solidot新版网站常见问题,请点击这里查看。

NIST 挑选 ASCON 为物联网数据保护加密算法

美国国家标准与技术研究院 (NIST) 宣布 ASCON 赢得轻量级加密计划,该计划旨在为硬件资源有限的小型物联网(IoT)设备寻找最佳算法。NIST 收到了 57 个提案,经过了几轮安全分析,最后一轮入围的 10 个候选算法都表现优异,ASCON 获胜是因为它更灵活,在弱硬件上速度更快,短报文开销低。ASCON 由 Graz 理工大学、Infineon Technologies、Lamarr Security Research 和 Radboud University 密码学家团队联合开发,2019 年赢得 CAESAR 的轻量级加密类别的竞赛。

密码破译者破译玛丽女王的逾 50 封信

一个密码破译小组破译了收藏在法国档案馆中的 50 多封神秘信函的密码。这些信函是苏格兰女王玛丽一世在被她的表姑英格兰女王伊丽莎白一世囚禁期间写给其信任盟友的——历史学家此前对其中大部分信函不知情。玛丽女王在被囚禁 18 年后被控参与谋杀伊丽莎白一世的阴谋而于 1587 年 2 月 8 日被斩首。研究论文于 2 月 8 日她的处决纪念日发表在《Cryptologia》期刊上。玛丽女王使用了常见的锁信术(letter locking)等方法保护其私人信函不被人拦截和阅读。她在处决前夕写给法国国王亨利三世的最后一封信使用了复杂的螺旋锁信术。她从小就接受过母亲的训练学习用密码写信。

量子计算机分解大数仍然只存在于理论上

中国研究人员最近在预印本平台 arxiv 上发表论文,报告破解 2048 位 RSA 密钥所需的量子比特数可以大幅减少,现有的量子计算机就能做到。知名量子计算专家 Scott Aaronson 认为这篇论文是错误的。中国研究人员提出的优化方法是基于 Peter Schnorr 的算法,而 Schnorr 的算法是基于格的经典算法,Schnorr 声称使用了名叫 QAOA 的启发式量子优化方法。论文作者承认 QAOA 的收敛性不明确,其加速大数分解尚未证明。Scott Aaronson 则明确指出这篇论文是他见过的最误导性的量子计算论文之一。

亚马逊 S3 将默认用 AES-256 加密数据

亚马逊 Simple Storage Service (S3)将默认在服务器端用 AES-256 自动加密新数据。AWS 的服务器端加密已经存在了十多年,但现在为了加强安全将默认启用。管理员无需采取任何行动,亚马逊表示加密不会对性能产生任何影响。默认的加密算法是 AES-256,管理员可以选择 SSE-C 或 SSE-KMS 等替代方法。其中 SSE-C 将由存储桶的所有者控制密钥,SSE-KMS 将由亚马逊管理密钥。存储桶的所有者还可以为每个 KMS 密钥设置不同的权限以便于细化控制。

中国研究人员报告能用现有量子计算机破解 2048 位 RSA

清华和浙大等中国研究人员在预印本平台 arxiv 上发表论文,报告破解 2048 位 RSA 密钥所需的量子比特数可以大幅减少,现有的量子计算机就能做到。研究人员称,Peter Shor 早在 1990 年代就发现用量子计算机进行大数的因式分解是很容易的,但所需的量子比特数需要多达数百万,现有技术还制造不出此类规模的量子计算机。今天最先进的量子计算机只有数百个量子比特——如 IBM 的 Osprey 有 433 个量子比特。中国研究人员提出了一种优化方法,将所需的量子比特数减少到 372 个量子比特——这是现有技术能做到的,虽然中国还没有如此先进的量子计算机。知名加密学专家 Bruce Schneier 在其博客上指出,中国研究人员提出的优化方法是基于 Peter Schnorr 最近发表的一篇受争议论文,Schnorr 的算法在较大的系统上崩溃了,所以中国的方法是否成功还是未知,但至少 IBM 的研究人员可以测试下了。

Let's Encrypt 支持 ACME-CAA

Let's Encrypt 宣布支持 ACME-CAA(Certification Authority Authorization)——它是 DNS CAA 记录的一个扩展,旨在堵上 Domain Validation(域名验证)的漏洞。SSL 证书的一个主要目的是限制中间人攻击。而当你从 CA 如 Let's Encrypt 为一个域名申请证书,Let's Encrypt 必须采取措施确认你是域名的合法所有者。域名验证的方法通常是 CA 生成随机的质询字符串,要求你将其托管在自己的域名上。如果你成功的完成了这一要求,那么意味着你控制着该域名,因此是域名的合法运营者。问题是在执行域名验证时你还没有 SSL 证书,也就是说 CA 验证你的域名是通过 HTTP 而不是 HTTPS,这意味着整个域名验证过程容易遭到中间人攻击。ACME-CAA 就是设计堵上漏洞,要求 CAA 记录指向 Let’s Encrypt 的一个特定帐户名。

