Статьи
Здесь вы найдете описания криптографических алгоритмов, работы на тему криптографии и информационной безопасности, помогающие глубже понять существующие уязвимости систем и методы защиты от них, публицистические и научные статьи.
Фокус
(07.02.14) | История Tor изнутри или как власти создали лучшую систему анонимности // Dune Lawrence Всё наполнено теориями заговора. В дискуссиях Reddit вокруг Tor указывают на связи проекта с властями, анонимные пользователи спрашивают: «Как мы можем верить, что Tor — это не вывеска ЦРУ или ФБР? Ведь так легко его скачать, поставить и стать якобы анонимным.» |
(03.12.13) | Игра "АНБ" // Питер Гутман "АНБ" — незатейливая игра для большой компании, лучше всего для десяти и более человек. Для неё не требуется никакого игрового инвентаря и предметов помимо игровых карт или даже клочков бумаги. Можете играть, просто сев в круг, но играть за столом всё-таки лучше (есть место для напитков и закусок). |
(12.07.13) | Детальный анализ: новые документы показывают, как АНБ шпионит за американцами без санкции суда // Курт Опсал, Тревор Тимм Накануне газета Guardian опубликовала новый пакет разглашённых секретных документов, связанных с судом FISA и АНБ, показывающих, как правительство в нарушение Конституции получало внесудебный доступ к электронной переписке американцев. Документы демонстрируют фундаментальные проблемы в неэффективных попытках установить разумные границы для программы АНБ по массовой слежке. |
(14.06.13) | О бессмысленности секретности // Джон Янг Самая важная информация несекретна, она спрятана на виду, ожидая раскрытия теми, кто готов её раскопать, проанализировать, собрать, очистить и свободно распространить. |
(06.03.13) | Два подхода к представлению приватности в социальных сетях // Seda Gurses, Claudia Diaz Разные сообщества исследователей в области компьютерных наук очерчивают "проблемы приватности соцсетей", как один из вариантов поднадзорной, институциональной и социальной приватности. Обращение к этим проблемам происходит так, как будто они являются независимыми. Мы показываем, что различные проблемы приватности взаимосвязаны и исследования приватности в соцсетях должны выигрывать от более целостного подхода. |
(05.02.13) | Интернет и власть: чего нам стоит опасаться // Брюс Шнайер Все передовые технологии меняют устоявшийся баланс сил, и интернет не является исключением. Мы привыкли к словам, что он даёт новые возможности слабым, но это лишь полдела. Если мы срочно не начнём дискуссию об информационных технологиях, формирующих наш мир, мы получим интернет, служащий лишь структурам власти, но не обществу в целом. |
(14.06.12) | Приватность коммуникаций как бессмысленная глупость // Джон Янг Единственная защита против коммуникационных систем — это избегание их использования. Защита при помощи шифрования, прокси, анонимности, подобной Tor-системам и технологиям защиты коммуникаций "военного уровня" — это магический акт. |
(23.03.12) | АНБ создаёт крупнейший центр перехвата сообщений // Джеймс Бэдфорд Вместо Библий, проповедников и молящихся, этот храм будет заполнен серверами, компьютерными экспертами разведки и вооружённой охраной. И вместо того, чтобы слышать слова, идущие с небес, эти новые поселенцы будут секретно перехватывать, сохранять и анализировать громадные количества слов и изображений, проходящих сквозь мировые телекоммуникационные сети. В маленьком городе Блафдейле Большая Любовь и Большой Брат станут трудными соседями. |
(20.06.11) | Почему "государственная безопасность" одерживает победу над приватностью // Daniel J Solove |
(24.12.10) | Домашний интернет с анонимностью "из коробки" // Tom Simonite |
(02.07.10) | Деструктивный активизм: обоюдоострый меч цифровых тактик // Стивен Мёрдок |
(08.02.10) | Анонимность и интернет // Брюс Шнайер |
(06.10.09) | "Мне нечего скрывать" и другие ошибочные толкования приватности // Daniel J Solove |
(22.08.09) | Взлёт и падение аппаратного дискового шифрования // Джон Каллас |
(27.04.09) | Инакомыслие становится безопаснее // Дэвид Тэлбот |
(17.03.09) | Приватность в век постоянного хранения данных // Брюс Шнайер |
(30.09.08) | О непростых взаимоотношениях между математикой и криптографией // Нил Коблитц |
(09.09.08) | Перехват данных в Интернете: прекрасный новый мир для прослушивания // Уитфилд Диффи и Сьюзан Ландау |
