Теги → шифрование
Быстрый переход

Zoom предложит повышенную защиту для платных подписчиков и организаций

Статистика показывает, что вслед за участниками видеоконференций в период пандемии в виртуальную среду устремились и граждане с криминальными наклонностями. Сервис Zoom в этом смысле не раз становился объектом критики, поскольку присоединиться к чужой видеоконференции он позволял слишком просто. В скором времени эта проблема может быть устранена за деньги клиентов.

Источник изображения: Reuters

Источник изображения: Reuters

Как сообщает Reuters со ссылкой на представителей Zoom, новая политика работы с пользователями будет предусматривать шифрование сеанса связи для платных подписчиков и разного рода организаций, включая учебные заведения и некоммерческие объединения. Подобные меры позволят исключить утечку информации, обсуждаемой в ходе видеоконференций. К недостаткам этого плана можно отнести потерю возможности прослушивания конференции с телефона и подключения к сеансу связи самих специалистов Zoom по информационной безопасности.

Сторонние пользователи сейчас присоединяются к видеоконференциям до 300 млн раз в день, поэтому желающие сохранить приватность обсуждения наверняка будут готовы перейти на платное обслуживание. Некоторые эксперты высказывают опасения, что зашифрованные сеансы видеосвязи будут активнее использоваться преступниками для общения друг с другом. Впрочем, Zoom в этом смысле не уникален, и пользы от перехода на шифрование наверняка будет больше, чем вреда.

Приложение Google Messages может получить поддержку сквозного шифрования

По сообщениям сетевых источников, в приложении Google Messages, которое является базовым средством отправки сообщений на Android-смартфонах, в скором времени может появиться поддержка сквозного шифрования. Упоминания этой функции были обнаружены в коде одной из тестовых версий программы.

Энтузиасты изучили код внутренней сборки Google Messages версии 6.2 и обнаружили в нём упоминания нескольких новых функций, наиболее заметной из которых является поддержка сквозного шифрования при передаче сообщений по протоколу RCS. На данный момент недостаточно подробностей, чтобы точно сказать, как именно будет работать сквозное шифрование. Возможно, и отправителю, и получателю потребуется использовать Google Messages, хотя это может измениться после того, как другие приложения получат поддержку сквозного шифрования.   

Наверняка можно сказать о том, что отправителю и получателю потребуется стабильное интернет-соединение для отправки зашифрованных сообщений по протоколу RCS. Если у одного из пользователей плохое интернет-соединение, то служба отправки сообщений Google предложит передать послание по SMS или MMS. Однако перед отправкой таким способом приложение напомнит пользователю о том, что отправляемые по SMS и MMS сообщения не шифруются, и попросит подтвердить действие.

На данный момент неизвестно, когда именно Google планирует добавить поддержку сквозного шифрования в своё фирменное приложение обмена сообщениями. Вероятнее всего, это произойдёт в одном из будущих обновлений, когда новая функция будет доработана и реализована на должном уровне.

Samsung представила смартфон Galaxy A Quantum с квантовой криптографией

С завтрашнего дня в Южной Корее оператор SK Telecom начнёт принимать заявки на уникальный смартфон Galaxy A Quantum с беспрецедентным уровнем защиты данных. Это модификация 5G-смартфона Samsung Galaxy A71 5G, в систему генерации паролей которого внесён эффект квантовой неопределённости. Это будет самый защищённый от взлома условно массовый коммерческий продукт. Смартфон поступит в продажу в Корее 22 мая и будет стоить около $530.

Обычный смартфон Samsung A71 5G

Обычный смартфон Samsung A71 5G

Модель смартфона Galaxy A Quantum полностью повторяет спецификации модели Samsung Galaxy A71 5G, за одним исключением. Модификация Galaxy A Quantum впервые в мире для смартфона с поддержкой 5G несёт на борту квантовый генератор случайных чисел (QRNG). Чип QRNG разработала швейцарская компания ID Quantique с таким уровнем финансирования со стороны SK Telecom, что её называют дочерним предприятием корейского оператора.

