Как стать автором
Обновить
1
0

Пользователь

Отправить сообщение

Опенсорсный чип OpenTitan заменит проприетарные корни доверия Intel и ARM

Время на прочтение6 мин
Количество просмотров13K


Некоммерческая организация lowRISC при участии Google и других спонсоров 5 ноября 2019 года представила проект OpenTitan, который называет «первым опенсорсным проектом по созданию открытой, качественной архитектуры микросхем с корнем доверия (RoT) на аппаратном уровне».

OpenTitan на архитектуре RISC-V — микросхема специального назначения для установки на серверах в дата-центрах и в любом другом оборудовании, где нужно обеспечить аутентичность загрузки, защитить прошивку от изменений и исключить вероятность руткитов: это материнские платы, сетевые карты, маршрутизаторы, устройства IoT, мобильные гаджеты и др.

Конечно, подобные модули есть в современных процессорах. Например, аппаратный модуль Intel Boot Guard является корнем доверия в процессорах Intel. Он по цепочке доверия верифицирует подлинность UEFI BIOS перед загрузкой ОС. Но вопрос, насколько мы можем доверять проприетарным корням доверия с учётом того, что у нас нет гарантий отсутствия багов в дизайне, а проверить его нет возможности? См. статью «Доверенная загрузка Шрёдингера. Intel Boot Guard» с описанием того, «как годами клонируемая ошибка на производстве нескольких вендоров позволяет потенциальному злоумышленнику использовать эту технологию для создания в системе неудаляемого (даже программатором) скрытого руткита».
Читать дальше →
Всего голосов 35: ↑33 и ↓2+31
Комментарии10

Схема Шнорра и её роль в Биткоине

Время на прочтение6 мин
Количество просмотров10K

Схема Шнорра была изобретена в 1980 гг. Клаусом-Петером Шнорром. Клаус Шнорр - немецкий криптограф, академик, на тот момент профессор и исследователь Франкфуртского университета. Перед публикацией самой схемы Клаус Шнорр заморочился с патентами, из-за чего вплоть до 2008 года прямое её использование было затруднительно.

В 2008 году, в том же году, когда Сатоши Накамото представил миру Биткойн, срок действия патента Клауса Шнорра истёк. Даже несмотря на то что подписи Шнорра уже можно было использовать, Сатоши Накамото выбрал для Биткоина ECDSA. Это связано с тем, что схема Шнорра ещё не являлась стандартизированной и широко используемой.

Хоть криптографы зачастую и считают ECDSA неудачным, он до сих пор используется. К слову, DSA, предшественник ECDSA, представлял собой гибрид схем Эль-Гамаля и Шнорра, созданный исключительно для обхода патентов Клауса Шнорра Национальным институтом стандартов и технологий США (NIST). После его появления в рассылке Coderpunks начался, что называется, интеллигентный срач, а Клаус Шнорр стал ещё активнее защищать свои патенты.

Читать далее
Всего голосов 18: ↑18 и ↓0+18
Комментарии2

Реверс-инжиниринг QR-кода для доказательства вакцинации

Время на прочтение8 мин
Количество просмотров31K
image

Когда Квебек объявил, что будет рассылать электронные письма с подтверждением вакцинации всем, кто был вакцинирован с помощью прикрепленного QR-кода, у меня немного подкосились колени. Мне не терпелось разобрать его на части и покачать головой из-за количества частной медицинской информации, которая, несомненно, будет раскрыта в процессе.

Наконец-то пришло мое подтверждение вакцинации, и результат… вообще-то неплохой. Тем не менее, в хаках с нулевым разглашением всегда есть какое-то удовольствие, поэтому я все равно решил написать о своем опыте в блоге.

Мое первое впечатление было: «Боже мой, это излишне большой QR-код». Под QR-кодом перечислено не так много информации, поэтому они наверняка кодируют все виды личной информации без моего ведома. Знаете, как тот штрих-код на обратной стороне ваших водительских прав.