(09.09.08) | Криптография: как сохранить ваши секреты в безопасности // Анна Лисянская |
(31.01.08) | Риски для безопасности коммуникаций связи: потенциальные опасности Акта о Защите Америки // Стивен М. Бэлловин, Мэтт Блэйз, Уитфилд Диффи, Сьюзан Ландау, Питер Г. Нейман, Дженифер Рексфорд |
(20.12.07) | Краткая история GNU Privacy Guard // Вернер Кох |
(14.01.07) | Современная техника взлома паролей // Брюс Шнайер |
(26.10.05) | Анонимность: хорошая невостребованная технология // Хагаи Бар-Эль |
(23.08.05) | "Автомагическое" шифрование с новыми продуктами PGP // Джон Каллас |
(08.03.05) | Уязвимости Skype // SATtva |
(12.02.05) | Бесплатная альтернатива небесплатному PGP // SATtva |
(19.01.05) | Дыра в RC4 от Microsoft // Брюс Шнайер |
(13.12.04) | Глобальный справочник PGP // SATtva |
(07.09.04) | Почему новое – далеко не всегда лучшее, когда дело касается криптографии // Джон Каллас |
(26.08.04) | Криптоанализ MD5 и SHA: время для нового стандарта // Брюс Шнайер |
(24.08.04) | Криптоанализ хэш-функций – прогресс внушает опасения // unknown |
(12.07.04) | Теперь провайдеры могут читать вашу электронную почту – легально // Джон Каллас |
(21.06.04) | Рудимент или контрмера? // SATtva |
(16.05.04) | Взлом "на слух" // SATtva |
OpenPGP
Глубокая исследовательская работа ван Оттерлоо, рассматривающая следующие аспекты PGP: историю развития, реализованные алгоритмы, спецификации OpenPGP, исходный код, ошибки, бреши и уязвимости. Обязательное чтение для всех, кого интересует криптография и подробности работы программы. | |
Описание и сравнение различных реализованных в PGP алгоритмов и криптосистем. | |
Когда приложения переместились в Интернет, стало ясно, что использование паролей в этой среде не является ни в должной мере безопасным, ни достаточно масштабируемым. Эта статья рассматривает пути внедрения системы с объединенным управлением идентификацией, реализующей стойкую криптографию и инфрастуктуру ключей PGP. | |
Применение атаки Шнайера-Джеллада-Катца к протоколу OpenPGP на примере программ PGP и GnuPG. Эта комплексная методика позволяет в определённых случаях взломать PGP-шифрованное сообщение при помощи подобранного шифртекста и дешифрующего оракула. | |
Детали реализации атаки Мистера-Цуккерато на схему симметричного шифрования в стандарте OpenPGP. Она не имеет практической ценности против PGP и GnuPG, но может помочь в частичном взломе шифрованных сообщений, если оракулом выступает автоматизированная система. | |
Майк Перри, разработчик Tor-браузера, пытается аргументировать бесполезность сетей доверия в OpenPGP. | |
Участники проекта Secureshare.org пытаются аргументировать бесполезность продолжения использования OpenPGP. |
Криптология
Квантовая криптография — одна из наиболее зрелых технологий в новой области квантовой обработки информации. В отличии от криптографических техник, безопасность которых основана на недоказанных математических утверждениях, безопасность квантовой криптографии основана на законах физики. Сегодня она разрабатывается с прицелом на будущее, в котором взлом классических шифров с открытым ключом может стать практически достижимым. // Dag Roar Hjelme, Lars Lydersen, Vadim Makarov | |
Доводы сторонников систем QKD и обзор текущего положения дел в данной области. // Douglas Stebila, Michele Mosca, Norbert Lutkenhaus | |
Почему многие любительские шифры, которые фигурировали в криминальных расследованиях, остаются нераскрытыми// Джонатан Катц | |
Краткий сравнительный обзор второго из пяти финалистов конкурса SHS/SHA-3, претендующего на роль универсального симметричного криптопримитива. // unknown | |
Использование конструкций Sponge для симметричного шифрования в дуплексном и распараллеливаемом режиме с одновременной аутентификацией.// unknown | |
Комикс из простых фигурок в виде спектакля из четырёх актов, популярно объясняющий историю, применение и устройство алгоритма AES. // Джефф Мозер | |
Актуальное мнение на момент выхода статьи ведущих специалистов в области целочисленной факторизации, вычислению дискретного логарифма в эллиптических кривых и массированных параллельных вычислений по поводу нижних пределов стойкости используемых сегодня асимметричных алгоритмов. // Joppe W. Bos, Marcelo E. Kaihara, Thorsten Kleinjung, Arjen K. Lenstra, Peter L. Montgomery | |