Чип QRNG представляет собой миниатюрное решение со сторонами 2,5 мм. Он предназначен для генерации «абсолютно» случайных чисел, что поднимает надёжность паролей на новую высоту. Генерируемые микросхемой QRNG числа будут ложиться в основу сильных паролей для входа со смартфона в удалённые информационные и финансовые службы.

«Квантовая» версия (www.sammobile.com)

«Квантовая» версия Samsung A71 5G (www.sammobile.com)

Наличие чипа QRNG, как видим, практически не сказалось на стоимости смартфона Galaxy A Quantum в южнокорейской рознице. Это отдельно интересно потому, что чип QRNG планируется использовать в устройствах Интернета вещей. Иначе говоря, это должно быть массовое и недорогое решение.

Квантовый генератор случайных чисел QRNG выдаёт случайное число на основе среднестатистической выборки после фиксации пучка фотонов. Фотоны (свет) испускает встроенный в чип светодиод, а фиксируются они встроенным в чип датчиком изображения CMOS.

По сути, матрица CMOS в генераторе QRNG фиксирует световой шум, уровень и рисунок которого невозможно предсказать. Поэтому числа из шума становятся условно случайными. Во всяком случае, в процессе генерации фотонов светодиодом и в работе матрицы настолько много случайностей (температура, стабильность питания и другое), что генерируемые чипом QRNG числа с высокой степенью достоверности можно считать случайными и практически защищёнными от взлома.

В мае Samsung выпустит первый в мире смартфон с квантовой криптографией

Традиционно квантовая криптография ассоциируется с оптическими линиями связи, поскольку она основана на переносе информации одиночными фотонами. А как же быть со смартфонами? Неужели мобильную связь нельзя защитить от потенциально любого вторжения? В мае компания Samsung и оператор SK Telecom сметут это ограничение и представят первый в мире смартфон с квантовой криптографией.

Смартфон Samsung A71 5G

Смартфон Samsung A71 5G

Как сообщают южнокорейские источники, компания Samsung готовит смартфон с рабочим названием GALAXY Quantum с беспрецедентным уровнем защиты от прослушивания и взлома. Это будет модификация серийной модели Samsung A71 5G, которая ранее в этом году уже поступила в международную продажу. Но только в отличие от своих обычных собратьев модель GALAXY Quantum будет нести в себе квантово-криптографический чип QRNG.

Чип QRNG ― это генератор случайных квантовых чисел или, по-английски, Quantum Random Number Generator. Вероятно, это решение швейцарской компании ID Quantique (IDQ), в которую оператор SK Telecom инвестировал два года назад (интересно, не будет ли с IDQ таких же проблем, как с другой швейцарской криптографической компанией под крылом ЦРУ?). Чип QRNG в составе смартфона генерирует последовательность чисел, которые затем ложатся в основу сильных паролей. Утверждается, что числа настолько случайны, что ни один алгоритм в мире не сможет подстроиться под работу генератора.

Генератор QRNG как и положено квантовой криптографии работает с фотонами, но только не с одиночными, а со среднестатистической выборкой из массива фотонов. По словам разработчиков, надёжность шифрования с использованием QRNG будет так же высока, как и в случае классического распределения квантовых ключей шифрования с помощью одиночных фотонов. Кроме защиты чип QRNG позволит также реализовать другой эффект квантовой криптографии, а именно уведомление о попытке перехвата сообщения.

Смартфон Samsung GALAXY Quantum будет продаваться только в Южной Корее (это ограничение юрисдикции оператора, надо полагать). Цена вопроса на местном рынке составит от 500 до 600 тыс. вон, или от $400 до $500. В международной продаже обычная версия Samsung A71 5G стоит $600, так что с ценой за пределами страны ясности пока нет. Теоретически, «квантовая криптография» должна потянуть цену аппарата вверх. Совершить квантовый скачок, если так можно пошутить.

Состоялся релиз Zoom 5.0 с шифрованием и защитой от «зумбомбинга»

Сервис видеозвонков Zoom обновился до версии 5.0. Разработчики прислушались к жалобам пользователей и сделали сервис более безопасным. С выходом новой версии создатели бесед могут быстро блокировать конференции, удалять участников и ограничивать их возможности.

В версии Zoom 5.0 по умолчанию включён «зал ожидания», в котором пользователи находятся до тех пор, пока создатель конференции не допустит их к беседе. Любое групповое совещание отныне должно защищаться паролем, который состоит из букв, цифр и специальных символов.