Gmail 开始向部分用户提供端对端加密

Google 周五宣布向部分 Gmail 用户提供端对端加密——Google 称其为 Gmail CSE。一旦启用,邮件主体、附件和内嵌图像都将在传输和储存在网盘前由客户端的浏览器进行加密,Google 服务器将无法获得加密密钥,因此也无法对其进行解密。邮件的标题、时间戳和收件人名单不加密。目前该功能提供给 Google Workspace Enterprise Plus、Education Plus 或 Education Standard 客户,他们都可以申请 Gmail CSE beta。该功能暂时不会提供给普通用户。

NIST 建议 2030 年底前淘汰 SHA-1 加密算法

美国国家标准与技术研究院(NIST)宣布 SHA-1 算法已经抵达寿命终点,建议使用者尽快迁移到 SHA-2 或 SHA-3。NIST 的安全专家称,今天日益强大的计算机很容易破解 SHA-1 算法,它应在 2030 年 12 月 31 日之前被淘汰。SHA-1 是在 1995 年作为美国联邦资料处理标准(FIPS PUB 180-1 发布的,Google 在 2017 年宣布了对 SHA-1 哈希算法的首个成功碰撞攻击。所谓碰撞攻击是指两个不同的信息产生了相同的哈希值,当时实现碰撞攻击需要耗费大量计算资源。但到了 2020 年研究人员将攻击成本降至 4.5 万美元,并预测未来成本会越来越低。

Jack Dorsey 承诺每年向 Signal App 捐百万美元

Twitter 联合创始人 Jack Dorsey 承诺每年向加密消息应用 Signal 资助百万美元。此举是作为他支持“开放互联网发展”的一部分提供的。Dorsey 称,社交媒体不应该由一家公司或一个集团所拥有,需要能抵抗企业或政府的影响。他说,2020 年他按照其意愿构建 Twitter 的希望因一位激进投资者的进入而告吹,他当时就想要退出,因为自己不再适合这家公司了。Dorsey 承认他所希望建立的原则,在今天和在过去他领导下的 Twitter 并不存在。他强调并不存在如 Twitter Files 所暗示的存在阴谋或恶意隐藏的议程,每个人都是按照当时掌握的信息行事。

苹果 iCloud 备份将支持端对端加密

苹果宣布从 iOS 16.2、iPadOS 16.2 和 macOS 13.1 开始,用户可选择启用“高级数据保护(Advanced Data Protection)” 功能,iCloud Backup、Photos、Notes 等都将使用端对端加密,这意味着如果你丢失了账号,苹果没有加密密钥帮助你恢复——用户需要通过设备密码、帐户恢复联系人或个人的恢复密钥去恢复账号。用户可以在任何时候关闭高级数据保护功能。这一声明发布在英文版的支持文档上,中文版没有更新,暂时不清楚苹果是否向中国区用户提供该功能。

Android Messages 群聊将支持端对端加密

Google 宣布其 Android 消息应用 Messages 未来几周开始公测群聊端对端加密功能。Messages 是 Android 系统默认的短消息应用,Google 是从 2020 年开始测试端对端加密,用户会在对话泡泡中看到表示加密的锁图标。端对端加密目前只支持个人用户之间的聊天。但在公测结束之后,群聊也将会支持端加密功能。Google 官方博客表示,SMS 短信已有 30 年历史了,是时候转向下一代跨平台消息服务 RCS 了。RCS 代表 Rich Communication Services,Google 正努力推广这一通信标准。

Let’s Encrypt 签发了逾三十亿证书

Let’s Encrypt 项目背后的非盈利组织 Internet Security Research Group (ISRG)宣布它在今年签发了逾三十亿证书。Let’s Encrypt 项目旨在让每一个网站都启用 HTTPS 加密,它颁发的免费证书用于加密设备与互联网之间的连接,确保无人能拦截及窃取传输数据。目前全球有数以百万计的网站依赖 Let’s Encrypt 作为安全保障。ISRG 在其 2022 年年度报告中称,截至 2022 年 11 月 1 日,Let’s Encrypt 为逾 3.09 亿个域名提供了 TLS,2022 年增加了逾 3300 万个域名。Let's Encrypt 是在 2017 年 6 月签发了第一亿个证书。三年后的 2020 年 2 月签发了第 10 亿个证书。

Signal 表示拒绝帮助解密考虑退出印度市场

印度政府拟议中的法案将授予其拦截加密消息的权力,然而端对端加密是无法拦截的,因此法案还要求提供端对端加密的企业帮助解密或拦截消息。提供端对端加密消息服务的 Signal 明确表示它不会帮助印度。Signal 总裁 Meredith Whittaker 接受采访时表示,如果印度要求强制解密或植入加密后门,Signal 将会退出印度市场

现代汽车使用示例密钥加密系统

2021 年款的现代 Ioniq 汽车的车载信息娱乐系统被发现使用了公开的示例密钥去加密系统,这意味着用户有可能在车载计算机硬件上运行定制固件。名叫 greenluigi1 的开发者发现汽车车载信息娱乐系统使用了一个密码加密的 ZIP 压缩档更新固件,系统由现代子公司 Hyundai Mobis 开发,在 Mobis 的网站上这位开发者发现了一个用于解密固件镜像的 AES 密钥,以及一个用于签名的私有 RSA 密钥。这个私钥没有公开。他在网上搜索了 AES 密钥,结果发现它出现在 NIST 文档SP800-38A [PDF]的 AES 128 位 CBC 示例密钥的清单中。进一步搜索发现了 RSA 私钥对应的公钥出现在 RSA Encryption & Decryption Example with OpenSSL in C 文档中。有了公开的公钥,私钥也不难搜索到。这意味着现代汽车使用来自网上教程的公钥私钥对。

基于 Isogeny 的抗量子加密算法被单核计算机一小时破解

美国国家标准技术局(NIST)最近宣布了后量子加密和签名算法竞赛的首批获胜者,一共四种,其中三种是基于格的算法,还有一种是基于哈希的算法。进入第四轮竞赛的一种基于 Isogeny 的抗量子加密候选算法被单核计算机一小时破解还是凸显了下一代加密算法标准化相关的风险。遭到攻击的是名叫 SIKE——代表 Supersingular Isogeny Key Encapsulation——的算法,被鲁汶大学的一个团队破解。研究人员发表论文《An Efficient Key Recovery Attack on SIDH (Preliminary Version)》,描述了对其的攻击。SIKE 的基础协议是 SIDH(Supersingular Isogeny Diffie-Hellman),研究人员利用了数学家 Ernst Kani 开发的 glue-and-split 理论和 Everett W. Howe 等人设计的工具,在一台单核计算机上耗时一个小时获取了 SIKE 使用的加密密钥。SIKE 的联合发明人 David Jao 承认出乎意料。这一攻击是否适用于其它基于 Isogeny 的算法?数学家 Stephen Galbraith 指出这一攻击是专门针对的 SIKE,不适用其它 Isogeny 算法如 CSIDH 或 SQISign。

NIST 宣布后量子加密算法竞赛的首批获胜者

美国国家标准技术局(NIST)宣布(PDF)后量子加密和签名算法竞赛的首批获胜者。对于加密算法,NIST 建议使用 CRYSTALS-Kyber,考虑选择 NTRU(相关专利已过期),Kyber 和 NTRU 都是基于格(lattice-based)的算法;对于签名算法,NIST 选择 CRYSTALS-Dilithium 作为主算法,以及另外两种 Falcon 和 SPHINCS+,其中 Falcon 和 Dilithium 都是基于格的算法,而 Falcon 是哈希算法。这一算法竞赛针对是即将到来的量子计算时代,量子计算机很容易破解现有的 RSA 或基于椭圆曲线的算法。

研究发现 Mega 的文件加密容易破解

云储存服务 Mega 有 2.5 亿注册用户,1200 亿个文件,逾 1000 PB 存储空间。Mega 的一大卖点是文件加密,该公司宣称没有其它云储存公司提供端对端加密,表示只要密码足够强其他人都无法访问用户储存的文件,即使它的基础设施都被扣押。研究人员发布报告指出这一说法并不正确。Mega 用于加密文件的架构充斥着基本的加密学漏洞,只要用户登陆的次数足够多,控制该平台的人很容易执行密钥恢复攻击。恶意者可以破解加密的文件,甚至在用户账号下上传恶意文件。Mega 在 3 月份收到了研究人员的报告,本周释出了一个更新,加大了攻击难度。但研究人员指出这并没有修复他们所发现的密钥复用等诸多问题。

NSA 表示美国新加密标准没有后门

美国政府正在制定新一代的加密标准,设计能抵御量子计算机。量子计算机被认为能容易破解现有经典计算机难以破解的加密算法。NSA 参与了新加密标准制定,它表示自己也无法绕过新标准,NSA 网络安全总监 Rob Joyce 称新标准没有后门。后门允许利用隐蔽的缺陷破解加密算法。此前 NSA 最为熟知的行为是它开发的椭圆曲线伪随机数生成器 Dual EC DRBG 被认为含有后门。Dual EC DRBG 一度使用广泛,在曝光之后被移除。

研究人员确定密码学背后的“主问题”

1868 年,数学家 Charles Dodgson(更为人熟知的名字叫 Lewis Carroll)宣称一种被称为维吉尼亚密码(Vigenère cipher)的加密方案是“无法破解的”。他没有证据,但有令人信服的理由,因为三个多世纪以来,数学家一直在试图破解该密码,可一直也没有成功。只有一个小问题:事实上,一位名叫 Friedrich Kasiski 的德国步兵军官在五年之前就破解了它,记录此事的书在当时几乎没有引起任何注意。

只要人们还在发送加密信息,密码学家就一直在玩这种猫捉老鼠的游戏——创造密码并破解密码。康奈尔科技学院和康奈尔大学的密码学家 Rafael Pass 表示:“几千年来,人们一直想弄清楚,‘我们可以打破这个循环吗?’”五十年前,密码学家朝着这个方向迈进了一大步。他们证明只要有“单向函数”,你就可以创建被证明是安全的密码。单向函数是一种很容易计算的函数,但很难逆运算。从那时起,研究人员设计出各种候选单向函数,从基于乘法的简单运算到更复杂的几何或对数运算都有。

今天负责传输信用卡号和数字签名等任务的互联网协议依赖于这些函数。以色列海法理工学院的密码学家 Yuval Ishai 表示:“现实世界中使用的绝大多数加密都可以基于单向函数。”但这一进步没有终结这场猫捉老鼠的游戏——只是更加突出了它的焦点。现在密码学家不必担心加密方案各个方面的安全性,只要关注其核心的函数即可。但是目前使用的函数中没有一种被明确证明是单向函数——我们甚至不确定真正的单向函数是否真的存在。密码学家证明,如果它们确实不存在,那么安全加密就是不可能的。

在缺乏证据的情况下,密码学家只能希望能在攻击中幸存下来的函数是安全的。Ishai 表示,研究人员没有统一的方法来研究这些函数的安全性,因为每种函数都“来自不同的领域,来自不同的专家组”。长期以来,密码学家们一直想知道是否有一种不那么特别的方法。Pass 问道:“是否存在着某个问题,只有一个主问题,告诉我们密码学是否可行?”

现在他和康奈尔大学的研究 生Yanyi Liu 证明答案是肯定的。他们证明,真正单向函数存在与否取决于计算机科学另一个领域中最古老也最核心的问题之一,这个领域被称为复杂性理论或计算复杂性。这个被称为Kolmogorov 复杂性的问题涉及区分随机数字字符串和包含某些信息的字符串之间的区别有多难。

研究人员用 379 年历史的算法破解现有加密密钥

研究人员周一报告,Rambus 旧软件生成的加密密钥非常弱,用商用硬件可立即破解。这一发现是一项调查的一部分,调查还发现了其他弱加密密钥。Rambus 一位代表表示,该软件源自 SafeZone 加密库的基础版本,由 Inside Secure 公司开发,Rambus 在 2019 年收购 Verimatrix 时 Inside Secure 作为 Verimatrix 一部分归于 Rambus 。该版本在收购之前已被废弃,与该公司现在以 Rambus FIPS 安全工具包品牌销售的 FIPS 认证版本完全不同。

研究员 Hanno Bock 表示,易受攻击的 SafeZone 库没有对其用于生成 RSA 密钥的两个素数实现充分随机。相反 SafeZone 在选择一个素数之后,会再选择一个非常接近的素数作为形成密钥所需的第二个素数。Bock表示:“问题是两个素数太相似了。”“两个素数之间的差异很小。”SafeZone 漏洞跟踪代码为 CVE-2022-26320。密码学家早就知道,用太接近的两个素数生成的 RAS 密钥可以用费马(Fermat)的因式分解法轻松破解。法国数学家费马(Pierre de Fermat)于 1643 年首次描述了这种方法。费马的算法基于任何数都可以表示为两个平方的差。当因子接近数字的平方根时,可以轻松快速地把它们算出来。如果因子是真正随机而且相距甚远的话,这个方法就行不通了。RSA 密钥的安全性取决于将密钥的大合数(通常表示为N)分解成两个因子(通常表示为 P 和 Q)的难度。

到目前为止,Bock 仅在现实中发现了少量易受因式分解攻击的密钥,一些密钥属于最初品牌为富士施乐、现在属于佳能的打印机。打印机用户可以使用这些密钥生成证书签名请求(Certificate Signing Request)。这些密钥的创建日期在2020年或者更晚。弱佳能密钥的跟踪代码为 CVE-2022-26351。Bock 还在 SKS PGP 密钥服务器上发现了四个易受攻击的 PGP 密钥,通常用于加密电子邮件。与这些密钥绑定的用户 ID 暗示它们是为了测试而创建的,所以他不相信它们还在使用。Bock 表示他相信发现的所有密钥都是使用与 SafeZone 库无关的软件或方法生成的。这些密钥是手动生成的也是合理的,“可能是意识到这种攻击的人创建测试数据用的。”
上一页1234下一页