Эта статья организована по такому принципу. Во второй части я предложу очень неформальную и далёкую от строгого технического описания дискуссию о криптографической безопасности вообще и доказуемой безопасности в частности. В третьей части мы обсудим возможные интерпретации доказательств, предоставляемых доказуемой безопасностью. Затем четвёртая часть будет адресована частному вопросу модели случайного оракула в доказуемой безопасности. В пятой части мы рассмотрим один аспект распространения криптографических исследований, <...> так называемое сверхдоверие к слушаниям на конференциях <...>. В шестой части мы отметим проблемы и вызовы, вызванные проблемами определений в криптографии. // Дуглас Стинсон | |
О практической бесполезности системы гомоморфного шифрования от IBM по мнению Брюса Шнайера. | |
К вопросу о реализации максимальных вычислительных возможностей и их использовании при решении криптоаналитических задач. | |
Обзорная статья Брюса Шнайера, посвященная описанию потенциальных уязвимостей реализаций криптосистем. | |
Как не попасться на удочку рекламных заявлений о совершенной защите и надёжности ненадёжного криптопродукта; эссе Брюса Шнайера, опубликованное в его ежемесячной рассылке CRYPTO-GRAM. | |
О причинах консервативного подхода к криптографии, почему не стоит спешить с принятием новых идей. | |
Личностная криптография (IBE) – это относительно новая криптографическая система, в которой пара "открытый / закрытый ключ" может быть получена из любой строки. | |
Спекуляции и подтверждённые факты о способах взлома шифровальных ключей, о современных возможностях и перспективах в данной сфере. | |
Взгляд эксперта на новейшее семейство алгоритмов с открытым ключом, их достоинства, слабости и свойства. Нужно ли стремиться к новизне или стоит исповедовать более конвервативные взгляды? |
Безопасность
Известно, что компьютеры, подключенные к интернету, уязвимы перед взломом извне, и физическая изоляция — создание "воздушного зазора", физически отделяющего единственный компьютер либо локальную сеть от глобального интернета — призвана защитить от подобных атак. Однако это сложнее, чем кажется на первый взгляд, и требует дополнительных разъяснений. | |
Теперь, когда у нас достаточно подробностей о том, как АНБ шпионит за интернетом, включая недавнюю публикацию о целенаправленных действиях АНБ по ослаблению криптосистем, мы наконец можем подумать, как обезопасить себя. | |
В течении почти двадцати лет с момента начала использования GSM было найдено множество проблем безопасности, как в протоколах, так и в исходной скрытой части — криптографии. Однако, практические способы использования уязвимостей осложнены тем, что все они требуют обработки сигналов и не были замечены где-либо за пределами агентств охраны правопорядка. Это может поменяться за счёт недавних разработок в области оборудования и программного обеспечения с открытым исходным кодом, с помощью которого возможен перехват и оцифровка сигналов с GSM-частот. Это может сделать практические атаки на GSM значительно более простыми в осуществлении. | |
Данная работа представляет новую атаку, атаку создания сертификатов по принуждению, в которой правительственные агентства вынуждают центры сертификации выпускать фальшивые SSL-сертификаты, которые затем используются разведывательными агентствами с целью скрытного перехвата и перенаправления защищённых вэб-коммуникаций отдельных пользователей. | |
Что это, как действует и чем отличается от криптографии. | |
Перспективы тотального криптографирования Интернета. | |
Несколько простых рекомендаций от Брюса Шнайера, способных немного повысить безопасность работы в Сети. | |
Пять элементарных безотказных критериев оценки любой меры безопасности, персональной или общенациональной. Хороший тест перед принятием того или иного решения по обеспечению защиты. | |
Поиск компромисса между открытостью и секретностью системы безопасности ради повышения её защённости. | |
О важности грамотной оценки угроз и о последствиях ошибки на примере протокола SSL и атаки "человек посередине". | |
Важнейшей технологией, лежащей в фундаменте практически всех современных средств и методов идентификации, являются смарт-карты. В настоящем разделе собраны достаточно глубокие технические подробности о реальной ситуации с (не)безопасностью смарт-карт как технологии самого широкого назначения. | |