Естественно, первое, что я сделал, — отсканировал код с помощью приложения QRcode.
Читать дальше →
Всего голосов 21: ↑15 и ↓6+12
Комментарии11

Передаём файл между изолированными виртуальными машинами через побочные каналы

Время на прочтение11 мин
Количество просмотров6K

Не далее пяти дней назад на хабре появилась новость под заголовком "В Apple M1 нашли уязвимость M1RACLES — возможна быстрая скрытая передача данных между приложениями". В одном предложении суть формулируется так: в Apple M1 нашли регистр, который кто угодно может читать и писать из непривилегированного режима. Значит, это можно использовать для обмена данными в обход механизмов межпроцессного взаимодействия, предоставленных ОС.

В комментариях к этой публикации развязалась умеренно оживлённая дискуссия о статусе находки: всё-таки серьёзная уязвимость или пустяк? Наряду с @SergeyMaxи @wataru я обратил внимание, что каналов скрытого обмена и так существует предостаточно просто потому, что исполняющая клиентский софт или виртуальные машины аппаратура является разделяемой средой, грамотная модуляция состояний которой делает возможным произвольный обмен данными вне зависимости от инвариантов нижележащей ОС или гипервизора. Противоположной точки зрения придерживаются почтенные господа @creker и @adjachenko, утверждая, что доселе известные побочные каналы качественно уступают возможностям M1RACLES.

Эта заметка является наглядной иллюстрацией к моему утверждению о легкодоступности скрытых каналов обмена. Я собрал простой PoC из ~500 строк на C++, при помощи которого был успешно отправлен файл из одной виртуальной машины в другую на том же физическом хосте. Далее я кратко описываю его устройство, пределы применимости, и привожу выводы и мнение самого автора M1RACLES в конце.

Читать далее
Всего голосов 21: ↑21 и ↓0+21
Комментарии8

Превращаем одноплатник Cubietruck в Wi-Fi Hotspot с Captive portal, VPN-шлюзом и Ad block

Время на прочтение18 мин
Количество просмотров20K
raspap

Для построения Wi-Fi сети обычно используют готовые маршрутизаторы, функциональность которых всегда ограничен прошивкой. А если необходимо добавить блокировщик рекламы, VPN шлюз и красивый Captive portal, покупать новую железку? Стоимость устройства с такими возможностями будет уже весьма высока. Можно взять Linux с Hostapd и сделать точку доступа с Wi-Fi, но в отличие от готовых маршрутизаторов не будет наглядного Web-интерфейса. И для решения этой задачи был создан проект RaspAP, который на базе устройств с ОС Debian создает Wi-Fi Hotspot с Captive portal, VPN-шлюзом, Ad block. Для RaspAP в отличие от OpenWrt не требуется непосредственная поддержка устройства, достаточно поддержки последней версии Debian. RaspAP работает поверх уже установленных ОС: Raspberry Pi OS, Armbian, Debian, Ubuntu. Как сделать Wi-Fi Hotspot на RaspAP прошу под кат.
Всего голосов 25: ↑23 и ↓2+31
Комментарии19

Как собрать свой собственный прибор ночного видения за $50 из смартфона

Время на прочтение12 мин
Количество просмотров31K


Человек всегда хотел большего,  включая видение в темноте, как хищники. В этой статье я расскажу о сути приборов ночного видения, разных их видах и как собрать свой собственный всего за 50$ (данная оценка включает среднюю стоимость компонентов). 

Чтобы получить возможность видеть в темноте, человечество стало использовать искусственные способы обеспечения дополнительных возможностей для своих органов зрения.

В древности, этими средствами выступали разнообразные костры, факелы и другие способы подсветки окружающей среды.

С ходом ускорения научно-технического прогресса, средства обеспечения видимости органов зрения человека, в темное время суток, -  становились всё более изощренными и совершенными. Теперь, в их качестве выступали уже разнообразные средства подсветки, в числе которых основную роль играли способы, которые обеспечивали человека непрерывной подсветкой в течение продолжительного времени и минимальным контролем за ней.
Всего голосов 44: ↑28 и ↓16+21
Комментарии15

Как превратиться в суперзвезду Zoom-звонков за 15 минут. Часть 2. Софт

Время на прочтение6 мин
Количество просмотров14K

«Ну наконец-то!» — услышал я от нескольких человек, когда сказал, что готова вторая часть статьи про видео в Zoom. Первая часть про подбор камеры для съёмки в Zoom вызвала дикий резонанс. До сих пор продолжается холивар о том, что же лучше — вебка за 20 тысяч или старая зеркалка (думаю, вы знаете ответ) и какое освещение купить за десятку, чтобы выглядеть как суперзвезда даже со стандартной камерой (не всё так просто). В этой части поговорим про то, что не требует никаких вложений, но точно улучшит ваше видеопредставление — софт.

