Blog
2010.06.28.
A mai nap informatikai biztonsági érdekessége, hogy egy csalással vádolt brazil bankár merevlemezét lefoglalta a rendőrség, de sem a brazil nyomozóiroda (National Institute of Criminology, INC), sem az FBI nem tudta a lemez tartalmát visszafejteni. Állítólag csak azért, mert a TrueCrypt védte azt AES-256 algoritmussal, és erős jelszóval. Forrás: Brazilian banker´s crypto baffles FBI Címkék: adatbiztonság , kriptográfia , megfigyelés , truecrypt A bejegyzés címe: 2010.06.18.A HTTPS Everywhere egy egyszerű gondolatot valósít meg: hogyha egy weboldal HTTPS-en keresztül is elérhető, akkor használjuk csak azon keresztül. A gyakorlatban ennek több akadálya lehet, például HTTP-s linkek mutathatnak a védtelen oldalra – nos, az ilyen jelenségek ellenére is kikényszeríti a kiegészítő a HTTPS használatát. (Az alkalmazás fejlesztését a HTTPS-en keresztül is elérhető Google kereső inspirálta.) A kiegészítő számos nagy szolgáltatással működik együtt, de a felhasználó saját maga is beállíthat újakat. Forrás: HTTPS Everywhere Címkék: firefox , https , kriptográfia , webes megfigyelés A bejegyzés címe: 2010.06.07.A telefonok lehallgatása nem új téma, és már korábban beszámoltunk a GSM feltörésére irányuló kísérletről. Emiatt a szakértők már régóta szerettek volna olyan szoftvert készíteni, ami képes szoftveres szinten titkosítani a GSM-es telefonbeszélgetéseket. Ez azért is fontos, mert a GSM hálózaton csak a bázisállomásig alkalmaznak titkosítást, utána a beszélgetés titkosítatlanul halad tovább. Ráadásul az alkalmazott titkosítás nem is túl erős. Forrás: Android App Aims to Allow Wiretap-Proof Cell Phone Calls Címkék: gsm , kriptográfia , lehallgatás A bejegyzés címe: 2010.04.05.Ha egy TrueCrypt virtuális meghajtó tartalmához hozzá akarunk férni, szükségünk van a rejtjelezési kulcsra. A kulcs megadása után azonban az információ védtelen: az operációs rendszer kérésre kiszolgáltatja az addig rejtjelezetten tárolt kulcsot. Mit csináljunk azonban akkor, ha egy irodában dolgozunk a virtuális meghajtón tárolt adatokon, és szeretnénk kimenni meginni egy kávét – mindezt anélkül, hogy kíváncsi munkatársaink beletúrhatnának a privát szféránkba? Forrás: Break TrueCrypt hard drive encryption quickly Címkék: biztonság , kriptográfia A bejegyzés címe: 2010.01.19.A MojoPac lehetőséget ad arra (írtunk róla tavaly), hogy ne csupán egy-egy programunkat, hanem akár egész számítógépünket magunkkal hurcoljuk, mindezt pedig privátszféra-barát módon: ha egy idegen gépen dolgoznánk, akkor sem hagyunk ott magunk után nyomot, és elvileg a rendszer sem fér hozzá fájljainkhoz, adatainkhoz a MojoPac meghajtón. Az IronClad USB meghajtó hasonló megoldást kínál: egy legalább 8GB méretű, ütés, por- és vízálló meghajtót, ami valamilyen nem ismertetett (?) 256 bites algoritmussal titkosítja a rendszerünket. Hasonlóan a MojoPac-hez, itt is minden a meghajtóról indul el, pontosabban már a rendszer is innen töltődik be. A dolog érdekessége nem is itt kezdődik, hanem ez után. Forrás: Secure computing on a USB flash drive Címkék: hordozhatóság , kriptográfia , rövid hír , tartalom védelem A bejegyzés címe: 2010.01.16.„Figyelem! Belépés csak jogosult felhasználóknak! A Cég hálózatán átvitt és a Cég által biztosított eszközökön tárolt mindennemű információt a Cég rögzíthet, törölhet, naplózhat, feldolgozhat, megvizsgálhat, függetlenül attól, hogy ezek magánjellegűek-e. Ezek a tevékenységek a Cég informatikai biztonsági és titoktartási szabályzatának betartatását és ellenőrizhetőségét szolgálják. Az ezen ablakon történő továbblépéssel Ön tudomásul veszi ezeket a feltételeket, valamint azt, hogy a fent megnevezett szabályzatok megsértése jogi és fegyelmi következménnyel járhat, beleértve a munkaviszony megszüntetését is.” Aki olyan helyen dolgozik, ahol a munkát számítógép előtt ülve végzik, valószínűleg találkozott már a fentihez hasonló üzenettel pl. a céges