Для быстрого доступа к настройкам безопасности была добавлена специальная кнопка на нижней части экрана. Нажав на неё, создатель конференции может быстро заблокировать беседу, а также включать и отключать «зал ожидания». Через всплывающее меню также можно запрещать участникам делиться изображением своего рабочего стола, писать в чат, изменять своё имя и комментировать отправленный другими пользователями контент.

Передаваемые данные отныне защищены 256-битным шифрованием Advanced Encryption Standard (AES). Считается, что эта технология защитит пользователей от перехвата важных данных, что очень важно для бизнес-сегмента. Также владельцы бизнес-аккаунтов смогут выбирать, через сервера каких стран будет проходить генерируемый ими трафик.

Сервис видеоконференций Zoom набрал большую популярность на фоне пандемии коронавируса COVID-19. Если в декабре 2019 года сервисом ежедневно пользовалось 10 миллионов пользователей, то в марте 2020 года количество ежедневных пользователей перевалило за 200 миллионов. Из-за слабой защищённости сервиса в Интернете возникло явление, известное как «зумбомбинг». Злоумышленники присоединяются к незащищённым беседам, оскорбляют участников, показывают шокирующий контент и так далее.

Apple запатентовала шифрование данных, отображаемых на дисплее

Технологические компании патентуют массу технологий,  но далеко не все из них находят применение в серийных продуктах. Возможно, такая же судьба уготована и новому патенту Apple, в котором описана технология, позволяющая показывать ложные данные посторонним, которые пытаются подсмотреть, что отображается на экране устройства.

gizmochina.com

gizmochina.com

12 марта Apple подала новую заявку под названием «Шифрование дисплея, зависящее от взгляда» в Бюро по патентам и товарным знакам США. Эта технология может работать, основываясь на отслеживании взгляда пользователя при использовании таких продуктов Apple, как iPhone, iPad или MacBook. При включённой функции корректные данные будут отображаться только в той части экрана, на которую смотрит владелец устройства. Наиболее интересно то, что зашифрованные данные будут выглядеть так же, как и отображаемый корректный контент, так что подглядывающий не сочтёт их подозрительными.

gizmochina.com

gizmochina.com

Компания из Купертино традиционно уделяет большое внимание безопасности и конфиденциальности. И это не первая попытка бороться с проблемой «лишних глаз». Несколько лет назад Android-смартфоны под брендом Blackberry получили функцию “Privacy Shade”, которая полностью скрывала контент на экране за исключением небольшого подвижного окна, позволяющего пользователю получить доступ к данным. Эта функция была реализована программно.

Патент Apple предполагает использование программного и аппаратного обеспечения для реализации функции. В этом состоит сложность её реализации: на передней панели устройств необходимо будет разместить дополнительные датчики.

Будет любопытно взглянуть на эту функцию в работе, если она всё-таки будет реализована.

Правительство Швейцарии просит возбудить уголовное дело против компании Crypto AG за сотрудничество с ЦРУ

В прошлом месяце издание The Washington Post и немецкая общественная телекомпания ZDF вытащили на свет малоизвестную историю о том, как ЦРУ и немецкая разведка десятилетиями владели швейцарской компанией Crypto AG по выпуску шифровального оборудования. Это позволяло американцам читать любые зашифрованные сообщения правительств 120 стран. История вызвала резонанс в нейтральной Швейцарии и потребовала решительных действий властей.

Как сообщает сайт Intelnews.org, в понедельник Федеральное министерство финансов Швейцарии подало жалобу с просьбой возбудить уголовное дело «против неизвестных лиц», которые содействовали тайной передаче компании Crypto AG Центральному разведывательному управлению США (ЦРУ). Подробнее об этой операции ЦРУ под названием «Рубикон» можно прочесть в архиве наших новостей за 12 февраля.

Вкратце напомним, что ЦРУ, тайно владея компанией по производству шифровального оборудования, имело доступ к зашифрованной переписке как союзников, так и противников. Например, во время Фолклендской войны между Аргентиной и Великобританией за две британские заморские территории в Южной Атлантике американцы передавали англичанам переписку штаба аргентинской армии.

