритмах? Тут на помощь приходит KDF (Key Derivation Function) - это функция, которая формирует один или несколько криптографически стойких секретных ключей на основе заданного секретного значения.

Именно о KDF и пойдет речь далее. Мы рассмотрим общий принцип работы, одну из версий этой функции - HKDF, а также разберем, как она может быть реализована на Python'е.

Читать далее
Всего голосов 30: ↑30 и ↓0 +30
Просмотры 3.5K
Комментарии 8

Исследователи клонировали ключ безопасности Google Titan, раскрыв уязвимость чипсета

Блог компании Selectel Информационная безопасность *Гаджеты

Уязвимость (CVE-2021-3011) позволяет восстановить первичный ключ шифрования и обойти двухфакторную аутентификацию. Специалисты по безопасности из NinjaLab объяснили работу потенциальной хакерской атаки для токенов Google Titan на базе чипа NXP A700X, но теоретически та же схема взлома актуальна для криптографических токенов Yubico (от компании YubiKey) и Feitian, использующих аналогичный чип.

Рассказываем о том, как работает атака, и можно ли продолжать доверять физическим ключам шифрования.
Читать дальше →
Всего голосов 27: ↑26 и ↓1 +25
Просмотры 10K
Комментарии 8

Hack the hackers: полное руководство по прохождению квеста

Блог компании RUVDS.com Информационная безопасность *Хакатоны Читальный зал
Котика разбили, рояль спасли… точнее, наоборот: котика скачали с сервера, роялю поломали ножки, но в целом он бодрячком. И сегодня был последний день, когда все желающие могли попробовать свои силы в скачивании NFT-гифки с танцующим котиком, хотя ноутбук уже пять дней как двинул лапти за печь. А теперь мы вскрываем все карты и рассказываем обо всех загадках и их решениях.
Посмотреть разбор
Всего голосов 73: ↑62 и ↓11 +51
Просмотры 7.7K
Комментарии 6

Серьезная ошибка в процессорах Intel раскрывает ключи шифрования

Блог компании OTUS Информационная безопасность *
Перевод

CVE-2021-0146, идентификатор уязвимости, возникающей при использовании функции отладки с чрезмерными привилегиями, в результате чего злоумышленники могут читать зашифрованные файлы.

Уязвимость в безопасности чипов Intel открывает возможности для доступа к зашифрованным файлам и шпионажа, а также обхода защиты авторских прав на цифровой контент.

Читать далее
Всего голосов 10: ↑8 и ↓2 +6
Просмотры 5.7K
Комментарии 3