Šifrování
Články
SSL na virtuálních webových serverech se SNI
Když se začátečníci na fórech zeptají, jak si na svém hostingu mohou rozběhnout podporu SSL, obvykle se dozví, že to nejde, protože u SSL je třeba mít pro každou doménu vlastní IP adresu. Toto nepříjemné omezení se snaží (poměrně úspěšně) řešit rozšíření SNI, která funguje dobře, má ovšem také své ale.
Nová analýza bezpečnosti TrueCryptu
Ubuntu Privacy Remix Team vydal vlastní analýzu bezpečnosti open-source šifrovacího programu TrueCrypt. Ten je mezi uživateli populární zejména kvůli jednoduchému použití a rozšířenému povědomí o jeho bezpečnosti. Je ale TrueCrypt skutečně tak bezpečný, jak jeho autoři tvrdí? A jak ho bezpečně používat?
SSL v ohrožení: komunikaci je možné dešifrovat
SSL dostává v posledních měsících jednu ránu za druhou. Nejprve byly napadeny dvě certifikační autority, což vyvolalo řadu otázek okolo bezpečnosti modelu PKI. Nyní bylo napadeno samotné SSL a autoři útoku tvrdí, že mohou odposlechnout libovolnou komunikaci. V důsledku tak mohou odcizit cookie a celé sezení.
TRESOR: šifrujte bezpečně mimo RAM
Běžné implementace šifrovacích algoritmů spoléhají na ukládání šifrovacích klíčů i algoritmů v paměti RAM. To je sice standardní způsob, má ale svá úskalí a bezpečnostní nedostatky. Šifrovací klíče je možné z paměti několika způsoby dostat, a pak máme velký bezpečnostní problém. TRESOR na to jde jinak.
SSL není bezpečné, ukazuje případ Comodo
Internetové vody rozvířil případ společnosti Comodo, jejíž napadení umožnilo do světa rozeslat podvržené SSL certifikáty. Ty mohou sloužit pro prakticky neodhalitelné man-in-the-middle útoky. Jeden bezpečnostní incident ukázal několik výrazných slabin celého SSL (HTTPS) a jeho principiálních děr.
Zprávičky
Na půdě IETF vzniká diskuze TheRightKey
V minulém roce došlo k několika útokům na infrastrukturu veřejných klíčů (PKI), která tvoří základ důvěryhodnosti na internetu. V reakci na ně nyní vznikla na půdě IETF e-mailová konference s názvem the right key. Nepatří k žádné pracovní skupině,… Více
GnuPG klíče s kolizním ID jsou nebezpečné
Asheesh Laroia má dva různé GnuPG klíče s kolizním ID 70096AD1. Jeden z nich je starší 1024bitový DSA klíč, ten novější je pak 4096bitový RSA. Pokud si tedy necháte stáhnout veřejný klíč z GPG serveru ( gpg --recv-key 70096AD1), dostanete dva… Více
OpenPGP implementováno v JavaScriptu
Vývojáři z německé společnosti Recurity Labs vydali javascriptovou implementaci šifrovacího prostředí OpenPGP. Aplikace se jmenuje GPG4Browsers a umožňuje šifrovat elektronickou poštu přímo ve webových e-mailových rozhraních. Podle autorů jde spíš… Více
Škodlivý kód podepsaný platným vládním certifikátem
Bezpečnostní experti z F-Security objevili škodlivý kód, který se šíří v souborech PDF. To by samo o sobě nebylo vůbec zajímavé, tento je ale na rozdíl od jiných na první pohled důvěryhodný, protože je podepsaný ukradenými certifikáty, které… Více
Google bude šifrovat vyhledávání všem přihlášeným uživatelům
Google se snaží na svých službách propagovat šifrování pomocí SSL. V lednu loňského roku zapnul standardně šifrování na GMailu, o čtyři měsíce spustil šifrované vyhledávání. Během následujících týdnů budou na šifrovanou variantu hledání… Více