intranetre történő bejelentkezés előtt. Sok cég azonban megengedi, hogy a számítógépen például személyes ügyben levelezzünk, vagy banki ügyeinket intézzük, így felmerül a személyes adatokkal történő visszaélés lehetősége – ennek jogi vonatkozásait lásd előző bejegyzésünkben. Az alábbiakban megemlítem a megfigyelés néhány módozatát, és az ezek elleni esetleges védekezési módokat. (Figyelem! Ezen blogbejegyzés célja nem az, hogy a céges szabályzatok által kifejezetten tiltott tevékenységek űzését – például fájlcserealkalmazás futtatását – megkönnyítse, hanem, hogy az engedélyezett magánjellegű használat során ne adjunk ki feleslegesen személyes információt a munkáltatónk számára.) Forrás: Levél: Kémprogrammal figyelnek Címkék: hálózat , kriptográfia , megfigyelés , munkahely , privacy A bejegyzés címe: 2010.01.13.December végén felröppentek a hírek, hogy feltörték a GSM titkosítását. Mi is beszámoltunk róla, hogy kutatóknak sikerült olyan kódtáblákat előállítaniuk, amelyek segítségével gyorsabban megfejthetővé válnak a hívások. Azonban a hardver kiépítésének nehézsége és a szükséges – relatíve nagy – erőforrásigény miatt nem várható egyelőre, hogy ez a lehetőség bárki számára elérhető lesz, hanem inkább nagyvállalati, intézményi szinten várhatóak támadások. Forrás: Another GSM encryption technique falls to researchers Címkék: 3g , gsm , kriptográfia , megfigyelés , rövid hír A bejegyzés címe: 2010.01.10.Tudjuk, hogy az asszimetrikus kriptográfia alapjaként NP-teljes problémákra építenek, és eképp van az RSA esetében is, amikor konkrétan a prímek faktorizációjának nehézségére vezetik vissza a privát kulcs kitalálásának nehézségét. Egy egész friss cikkből kiderül, hogy néhány kutatónak sikerült megtalálni egy 768 bites RSA modulus szorzóit. Forrás: 768-bit RSA cracked, 1024-bit safe (for now) Címkék: kriptográfia , rövid hír , rsa A bejegyzés címe: 2009.10.25.Szerdán jelent meg a TrueCrypt rejtjelezőszoftver 6.3-as verziója. A "hajtás után" röviden beszámolunk az utolsó néhány változat fontosabb fejlesztési irányairól. Forrás: TrueCrypt - Free Open-Source Disk Encryption - Documentation - Version History Címkék: biztonság , kriptográfia A bejegyzés címe: 2009.09.01.Manapság ha hitelesíteni akarunk valakit, jelszót kérünk tőle. Ezt azonban könnyen le is lehet másolni. Hogy ha nem csak hitelesíteni szeretnénk aki a gép előtt ül, hanem arról is meg akarunk győződni, hogy rendelkezik valami nehezen megszerezhető fizikai eszközzel, akkor jönnek a képbe a hardver tokenek (pl. TrueCrypt esetén), vagy akár el is küldhetünk a telefononjára sms-ben egy kódot, amit később majd bekérünk. Forrás: PassWindow Címkék: érdekesség , jelszó , kriptográfia A bejegyzés címe: 2009.08.25.Egyes amerikai kutatók el szeretnének indítani egy projektet, amelynek célja az lenne, hogy felhívja a szolgáltatók figyelmét a GSM kódolási algoritmusának gyengeségére - ahogy azt annó a WEP-pel is tették. Ezt pedig úgy, hogy elosztott számítással készítenek egy előre gyártott kód táblázatot, amivel az A5/1 algoritmus gyorsan törhetővé válik, bárki számára, így is demonstrálva a már többszörösen elbukott algoritmus gyengeségeit (egyébként Európában is ezt használjuk). Valóban féltenünk kellene a biztonságunkat? Nem igazán, az ugyanis már így is eléggé virtuális; vagyis legfeljebb a szomszédunktól kell majd néhány hónap múlva félnünk. A GSM rendszerhez kódtörő készülékek már régóta találhatóak a piacon (noha nem túl olcsók), ráadásul a GSM kommunikáció csak a bázisállomásig van rejtjelezve, onnan ismét kódolatlanul utazik tovább az információ. Ráadásul az algoritmus elég gyenge kulcsokat használ, mindössze 64 bit hosszúakat. Érdeklődőknek ajánljuk a fenti linket, illetve keresőkkel is lehet találni néhány érdekes tananyagot, amiből az alapok elsajátíthatóak. Forrás: Cracking GSM phone crypto via distributed computing Címkék: gsm , kriptográfia , lehallgatás A bejegyzés címe: 2009.02.21.Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat hatodik darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. A sorozat előző darabja itt olvasható: http://pet-portal.eu/blog/2009_02_07_Alkalmazott_kriptografia_8211_TrueCrypt/ A TrueCrypt (TC) működését taglaló írásomat a benne használt algoritmusok, valamint az újabb verziókhoz adott szolgáltatások ismertetésével folytatom. (Az előző blogbejegyzésemhez születtek olyan kommentárok, melyek a felhasznált kriptográfiai algoritmusok jellegének fontosságát firtatták – ezért határoztam úgy, hogy ezekről is hosszabban szólok.) Igen gyakran, és egyáltalán nem légbőlkapottan elhangzó állítás, hogy az Egyesült Államokban kifejlesztett kriptográfiai algoritmusokhoz kötelezően tartozik egy "tolvajkulcs", mert így könnyebb azokat legálisan "kivinni" az országból. Éppen ezért van a TC-ben három "kriptográfiai építőkocka" implementálva: az AES-256, a Serpent és a Twofish. Címkék: biztonság , kriptográfia A bejegyzés címe: 2009.02.07.Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat ötödik darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. A sorozat előző darabja itt olvasható: http://pet-portal.eu/blog/2008_07_21_Aszimmetrikus_kriptografia/ Az eddigiekben a kriptográfiában használt algoritmusokról írtam, de kevés szó esett arról, hogy a gyakorlatban hogy néz ki a kényes természetű adatok védelme. A TrueCrypt nevű, népszerű rejtjelezőprogram bemutatásával szeretném ezt a hiányt pótolni. Címkék: adatbiztonság , biztonság , kriptográfia A bejegyzés címe: 2008.09.21.Ahogy a Hacktivity egyik mai előadásán Földes Ádám Máté is beszélt róla, és már írtunk róla korábban, a PET-ek és a szteganográfia között van kapcsolat. Címkék: kriptográfia , pet , privacy , szteganográfia A bejegyzés címe: 2008.08.27.Korábban is már foglalkoztunk a PET-ek és a szteganográfia kapcsolatával, és ebben a bejegyzésben is az Ian Goldberg disszertációjának szemszögéből mutatjuk be a kérdést, amely nem csak a szteganográfiát, de a PET technológiákat is elhelyezi a kriptográfia "közismert" tudománya mellett. (Az előző bejegyzés itt olvasható.) Címkék: kriptográfia , privacy , szteganográfia A bejegyzés címe: 2008.07.21.Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat negyedik darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. A sorozat előző darabja itt olvasható: http://pet-portal.eu/?page=blog&topic=pet&func=read&id=72 Az eddigiekben szimmetrikus kriptográfiáról volt szó, pár példával – ma is használt rendszerek vázlatos ismertetésével – fűszerezve. Emlékezzünk: a szimmetrikus kriptográfiában a nyílt szöveget titkos szöveggé transzformáló kulcs azonos a fordított irányú transzformációt elvégzővel. Az aszimmetrikus (vagy más néven nyilvános kulcsú ) kriptográfiában más a helyzet. Forrás: http://en.wikipedia.org/wiki/Public-key_cryptography Címkék: biztonság , kriptográfia A bejegyzés címe: 2008.05.26.Az egyszeri kitöltés algoritmusa és az étkező kriptográfusok protokollja2008.05.26. 23:11:11, Földes Ádám Máté Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat harmadik darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. A sorozat előző darabja itt olvasható:http://pet-portal.eu/blog/2008_04_23_Szimmetrikus_kriptografia/ Előző bejegyzésemben megígértem, hogy írok majd az OTP-ről, vagyis az egyszeri kitöltés algoritmusról, méghozzá azért, hogy illusztráljam, nem minden algoritmust lehet feltörni a nyers erő módszerével. Úgy éreztem, hogy ennek a szimmetrikus kriptográfiáról szóló blogbejegyzés után van itt az ideje. Ebben a bejegyzésben azonban terítékre kerül az étkező kriptográfusok protokollja is, mivel a két algoritmus által használt matematikai konstrukció ugyanaz. E két módszer ismertetésénél azonban sajnos nem lehet „megúszni” a matematikát, úgyhogy ebben a bejegyzésben kicsit több lesz az elmélet. Mindazonáltal bízom benne, hogy ez nem riasztja el a