Читать далее
Всего голосов 16: ↑13 и ↓3+16
Комментарии6

Мышление миллиардера из Кремниевой долины: как принимать решения, связанные с риском

Время на прочтение4 мин
Количество просмотров9.2K

Пол Букхайт — создатель Gmail и FriendFeed, партнер Y Combinator. 12.09.2009 г.

Наши жизни полны решений, которые заставляют нас балансировать между риском и возможностью: должны ли вы согласиться на на эту новую работу, купить этот дом, инвестировать в эту компанию, проглотить эту таблетку, прыгнуть с обрыва и т.д. Как мы решаем, какой риск оправдан, а какой является идиотизмом? Готовы ли мы, сделав выбор, принять его последствия?

Я думаю, наиболее распространенный способ — спросить себя «Каков наиболее вероятный исход?» Если наиболее вероятный исход нам нравится, мы делаем это (если считать, что люди склонны размышлять, принимая решения). Такой подход отлично работает с большинством решений. К примеру, вы можете верить, что наиболее вероятный исход решения «учиться в школе» — это то, что позже вы получите лучшую работу, потому вы выбираете этот вариант. Так рассуждает большинство людей,  когда решают учиться в школе, искать работу, покупать дом или принимают много других «нормальных» решений. Смещая фокус на «ожидаемый» результат, люди, использующий этот подход, часто игнорируют возможный неприятный исход. И когда происходит что-то неприятное, они чувствуют горечь и обман: «Я отучился в универе, где моя работа?!» Например, большинство людей, купивших дом пару лет назад, не предполагали, что их новый дом потеряет 20% его стоимости, и в итоге они будут должны больше, чем стоит их дом.
Читать дальше →
Всего голосов 14: ↑7 и ↓7+3
Комментарии6

Почему стоматология такая дорогая и полечить зубы можно по цене квартиры в регионе?

Время на прочтение13 мин
Количество просмотров56K
image

Казалось бы, установить имплант — это операция проще некуда, просто взять и вкрутить винт в челюсть. Потом вы начинаете считать структуру затрат и становится понятно, что нужен рентгенолог, хирург, два ассистента — и время этих людей стоит денег, особенно хирурга, который десять лет учился и практиковался, и у него перед вами ответственность, включая возможную уголовную, за ошибки. Нужен операционный бокс, нужны стерильные халаты, дезинфекция, нужно вложиться в оборудование, нужны расходники. Причём всё это должно быть сертифицировано. В аптеке хлоргексидин стоит 11 рублей, а сертифицированный для стоматологии аналог будет стоить на пару порядков дороже. Практический пример — гель с ортофосфорной кислотой, который просто копеечный в производстве. Но когда его четыре года сертифицируют, один шприц с ним начинает стоить от 1000 рублей. Причём его ещё надо найти, потому что некоторые материалы в Россию просто не поставляют, потому что у производителя за пару лет продаж не получится отбить даже сертификацию. На российские импланты адекватные люди не соглашаются, а те, которые будут поддерживаться через 20 лет европейские, — у них эта гарантия входит в цену.

В общем, медицина — довольно дорогая штука вообще. Средний гражданин России платит, грубо говоря, 40 тысяч рублей в год только за ОМС (в виде отчислений с зарплаты) — и получает за это предельно дешёвый сервис на базе многих вещей, цены на которые удерживаются низкими с помощью федеральной антимонопольной службой и субсидиями. Но как только речь заходит о чём-то хоть немного немассовом — всё становится интереснее.

Но, думаю, это всё ещё не объясняет, почему полечить зубы может стоить в некоторых случаях миллион, а не сто тысяч. Давайте разберём подробнее.
Читать дальше →
Всего голосов 76: ↑62 и ↓14+68
Комментарии239

Высокотехнологичные аферисты

Время на прочтение14 мин
Количество просмотров6K
image

Часть 1-я

Вступление


В современном мире высокие технологии осваивают не только люди, желающие достигнуть чего-то полезного, большего для себя и окружающих, делая нашу среду комфортней, гармоничней, но и те, кто сознательно занимается разрушением, делая людей несчастнее. В данной статье я опишу реальную историю на стыке криминала и высоких технологий, жадности и глупости. Многим предпринимателям данная история может быть полезной и важной. Надеюсь, что предоставленная информация многим поможет не стать жертвой мошенников и аферистов в постоянно усложняющемся технологичном мире.
Читать дальше →
Всего голосов 16: ↑12 и ↓4+15
Комментарии9

Чернобыль ч.10. Судьбы обречённых

Время на прочтение14 мин
Количество просмотров28K

Автор: Александр Старостин

Чудовищные масштабы аварии породили соответствующие последствия. Мы уже видели, как сотрудники ЧАЭС боролись за спасение станции, как припятчане и жители Зоны покидали родные места. Позже они справятся с последствиями пережитого ужаса, но первые дни и месяцы ещё нужно было пережить. Взглянем же вместе с ними в глаза неопределённости, острой лучевой болезни, неустроенности.

Это тяжелая часть, но необходимая. Есть места, которые я намеренно убрал под спойлер. Считайте это предупреждающим знаком "не уверен - не разворачивай". Лучевая болезнь - это не шуточки, а последствия аварии на АЭС - не компьютерная игруля. Засим продолжим.

Читать далее
Всего голосов 24: ↑22 и ↓2+27
Комментарии11

Безуспешная попытка монетизации моего проекта в open source

Время на прочтение5 мин
Количество просмотров18K


Время от времени я пишу ПО в open source. У меня есть довольно популярный сейчас проект под названием faker.js. Я работаю над Faker уже больше десятка лет. Он имеет лицензию MIT.

В этом посте я расскажу о своей попытке монетизации проекта Faker при помощи облачного сервиса. Постепенно мы дойдём до инженеров из стартапа ценой 75 миллионов долларов, основанному Sequoia Capital. Джон и Патрик Коллисоны зарегистрировались в моём облачном сервисе, протестировали его, скопировали концепцию, вставили ссылку на CDN моего бизнеса, а теперь CEO компании Дэвид Сюй не отвечает на мои письма. В целом это будет увлекательное и информативное чтиво.
Читать дальше →
Всего голосов 60: ↑54 и ↓6+66
Комментарии29

Чернобыль ч.11. Серые будни Чернобыльской зоны

Время на прочтение15 мин
Количество просмотров21K

Автор: Александр Старостин

Выбросы из реактора АЭС накрыли солидную часть Восточной Европы, сформировав несколько уровней Зоны Отчуждения. В принципе, там можно жить – только осторожно. Цезий-137 и Стронций-90 ещё долго будут фонить на большой площади, и кое где бродить всё-таки не следует – карты вам в помощь. Так появился, например Полесский государственный радиационно-экологический заповедник (ПГРЭЗ), куда так просто не попадёшь, и добыть разрешение – очень непростая задача.

Сегодня нам с вами доведётся понаблюдать скромный быт ликвидаторов аварии на ЧАЭС, а также понаблюдать за постепенным превращением ЧАЭС из ещё живой и рабочей АЭС в труп, подвергающийся контролируемому разложению. А заодно заглянем туда, где нет даже самосёлов.

Добро пожаловать в Зону, Сталкер.

Читать далее
Всего голосов 26: ↑20 и ↓6+23
Комментарии14

Синхронный АМ приёмник Полякова

Время на прочтение5 мин
Количество просмотров27K

Владимир Тимофеевич Поляков (RA3AAE) широко известен в нашей стране как разработчик любительской радиоэлектроники. Его конструкции всегда отличались простотой и хорошей повторяемостью. Ещё в них всегда присутствовала какая-то «сумасшедшинка».