Отчет группы европейских экспертов о состоянии англо-американских систем глобальной радио-электронной разведки (ECHELON), подготовленный в рамках расследования Еврокомиссии 2000 года по фактам использования разведданных в конкуретной борьте против европейских компаний. Одна из наиболее полных работ по тематике ECHELON'а. | |
Совместный отчёт группы известнейших криптологов об издержках, рисках и трудностях реализации глобальной системы депонирования криптографических ключей. Переработанная редакция от 1998 года. |
Анонимность
Главным академическим описанием Tor является "Tor: The Second-Generation Onion Router", датированная 2004 годом, но с момента публикации развитие Tor не стояло на месте. В настоящей статье Стивен Мёрдок и Ник Мэтьюсон попытаются обобщить наиболее интересные и существенные изменения дизайна Tor, произошедшие за это время. | |
Система Bitcoin представляет собой редкий пример глобальной крупномасштабной платёжной системы, сведения о транзакциях в которой являются общедоступными. В этой работе впервые даны ответы на множество интересных вопросов относительно типичного поведения владельцев счетов, как они покупают и тратят свои биткоины, какой баланс биткоинов они поддерживают на своих счетах и как они перемещают биткоины между разными счетами в целях лучшей защиты своей приватности. | |
Анонимизирующие сети с малыми задержками (Low latency systems), такие как Tor, проектируются с учетом timing-атак, в модель угроз которых не входит глобальный наблюдатель. Т.е. нападающий может видеть только часть взаимосвязей в сети. Однако, недавно было показано, что для успешной timing-атаки на Tor не нужен глобальный наблюдатель. Данная статья проверяет это утверждение и приходит к выводу, что атака работает не во всех случаях. Опираясь на проведённое исследование, выводятся принципы построения безопасных анонимных систем. | |
В этой работе представлен обзор в области анонимных средств связи, начиная с их изобретения в 1981 году Дэвидом Чаумом и по наши дни. Ключевые системы представлены в соответствии со следующими принципами: полудоверяемые переотправители, микс-системы, ремейлеры, устойчивые и проверяемые миксы и системы луковичной маршрутизации. Также рассматриваются модели угрозы и модели использования, которые обеспечивает каждая из схем, а также компромисс между предлагаемыми свойствами безопасности и характеристиками, предоставляемыми различными коммуникационными системами. | |
Описание структуры и протокола анонимной сети Tor, включая схемы построения цепочек, передачи данных, работы скрытых сервисов и точек встречи. | |
В этом отчете (датированном февралем 2005 г.) разработчики сети Tor обрисовывают те социальные и технические проблемы, с которыми они столкнулись при проектировании, развертывании и поддержке своей децентрализованной анонимной сети. | |
Несмотря на то, что сеть Tor защищает своих пользователей от анализа трафика и прослушки, она не способна предотвратить блокирование всех Tor-узлов на уровне межсетевых экранов в целях поддержания государственной и корпоративной цензуры. В данной работе разработчики Tor рассматривают пути улучшения системы Tor для противостояния подобным атакам. |
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 511 документов: 2 редакций: 70
В новостях пиарят vuvuzela и HORNET.
На слайдах эта мысль хорошо передана: массовая слежка и отсутствие privacy плохи тем, что не позволяют кому-либо поставить вопрос о резонности общепринятой морали, убивают индивидуализм и самовыражение, а также принуждают общество к тотальной безликости и конформизму.
Неожиданно. Всегда думал, что это местное изобретение.
Rogaway собирается теоретически обосновать модель pond'а и вообще всячески этот метод пиарит.
Метко подмечено. Заключение:
С точки зрения философии области статья эпохиальная и очень убедительная в аргументации, хотя я бы не стал так сгущать краски. Просто каждый должен заниматься своим делом, и всё нужно — и практический PET и теоретическое крипто, проблема лишь в распределении усилий, на всё и вся банально рук не хватает. Rogaway отметил, что тренд прихода теоретиков в PET есть и ощутим, но пока это не мейнстрим. Цель Rogaway'я сделать это именно мейнстримом среди теоретиков — областью, откуда следует черпать постановку новых задач. Удивило его заявление, что до сноуденовских откровений он всё это (важность PET) не осознавал.