История с Crypto AG шокировала общественность Швейцарии и вынудила правительство начать расследование. Своё расследование намерен также начать парламент страны (Федеральное собрание Швейцарии). Указанную выше жалобу подал Государственный секретариат по экономическим вопросам (SECO), который является частью финансового департамента Швейцарии. Подачу жалобы подтвердила Генеральная прокуратура страны.

Чиновники SECO утверждают, что их обманули, когда они дали разрешение на экспорт продуктов Crypto AG. Они не осознавали, что сами были скомпрометированы секретным соглашением компании с ЦРУ и BND (немецкой разведкой). Соответственно, секретное соглашение нарушает федеральный закон Швейцарии, который регулирует экспорт, в том числе, «чувствительного» оборудования. Прокуратура обещает рассмотреть жалобу и дать правовую оценку, достойна ли она уголовного рассмотрения или нет.

ФБР рекомендует: вместо коротких сложных паролей лучше перейти на простые парольные фразы

Вряд ли кто-то будет оспаривать необходимость паролей для защиты учётных записей в Интернете и на ПК. Но сделать это можно по-разному. Пароль может быть коротким, из невообразимых комбинаций букв, цифр и символов, а может быть длинным и состоящим из простых слов. Как считает ФБР, второй способ представляется наилучшим выбором.

На этой неделе офис ФБР в Портленде распространил рекомендации пользоваться длинными парольными фразами из простых слов вместо коротких и сложных паролей. Рекомендации были сформированы в рамках технических консультаций. Короткий пароль, состоящий из букв в разных регистрах, цифр и специальных символов большинству пользователей крайне сложно запомнить. Парольная фраза из простых слов, напротив, легко запоминается человеком за счёт ассоциативного мышления.

Национальный институт стандартов и технологий США (NIST) выпустил похожие рекомендации ещё в 2017 году. Согласно этим рекомендациям, на сайтах необходимо было размещать поля для паролей длиной до 64 символов. Пользователям же рекомендовалось использовать парольные фразы вместо сложных паролей. Аналогичную рекомендацию в ноябре 2019 года в советы по безопасности включило Министерство национальной (внутренней) безопасности США (DHS).

В рекомендации ФБР предлагается использовать несколько простых слов в цепочке длиной не менее 15 символов. «Дополнительная длина парольной фразы усложняет взлом, а также облегчает запоминание». На взлом парольных фраз даже из простых слов потребуется гораздо больше времени, чем на взлом предельно сложного по конструкции, но короткого пароля. Это подтверждают также академические исследования, результаты которых были обнародованы в 2015 году: «эффект увеличения длины превосходит эффект расширения алфавита [добавление сложности]».

XKCD.com/936/

XKCD.com/936/

На тему парольных фраз лет семь-восемь назад появился комикс XKCD. Позже даже был открыт сайт для генерации парольных фраз в стиле этого комикса. Кроме того, существуют библиотеки с открытым кодом, которые могут наделить службы и приложения функцией автоматической генерации парольных фраз. Но всё это не имеет смысла, если пользователи сознательно не начнут использовать парольные фразы вместо коротких сложных паролей или, что тоже себя не изжило, комбинаций «12345».

ЦРУ десятилетиями тайно управляло компанией по выпуску машин для шифрования

Издание The Washington Post и немецкая телекомпания ZDF вытащили на свет старую и малоизвестную историю об операции ЦРУ «Рубикон». Дело давнее, но поучительное. Журналистское расследование показало, что ЦРУ десятилетиями тайно управляло одной из крупнейших в мире компаний по выпуску машин для шифрования и защищённой связи, прослушивая как врагов, так и союзников.

Машинка для шифрования M-209 ()

Устройство для шифрования M-209-В (источник фото: Jahi Chikwendiu/The Washington Post)

Публикация этого материала в The Washington Post могла стать следствием непростых отношений между двумя правящими партиями в США накануне выборов нового президента страны. Джефф Безос, глава Amazon и владелец издания «Вашингтон пост», открыто конфликтует с нынешним президентом США Дональдом Трампом и мог воспользоваться случаем лишний раз пройтись граблями по действующей администрации.

О самой операции «Рубикон» можно прочесть в свежей публикации на русском зеркале Deutsche Welle. Мы же расскажем как всё начиналось и чем закончилось. История вкратце такова. До 2018 года швейцарская компания Crypto AG с 50-х годов прошлого века поставляла правительствам по всему миру системы шифрованной связи. Клиентами Crypto AG были свыше 100 стран как дружественных США, так и враждебных. Все продаваемые Crypto AG системы имели бэкдор и позволяли расшифровывать дипломатическую, военную и шпионскую переписку. Но самое интересное в этом то, что с определённого момента швейцарская компания стала собственностью ЦРУ и немецкой разведки, и они ещё на этом неплохо зарабатывали.

О чём не рассказала Deutsche Welle, так это об истоках Crypto AG, и как она стала сотрудничать с ЦРУ. Основателем швейцарской компании Crypto AG стал выходец из России Борис Хагелин. После Октябрьской революции Хагелин в возрасте 25 лет сбежал в Швецию. В 1940 году после оккупации Швеции германскими войсками он уехал в США, где изобрёл удачную машинку для шифрования M-209, которая начала использоваться в армии США. После войны он уехал в Швейцарию, где восстановил компанию Crypto AG и усовершенствовал аппараты для шифрования.

Борис Хагелин с женой в Нью-Йорке в 1949 году ()

Борис Хагелин с женой в Нью-Йорке в 1949 году (источник фото: Bettmann Archive)

Вряд ли такого человека могли отпустить просто так. В любом случае, ЦРУ связалось с Хагелиным в Швейцарии и предложило сотрудничать в обмен на финансирование Crypto AG. Тем самым разведка США, а позже к ней добавилась западногерманская разведка, получили доступ к шифровальному оборудованию, которое за немалые деньги закупали правительства союзных стран и стран-противников. СССР и Китай, к слову, в этом не участвовали.

Позже в ЦРУ начали беспокоиться о том, что в случае смерти Хагелина они могут потерять доступ к шифровальному оборудованию. На этот случай организация через подставную компанию с регистрацией в Лихтенштейне вошла в долю с Crypto AG, а позже стала полным собственником швейцарской компании. Произошло это в 1969 году. Также с 60-годов шифрование переходит на базу электроники, и перехват становится осуществлять ещё проще.

Идиллия длилась до конца 80-х годов, пока Рональд Рейган, бывший на тот момент президентом США, не начал публично отчитывать Ливию за сочувствие к террористической атаке в Берлине. Эта информация была секретная и проходила только по каналам шифрования техникой Crypto AG. Тогда же власти Ирана, которые тоже пользовались оборудованием этой компании, начали проверку, и всплыло много интересного. Доверие к компании было подорвано. Немцы, кстати, опасаясь шумихи по поводу возможного провала вскоре вышли из этого предприятия, хотя ЦРУ сотрудничало с Crypto AG до 2018 года.

В 2018 году компания Crypto AG была ликвидирована, хотя её оборудование широко используется во всём мире до сих пор. Вместо неё создана компания Crypto International. Последняя уверяет, что она не имеет никакого отношения к разведке США или других стран. Честное слово. Впрочем, самое забавное будет, если когда-нибудь выяснится о приверженности Бориса Хагелина делу Революции и о том, что шифровальные машинки Crypto AG кроме ЦРУ получал также КГБ.

Toshiba готова зарабатывать на услугах по квантовому шифрованию

Квантовое шифрование данных обещает не только беспрецедентную защиту информации, но также позволяет узнать о попытках перехвата сообщений. Это перспективная, но дорогая технология. Первой начать зарабатывать на ней в США собирается японская Toshiba.

По сообщению японского информагентства Nikkei, компания Toshiba во второй половине текущего года собирается начать предоставлять в США платные услуги по квантовому шифрованию данных, передаваемых по линиям связи. Если это произойдёт, Toshiba окажется в авангарде гонки квантового шифрования. До сих пор ни одна компания не предоставляет подобных платных услуг, хотя оборудование для квантового шифрования выпускают несколько производителей.

По данным Nikkei, Toshiba занялась базовыми исследованиями по квантовому шифрованию в 1991 году. Публично компания заявила о себе, как о разработчике оборудования для квантовой криптозащиты в 2003 году, но первое оборудование появилось только в октябре 2013 года. Год спустя Toshiba продемонстрировала стабильную передачу квантовых ключей по стандартному оптоволокну в течение 34 дней на дальность до 100 км (мы об этом сообщали).

Сегодня в арсенале Toshiba есть оборудование для соединения абонентов защищённым каналом по распределению квантовых ключей на удалении свыше 1000 км без квантовых повторителей или доверенных ретрансляторов. Это важно по той причине, что остаётся теоретическая возможность атаки на конкретное оборудование с похищением квантовых ключей без ведома абонентов. Поэтому повторители и ретрансляторы могут оказаться слабым звеном во всей системе квантового шифрования.

Оборудование Toshiba для распределения ключей квантвой криптографии

Оборудование Toshiba для распределения ключей квантовой криптографии

Для Toshiba сфера предоставления услуг по квантовой криптозащите линий связи обещает стать точкой роста. Именно поэтому она стремится первой выйти на данный рынок. Последние пять лет для Toshiba стали настоящим кошмаром, когда вместе с убытками от производства атомных реакторов выявились махинации с бухгалтерской отчётностью. В США компания рассчитывает продавать услуги по квантовому шифрованию финансовым и медицинским компаниям. По оценкам Toshiba, через 15 лет стоимость рынка криптографических услуг достигнет $18 млрд. Японцам хотелось бы прийти к нему первыми.

Дональд Трамп пообещал заставить Apple взломать свои смартфоны

Apple снова подвергается критике за отказ разблокировать iPhone по требованию ФБР, и теперь даже президент США Дональд Трамп (Donald Trump) публично призывает компанию взломать свои устройства и извлечь данные.

ФБР недавно связалось с Apple, чтобы разблокировать два iPhone, которые использовались стрелком на военно-морской базе Флориды перед атакой. Apple, однако, отказалась разблокировать защищённые паролем iPhone, добавив, что она предоставила ФБР все имеющиеся у неё данные, включая информацию, хранящуюся в облаке.

Дональд Трамп, тем не менее, считает, что Apple должна разблокировать смартфоны, которые используются преступниками, и, конечно, он воспользовался Twitter, чтобы его услышали. Любопытно, что призывая Apple взломать iPhone, он писал с iPhone. Вообще господин Трамп — давний пользователь смартфонов Apple и обычно использует iPhone, чтобы писать в Twitter.

«Мы постоянно помогаем Apple в ТОРГОВЛЕ и многих других вопросах, и всё же они отказываются разблокировать смартфоны, используемые убийцами, торговцами наркотиками и другими жестокими преступными элементами. Но им придётся принять зависящие меры и помочь нашей великой Стране, СЕЙЧАС! СДЕЛАЕМ АМЕРИКУ ВЕЛИКОЙ СНОВА», — написал Дональд Трамп.

Генеральный прокурор США Уильям Барр (William Barr) тоже настаивает, чтобы Apple помогла ФБР получить доступ к данным на iPhone, сообщив в начале этой недели газете New York Times, что Apple не предоставила какой-либо ценной информации следователям.

Со своей стороны, Apple говорит, что она тесно сотрудничала с ФБР с момента атаки: «Мы отвергаем утверждения, что Apple не оказала существенной помощи в расследовании Пенсакольского дела. Наши ответы на их многочисленные запросы с момента атаки были своевременными и тщательными, и они продолжаются. Мы отвечали на каждый запрос быстро, часто в течение нескольких часов, делясь информацией с офисами ФБР в Джексонвилле, Пенсаколе и Нью-Йорке. В результате запросов было получено много гигабайт информации, которую мы передали следователям. В каждом случае мы отвечали всей информацией, которой располагали».

Несмотря на требования от высокопоставленных лиц на разблокировку iPhone, Apple, как ожидается, будет придерживаться своего первоначального решения и откажется от взлома устройств.

Алгоритм опередил развитие процессоров: взломан самый длинный ключ RSA

Программистам удалось посрамить электронщиков. Без улучшения аппаратной платформы ― фактически с опережением того самого пресловутого закона Мура ― группе исследователей по безопасности удалось поставить новый рекорд по взлому ключа RSA, который до сих пор удавалось вычислить. Подчеркнём ещё раз, рекорд поставлен не на росте голой производительности компьютерного «железа», а благодаря усовершенствованным алгоритмам для разложения большого числа на простые множители и с использованием улучшенной методики вычисления дискретного логарифма.

Многие алгоритмы шифрования с открытым ключом опираются на чрезвычайно большие числа, которые, в свою очередь, получаются путём перемножения двух или более простых чисел. Простые числа в данном случае служат секретными ключами, которые позволяют получить нужный ключ и расшифровать сообщение. Аналогичным образом используется сложность в нахождении дискретного логарифма. Разложение достаточно больших чисел на простые множители и вычисление дискретного логарифма ― это задачи, которые не подлежат взлому, а только вычислению. Все большие числа, которые можно разложить на простые в разумное время, являются скомпрометированными и для повышения защиты шифрования их разрядность необходимо увеличивать.

Новый рекорд, поставленный специалистами, позволил разложить на простые числа ключ RSA-240 длиной 240 десятичных разрядов или 795 бит. Эта же самая команда исследователей смогла вычислить дискретный логарифм такой же длины. Предыдущий рекорд разложения на простые множители был поставлен в 2010 году. Тогда удалось взломать ключ RSA с разрядностью 768 бит или с 232 десятичными разрядами. Простой дискретный логарифм для этой разрядности смогли вычислить в 2016 году. Похоже, ключ RSA 1024 бит в опасности и для надёжного шифрования данных необходимо переходить на 2048-разрядные ключи.

Важнейшим моментом исследования стал факт ускорения вычислений на той же самой аппаратной платформе, которая использовалась в 2016 году. По идее этого не должно было произойти. Растущая сложность вычисления дискретного логарифма длиной 795 бит должна была потребовать в 2,5 раза больших аппаратных ресурсов, чем для вычисления 768-битного числа. Фактически расчёты оказались в 1,33 раза быстрее, что говорит о 3-кратном превосходстве предсказания. Ускорение расчётов исследователи связали с обновлениями в программном обеспечении с открытым исходным кодом, которое опирается на вычисления с использованием метода решета числового поля (Number Field Sieving). Такой пакет как CADO-NFS содержит 300 тыс. строк кода, написанного на C и C ++.

Сумма времени для обоих новых рекордов составляет около 4000 ядро-лет. Аппаратная платформа для решения этой задачи состояла из процессоров Intel Xeon Gold 6130 с тактовой частотой 2,1 ГГц. На вычисление RSA-240 методом NFS ушло 800 ядро-лет, а матричным методом ― 100 ядро-лет. Вычисление логарифма DLP-240 методом NFS потребовало 2400 ядро-лет, а матричным ― 700 ядро-лет. Если не скупиться на ядра, взлом достаточно больших чисел в ключах RSA становится возможен в разумные сроки. Границу «безопасной» разрядности пора отодвигать.

Клавиатура Cherry Secure Board 1.0 обеспечивает шифрование нажатий

Компания Cherry представила весьма любопытную новинку — клавиатуру Secure Board 1.0, которая будет предлагаться в белом и чёрном вариантах цветового исполнения.

Главная особенность решения заключается в поддержке безопасного режима работы. При его использовании клавиатура идентифицирует себя с применением сертификата, а нажатия клавиш шифруются. Это обеспечивает защиту от аппаратных клавиатурных шпионов (кейлоггеров).

Модель Secure Board 1.0 имеет низкопрофильное исполнение. В правой части присутствует блок цифровых кнопок. Над ним находятся четыре дополнительные клавиши для выполнения часто используемых действий, в частности, для вызова калькулятора и почтового клиента.

Ещё одна особенность новинки — встроенный ридер смарт-карт и карт RF/NFC. Соответствующий модуль располагается в верхней части клавиатуры.

Заявленный ресурс клавиш превышает 10 млн нажатий. Для подключения к компьютеру служит интерфейс USB, длина кабеля — 180 см. Габариты новинки составляют 458 × 188 × 46 мм, вес — 840 г.

Приобрести Cherry Secure Board 1.0 можно будет по ориентировочной цене 70 евро. 