В публикации я расскажу о разработке Полякова, увидев которую, я не смог понять, как она работает. Старшие товарищи, к которым я обратился за помощью, ничего вразумительного мне сказать тоже не смогли.

Речь идёт о синхронном АМ приёмнике, схема которого была опубликована в журнале «Радио» №8 за 1984 год.
Читать дальше →
Всего голосов 60: ↑60 и ↓0+60
Комментарии33

[Личный опыт] Что делать IT-инженеру в ОАЭ: платят неплохо, но цены кусаются и навсегда не останешься

Время на прочтение9 мин
Количество просмотров33K

Европа и США — очень понятные страны для переезда. Мы много про них знаем если не из историй экспатов, то хотя бы из фильмов, сериалов и книг. А вот ОАЭ — страна другого рода. Там вроде бы есть IT, и туда часто нанимают русских разработчиков, но что происходит внутри — непонятно. Как там устроена работа? Какие проекты? Что с ценами? Что с религией — мешает ли это жить? Можно ли там хорошо заработать?


Мы поговорили с Александром, который переехал в Эмираты в 2010 году и уехал обратно в Россию в 2017. Он успел поработать над несколькими проектами, у них с супругой родился здесь ребенок, и он расскажет, как вообще живется в ОАЭ и стоит ли сюда ехать IT-инженеру.




Читать дальше →
Всего голосов 30: ↑27 и ↓3+30
Комментарии42

Доказательство с нулевым разглашением

Время на прочтение5 мин
Количество просмотров19K
Доказательство с нулевым разглашением (знанием) (Zero-knowledge proof) представляет собой криптографический протокол, позволяющий одной из сторон (проверяющему, стороне B) убедиться в том, что вторая сторона (доказывающая, сторона A) знает какое-либо утверждение, при этом проверяющий не получает никакой другой информации о самом утверждении. Другими словами, А доказывает знание секрета, не разглашая самого секрета.

Использовать доказательства с нулевым знанием для доказательства идентичности было впервые предложено Уриелем Файгом, Амосом Фиатом и Ади Шамиром. В данном случае пользователь доказывает знание своего закрытого ключа, который в данном случае выступает в роли секрета, не раскрывая его. Таким образом, он доказывает свою идентичность.

Читать дальше →
Всего голосов 40: ↑37 и ↓3+34
Комментарии31

«Что такое доказательство?»: взгляд из теоретической информатики

Время на прочтение12 мин
Количество просмотров23K
Теоретическая информатика — одно из направлений обучения на кафедре Математических и информационные технологий Академического университета. Нас часто спрашивают, чем занимается теоретическая информатика. Теоретическая информатика — активно развивающееся научное направление, включающее в себя как фундаментальные области: алгоритмы, сложность вычислений, криптография, теория информации, теория кодирования, алгоритмическая теория игр, так и более прикладные: искусственный интеллект, машинное обучение, семантика языков программирования, верификация, автоматическое доказательство теорем и многое другое. Эту статью мы посвятим обзору лишь небольшого сюжета, а именно расскажем о необычных подходах к понятию доказательства, которые рассматривает теоретическая информатика.



Чтобы объяснить, о какого рода доказательствах пойдет речь, рассмотрим пример: есть компьютерная программа, авторы которой утверждают, что программа делает что-то определенное (конкретные примеры будут чуть позже). Программу можно запустить и получить ответ. А как можно удостовериться, что программа делает то, что должна делать? Хорошо бы, если кроме ответа программа выдавала бы доказательство того, что этот ответ правильный.

Рассмотрим более конкретный пример: мы хотим иметь программу, которая в двудольном графе находит паросочетание максимального размера вместе с доказательством его максимальности.