laikusokat – igazán bonyolult dolgokról nem lesz ugyanis szó. Forrás: The Dining Cryptographers´ Problem Címkék: anonimitás , kriptográfia A bejegyzés címe: 2008.05.20.Korábban is már tettünk említést az olyan egyszeri elemek alkalmazásának veszélyeiről, amelyek meghibásodásukkal egy egész hálózat leállását vonhatják maguk után (SPF, Singe Point of Failure). Az ilyen elemeken minden forgalom áthalad általában (feltéve, hogy például nem a tápellátásról van szó, vagy emberi erőforrásokról; bár ez utóbbinál ez a kifejezés nem használatos), és így könnyebbé válhat az adott információ megfigyelése. Címkék: biztonság , gsm , kriptográfia , megfigyelés , spf A bejegyzés címe: 2008.05.13.Lassanként bármilyen szolgáltatást is szeretnénk igénybe venni, rögtön szembesülünk a helyes jelszó megválasztásának nehézségével - főleg, ha már a tizedik megjegyzendő jelszóról van szó -, de ha szemfedőt veszünk, és maradunk az "alma123" sémánál, akkor számos olyan cikket találhatunk, amely szembesít minket hanyagságunkkal. Ha webről van szó, használhatjuk a böngészőnket is erre a célra, de ez nem mindig célra vezető megoldás (forrás), helyette célszerűbb a jelszó adatbázist, és így a böngészőben tárolt profilunkat is, vagy hordozható eszközön, vagy titkosított partíción tárolni. Forrás: KeePass Password Safe Címkék: bankkártya , jelszó , kriptográfia , personal data A bejegyzés címe: 2008.04.23.Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat második darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. A sorozat első darabja itt olvasható: http://pet-portal.eu/blog/2008_04_08_Kriptografia_hol_segit_a_privatszfera_vedelmeben_a_titkositas/ Az előző részben adott, általánosabb jellegű bevezetés után picit közelebbről is megnézzük a kriptográfiai algoritmusokat. Csak a teljesség kedvéért: az algoritmus valamely feladat elvégzésére hivatott lépések véges sorozata (pl. a szakácskönyvek receptjei algoritmusoknak tekinthetőek). A kriptográfiai algoritmus tehát olyan módszer, mely rejtjelezéssel kapcsolatos feladatot hivatott megoldani (azért nem pusztán azt írtam, hogy „olyan módszer, mely rejtjelez”, mert így a definíció nem vonatkozna a hash függvényekre – róluk majd egy későbbi blogbejegyzésben írok). Forrás: Introduction to cryptography, Part 2: Symmetric cryptography Címkék: biztonság , kriptográfia A bejegyzés címe: 2008.04.08.Kriptográfia - hol segít a privátszféra védelmében a titkosítás?2008.04.08. 19:08:17, Földes Ádám Máté Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat első darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. Mi is egyáltalán a kriptográfia? Röviden és velősen megfogalmazva az információ elrejtésének, titkosításának, rejtjelezésének tudománya. (Egyes „iskolák” ide sorolják a kriptanalízist is, mely diszciplína a titkosított formában létező információ olvashatóvá tételével, visszafejtésével foglalkozik.) A kriptográfia alkalmazásának lényege, hogy a titkosított információ, kerüljön bár illetéktelen kezekbe, használhatatlan legyen mindenki számára, aki nem ismeri a visszafejtéshez szükséges paramétereket – ez utóbbiakról egy későbbi bejegyzésben lesz szó. Nem nehéz felismerni, hogy a titkosítás a privátszféra védelmének egyes területein alappillérnek számít – hiszen mi lenne az átlagember számára a kriptográfia alkalmazásának motivációja, ha nem az, hogy mások elől elrejtsen bizonyos érzékeny természetű információkat? Ebben a blogbejegyzésben a titkosítás egyes PET-es alkalmazásairól lesz szó. A későbbi részekben pedig igyekszem a lehető legkevesebb matematikai „töltelékkel” bemutatni az ezekben a megvalósításokban használt algoritmusokat, módszereket. Forrás: Cryptography Címkék: anonimitás , biztonság , forgalomelemzés , kriptográfia A bejegyzés címe:
|
BejelentkezésRegisztrációs panelHozzászólásokCímkékArchívumPartnereink
Ajánló
|
RSS 2.0 
Új bejegyzés beküldése 
Tovább a teljes bejegyzéshez (1 hozzászólás)