«Лаборатория Касперского» обнаружила инструмент, нарушающий процесс шифрования HTTPS

«Лаборатория Касперского» обнаружила вредоносный инструмент Reductor, который позволяет подменять генератор случайных чисел, использующийся для шифрования данных на этапе их передачи от браузера к HTTPS-сайтам. Это открывает злоумышленникам возможность втайне от пользователя следить за его действиями в браузере. Кроме того, найденные модули имели в своём составе функции удалённого администрирования, что максимально расширяет возможности этого ПО.

С помощью данного инструмента злоумышленники осуществляли операции кибершпионажа за дипломатическими представительствами в странах СНГ, преимущественно следили за трафиком пользователей.

Установка зловреда происходит в основном с помощью вредоносной программы COMPfun, идентифицированной ранее как инструмент кибергруппировки Turla, либо через подмену «чистого» ПО в процессе скачивания с легитимного ресурса на компьютер пользователя. Скорее всего, это означает, что у злоумышленников есть контроль над сетевым каналом жертвы.

«Мы впервые столкнулись с такого рода вредоносной программой, позволяющей обойти шифрование в браузере и долгое время оставаться незамеченной. Уровень её сложности позволяет предположить, что создатели Reductor — серьёзные профессионалы. Часто подобные зловреды создаются при поддержке государства. Однако мы не располагаем доказательствами того, что Reductor имеет отношение к какой-либо конкретной кибергруппировке», — отметил Курт Баумгартнер, ведущий антивирусный эксперт «Лаборатории Касперского».

Все решения «Лаборатории Касперского» успешно распознают и блокируют программу Reductor. Чтобы избежать заражения, «Лаборатория Касперского» рекомендует:

  • регулярно проводить аудит безопасности корпоративной IT-инфраструктуры;
  • установить надёжное защитное решение с компонентом защиты от веб-угроз, позволяющим распознавать и блокировать угрозы, которые пытаются проникать в систему через зашифрованные каналы, например Kaspersky Security для бизнеса, а также решение корпоративного уровня, детектирующее сложные угрозы на сетевом уровне на ранней стадии, например Kaspersky Anti Targeted Attack Platform;
  • подключить SOC-команду к системе информирования об угрозах, чтобы у неё был доступ к информации о новых и существующих угрозах, техниках и тактиках, используемых злоумышленниками;
  • регулярно проводить тренинги по повышению цифровой грамотности сотрудников.

Процессоры AMD Ryzen Pro серии 3000 обеспечат полное шифрование памяти

В минувший понедельник компания AMD представила семейство настольных процессоров AMD Ryzen Pro серии 3000. Это процессоры для бизнес-ПК, распространение которых в основном будет происходить по OEM-каналам или с помощью системных интеграторов. Обычному пользователю редко удаётся собрать систему на подобных процессорах. Могут ли они заинтересовать такого пользователя? Ответ «да» будет в том случае, если нужна система с повышенным уровнем защиты от взлома.

В частности, процессоры AMD Ryzen Pro, как утверждают в компании, представляют собой единственные в индустрии решения с полным прозрачным шифрованием данных в оперативной памяти. Как и процессоры Intel vPro, AMD Ryzen Pro поддерживают много функций защиты данных и системы ― от безопасной загрузки и защищённой аутентификации до гарантии доверенных вычислений. Но в отличие от бизнес-процессоров (платформ) конкурента, процессоры AMD Ryzen Pro с 2017 года поддерживают полное прозрачное шифрование памяти.

Технология Transparent Secure Memory Encryption не зависит от операционной системы и приложений и работает с использованием всего одного ASE-ключа. В некотором роде это эквивалент технологии SME, перекочевавший из серверных платформ AMD EPYC. Впрочем, в платформах EPYC всё намного сложнее. Технология защиты Secure Encrypted Virtualization (SEV) кроме шифрования памяти позволяет изолировать друг от друга гипервизор, виртуальные машины и контейнеры или их группы, а также отдельные приложения. Но и имеющихся средств защиты данных в ОЗУ в платформе AMD Ryzen Pro часто достаточно, чтобы чувствовать себя защищённее.

window-new
Soft
Hard
Тренды 🔥