Напомним, что граф называется двудольным, если его вершины можно покрасить в два цвета так, что ребра графа соединяют вершины разных цветов. Паросочетанием в графе называется такое множество ребер, что никакие два из них не имеют общего конца. Множество вершин графа называется покрывающим, если каждое ребро графа имеет как минимум один конец в этом множестве. Теорема Кенига гласит, что в двудольном графе размер максимального паросочетания совпадает с размером минимального покрывающего множества. Таким образом, чтобы доказать, что паросочетание является максимальным, можно предъявить, покрывающее множество, размер которого совпадает с размером данного паросочетания. Действительно, это покрывающее множество будет минимальным, поскольку каждое покрывающее множество обязано покрыть хотя бы один конец каждого ребра этого паросочетания. Например, в графе на рисунке паросочетание (M1, G3), (M2, G2), (M4,G1) будет максимальным, поскольку есть покрывающее множество размера 3, которое состоит из G2, G3 и M4. Отметим, что проверить такое доказательство гораздо проще, чем вычислять максимальное паросочетание: достаточно проверить, что размер паросочетания совпадает с размером покрывающего множества и проверить, что все ребра покрыты.

Рассмотрим еще один пример, допустим нам нужна программа, которая проверяет систему нестрогих линейных неравенств с рациональными коэффициентами на совместность (напомним, что система неравенств называется совместной, если можно подобрать такие значения переменных, что все неравенства выполняются).



Как можно доказать правильность результата? Если система совместна, то доказательством совместности может стать решение этой системы (нетрудно доказать, что если у такой системы есть решение, то есть и рациональное решение, т.е. его можно записать). А как доказать, что система несовместна? Оказывается, что это сделать можно с помощью леммы Фаркаша, которая утверждает, что если система нестрогих линейных неравенств несовместна, то можно сложить эти неравенства с неотрицательными коэффициентами и получить противоречивое неравенство 0≥1. Например, система на рисунке несовместна, и если сложить первое уравнение с коэффициентом 1, второе с коэффициентом 2, а третье с коэффициентом 1, то получится 0≥1. Доказательством несовместности будет как раз набор неотрицательных коэффициентов.

В этой статье мы поговорим о том, нужны ли доказательства, или проверка доказательства всегда не проще, чем самостоятельное решение задачи. (В примере про максимальное паросочетание мы не доказали, что не существует алгоритма, решающего задачу за то же время, сколько занимает проверка доказательства.) Если мы не ограничиваем размер доказательства, то окажется, что доказательства нужны, а если будем требовать, чтобы доказательства были короткими, то вопрос о нужности доказательств эквивалентен важнейшему открытому вопросу о равенстве классов P и NP. Потом мы поговорим об интерактивных доказательствах (доказательства в диалоге). Обсудим криптографические доказательства, которые не разглашают лишнюю информацию, кроме верности доказываемого утверждения. И закончим обсуждением вероятностно проверяемых доказательств и знаменитой PCP-теоремы, которая используется для доказательства трудности приближения оптимизационных задач.

В этой статье мы не будем касаться автоматического доказательства теорем и доказательства корректности программ, хотя эти темы тоже достаточно интересны.

Читать дальше →
Всего голосов 49: ↑46 и ↓3+43
Комментарии11

Анонимные криптовалюты: почему Эдвард Сноуден поддерживает концепцию доказательства с нулевым разглашением

Время на прочтение5 мин
Количество просмотров18K


Перевела – Мария Агеева, Binary District

6 февраля на блокчейн-митапе Zero knowledge proof protocols генеральный директор ZCash Зуко Уилкокс и основатель Ergo Platform Александр Чепурной обсудят основные принципы работы протокола с нулевым разглашением, а также специфику ZCash, Bitcoin, Ethereum и других криптовалют.

Читать дальше →
Всего голосов 15: ↑12 и ↓3+9
Комментарии9

Молчание — золото: доказательство существования Гамильтонова цикла в графе

Время на прочтение4 мин
Количество просмотров6.3K

Ульям Гамильтон придумал множество игр, одна из них - задача «кругосветного путешествия» по додекаэдру. В ней вершины додекаэдра носили названия известных городов, а рёбрами были  соединяющие их дороги. Игрок должен был совершить путешествие «вокруг света», найдя дорогу, которая проходит через все вершины ровно один раз. 

Заменив такую сложную конструкцию плоским графом, изоморфным исходному, получим задачу, которую далее используем в системе протоколов с нулевым разглашением.

Read more
Всего голосов 24: ↑21 и ↓3+20
Комментарии13

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность