Рубрика «криптография»

в 11:37, , рубрики: enigma, Блог компании ua-hosting.company, криптография, старое железо, шифрование, Энигма

Тайно проникнуть в намерения и замыслы противника, выявить его сильные и слабые стороны, предугадать, а часом и предотвратить планы — вот что представляет собою феномен разведки. Начало прошлого столетия по праву заслуживает звания века расцвета искусства разведки и контрразведки. Это статья не воспевание гимна Германии времен Второй Мировой, а еще одно напоминание о том, насколько много усилий было приложено для победы в далеких 40-х годах прошлого столетия. Ведь уже к началу Второй Мировой Германия стала мировым лидером по производству специальной техники в данной области. Разнообразные магнитофоны, в том числе и малогабаритные, миниатюрные микрофоны, системы подслушивания считались лучшими в мире, ведь они были разработаны в соответствии в последними достижениями немецкой науки в области радиотехники и химии.

Немного криптографии: загадочная и легендарная Enigma - 1

Всего несколько экземпляров Энигмы, самой сложной шифровальной машины гитлеровского рейха, смогли пережить войну: преданные солдаты фашистской армии, сдаваясь, уничтожали ее тысячами. Сегодня о технике шифрования, применяемой в легендарной «Загадке» мало кто может рассказать.
Читать полностью »

в 13:47, , рубрики: blockchain, random number generator, Алгоритмы, децентрализованные сети, информационная безопасность, криптография

Введение

function getAbsolutelyRandomNumer() {
        return 4; // returns absolutely random number!
}

Как и в случае с концепцией абсолютно стойкого шифра из криптографии, реальные протоколы “Publicly Verifiable Random Beacon” (далее PVRB) лишь пытаются максимально приблизиться к идеальной схеме, т.к. в реальных сетях в чистом виде она неприменима: договариваться надо строго об одном бите, раундов должно быть много, а все сообщения должны быть идеально быстрыми и всегда доставляться. Разумеется, в реальных сетях это не так. Поэтому, при проектировании PVRB под конкретные задачи в современных блокчейнах, помимо невозможности контроля получаемого рандома и криптографической стойкости, возникает еще много чисто архитектурных и технических проблем.

Читать полностью »

в 15:30, , рубрики: asn.1, asyncio, IM, pyderasn, pygost, python, suckless, децентрализованные сети, информационная безопасность, криптография, Программирование

Будучи разработчиком PyGOST библиотеки (ГОСТовые криптографические примитивы на чистом Python), я нередко получаю вопросы о том как на коленке реализовать простейший безопасный обмен сообщениями. Многие считают прикладную криптографию достаточно простой штукой, и .encrypt() вызова у блочного шифра будет достаточно для безопасной отсылки по каналу связи. Другие же считают, что прикладная криптография — удел немногих, и приемлемо, что богатые компании типа Telegram с олимпиадниками-математиками не могут реализовать безопасный протокол.

Всё это побудило меня написать данную статью, чтобы показать, что реализация криптографических протоколов и безопасного IM-а не такая сложная задача. Однако, изобретать собственные протоколы аутентификации и согласования ключей не стоит.

Hearing

В статье будет написан peer-to-peer, friend-to-friend, end-to-end зашифрованный instant messenger с SIGMA-I протоколом аутентификации и согласования ключей (на базе которого реализован IPsec IKE), используя исключительно ГОСТовые криптографические алгоритмы PyGOST библиотеки и ASN.1 кодирование сообщений библиотекой PyDERASN (про которую я уже писал раньше). Необходимое условие: он должен быть настолько прост, чтобы его можно было написать с нуля за один вечер (или рабочий день), иначе это уже не простая программа. В ней наверняка есть ошибки, излишние сложности, недочёты, плюс это моя первая программа с использованием asyncio библиотеки.
Читать полностью »

в 4:01, , рубрики: telegram, WhatsApp, бэкдоры, Вконтакте, давление властей, информационная безопасность, криптография, Павел Дуров, секретные приказы ФБР, Софт, Социальные сети и сообщества, Управление продуктом, уязвимости, шифрование

Автор колонки — Павел Дуров, основатель мессенджера Telegram

Почему WhatsApp никогда не станет безопасным - 1

Мир, кажется, шокирован новостью о том, что WhatsApp превратил любой телефон в шпионское ПО. Всё на вашем телефоне, включая фотографии, электронные письма и тексты, было доступно злоумышленникам только потому, что у вас установлен WhatsApp.

Однако эта новость меня не удивила. В прошлом году WhatsApp пришлось признать очень похожую проблему — хакер мог получить доступ ко всем данным вашего телефона через один видеозвонок.
Читать полностью »

в 15:39, , рубрики: aes-128, c++, Алгоритмы, криптография

Если вбить в яндекс 'aes 128 ecb mode', найдутся хорошие статьи ребят на "хабре": раз и два — толковые и одновременно слишком подробные.

Рассказ об алгоритме в картинках находится здесь (который также можно найти по ссылкам в одной из статей ребят выше).

Кратко об алгоритме: 1) создаем объект с 16-байтным state и массивом 16-байтных ключей; 2) пишем примитивы для объекта (они же трансформации); 3) запускаем n раз (где n — кол-во раундов). Все трансформации делаем симметричными — для зашифровки и расшифровки одновременно. Расшифровка в терминах алгоритма — это зашифровка наоборот.

Структура:

using byte_t = unsigned char;
struct aes128 {
  aes128(const std::string& text, const std::string& cipher, bool decrypt = false)
    : state({begin(text), end(text)}), keys({{begin(cipher), end(cipher)}}), decrypt(decrypt) {}
  aes128() = default;
  aes128(const aes128&) = default;

  std::vector<byte_t> state;
  std::vector<std::vector<byte_t>> keys;
  bool decrypt;
}

Читать полностью »

в 20:18, , рубрики: bitcoin, Dusting Attack, биткоин, криптовалюта, криптография

image

Dusting Attack относится к новому виду вредоносных действий, когда хакеры или мошенники пытаются выяснить личность владельца кошелька Bitcoin или другой криптовалюты, отправляя крошечные суммы монет на их личные кошельки. Затем транзакции этих кошельков отслеживаются злоумышленниками, которые выполняют комбинированный анализ нескольких адресов, пытаясь идентифицировать владельца кошелька.

Цель состоит в том, чтобы в конечном итоге иметь возможность связать адреса и кошельки, с соответствующими компаниями или частными лицами. В случае успеха, злоумышленники могут использовать эту информацию против своих целей, либо с помощью тщательно разработанных фишинговых атак или угроз кибер-вымогательства.
Читать полностью »

в 11:59, , рубрики: smali, байт-код, криптография, реверс-инжиниринг, реверс-инжиниринг для новичков, тестовое задание

Переезд. Новый город. Поиски работы. Даже для IT специалиста это может занять длительное время. Череда собеседований, которые, в общем, очень похожи друг на друга. И как оно обычно бывает, когда ты уже нашел работу, через некоторое время, объявляется одна интересная контора.

Было сложно понять, чем она конкретно занимается, однако, область ее интересов – исследование чужого ПО. Звучит интригующе, хотя когда понимаешь, что это вроде бы не вендор, который выпускает софт для кибербезопасности, на секунду останавливаешься и начинаешь чесать репу.

Расследование по делу одного неизвестного архива - 1
Читать полностью »

в 18:23, , рубрики: bitcoin, blockchain, Smart Contracrs, Криптовалюты, криптография

image

История смарт-контрактов

Принцип интеллектуальных контрактов был описан американским криптографом и программистом Ником Сабо еще в 1996 году задолго до появления технологии blockchain. Согласно концепции Сабо, интеллектуальные контракты — это цифровые протоколы для передачи информации, которые используют математические алгоритмы для автоматического выполнения транзакции после выполнения установленных условий и полного контроля процесса. Это определение, которое опережало свое время более чем на десять лет, остается точным и по сей день. Однако в 1996 году эта концепция не могла быть реализована: в то время необходимые технологии не существовали, в частности, распределенная книга.Читать полностью »

в 14:59, , рубрики: IT-стандарты, libgcrypt, libressl, open source, openssl, PKCS#11, streebog, token, ГОСТ Р 34.11-2012, информационная безопасность, криптография, Программирование

Об open-source реализациях хэш-функции ГОСТ Р 34.11-2012 и их влиянии на электронную подпись ГОСТ Р 34.10-2012 - 1В свое время реализация отечественных криптографических алгоритмов в библиотеке libgcrypt очень меня вдохновила. Стало возможным задействовать эти алгоритмы и в Kleopatra и в Kmail и в GnuPg в целом, рассматривать библиотеку libgcrypt как алтернативу openssl с ГОСТ-ым engine. И все было замечательно до прошлой пятницы. Читать полностью »

в 8:34, , рубрики: Блог компании GlobalSign, информационная безопасность, криптография, пароли, Разработка веб-сайтов, фриланс, фрилансеры, шифрование

«Если хотите, я могу зашифровать пароли»

Веб-разработчики пишут небезопасный код по умолчанию - 1

Некоторые разработчики, которым дали прямое указание применить криптографию, использовали шифрование парольной базы с помощью Base64

Когда в СМИ появляется информация об очередной утечке данных, всегда вызывает недоумение, почему компания хранила пароли пользователей открытым текстом, не защитила API или сделала какую-то другую элементарную ошибку. Неужели в наше время возможно такое нарушение правил безопасности?

Новое исследование из Университета Бонна (Германия) показывает, что разработчики-фрилансеры по умолчанию придерживаются исключительно небезопасных практик, если только заказчик не требует большего.
Читать полностью »

123...1020...87
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS