Hasty Briefsbeta

全部标签

#encryption

共 136 篇

双语

TeleMessage, used by Trump officials, can access plaintext chat logs
a year ago
- TeleMessage旗下的TM SGNL应用——特朗普政府高级官员使用的Signal修改版，尽管声称具备端到端加密，却能访问明文聊天记录。
- 该应用将所有消息存档至TeleMessage服务器，破坏了Signal的加密模型，并将明文日志发送至托管在AWS上的服务器。
- TeleMessage是一家由以色列国防军前情报军官创立的以色列公司，引发外界对以色列情报部门潜在访问权限的担忧。
- 对TM SGNL安卓源代码的分析显示，其将消息存储在SQLite数据库中，并以明文形式同步至TeleMessage存档服务器。
- 对TeleMessage存档服务器的黑客攻击证实了其中存在Signal、Telegram和WhatsApp的明文消息及私钥材料。
- 该存档服务器存在漏洞，导致未经授权者可访问敏感数据，包括政府官员的聊天记录。
- 参议员Ron Wyden已呼吁司法部对TeleMessage展开调查，指出其不安全软件构成国家安全风险。
The Company Behind Signal Clone Mike Waltz Used Has Direct Access to User Chats
a year ago
- TeleMessage Signal（特朗普政府高层官员使用的通信应用）存在安全漏洞，已发生数据泄露事件。
- Micah Lee的分析表明，TM Signal的存档功能破坏了Signal端到端加密机制，会将未加密消息发送至TeleMessage服务器。
- 黑客攻击事件曝光了TM Signal存档服务器中的用户消息、用户名、明文密码及私人加密密钥。
- TeleMessage现属Smarsh公司旗下，虽是联邦承包商，但其应用未通过FedRAMP认证（美国政府使用标准）。
- 特朗普前国家安全顾问Mike Waltz曾使用TM Signal，可能导致与高级官员的通信内容外泄。
- 美国参议员Ron Wyden要求司法部调查，称TeleMessage是'对美国国家安全的重大威胁'。
Gmail will soon stop support for the 3DES encryption cipher for incoming SMTP
a year ago
- Gmail将停止支持SMTP入站连接的3DES加密算法。
- Google Cloud社区让用户能与谷歌员工及其他Google Workspace管理员建立联系。
- 该社区提供产品讨论、文章和实用技巧，帮助简化工作与生活。
- 用户可通过'Google Workspace最新动态'帮助中心页面持续获取产品更新信息。
- 该页面涵盖未在官方博客发布的新产品、功能及小型更新资讯。
CryptPad: An Alternative to the Google Suite
a year ago
- CryptPad是一款端到端加密、开源的协作办公套件。
- 用户赞赏CryptPad作为Google Docs的隐私优先替代品，同时保持了功能性和易用性。
- 无需账户即可分享文件或文件夹，增强了隐私性和可访问性。
- 文件夹组织和分享选项等功能受到高度评价。
- CryptPad支持多操作系统使用，并因其简单易用而备受称赞。
- 该平台帮助用户安全且私密地组织生活。
- 提供实时协作工具，且无跟踪或数据挖掘行为。
- CryptPad被视为Google Drive的隐私版本，提供相似功能而无隐私顾虑。
- 开源特性及端到端加密（E2EE）是其显著优势。
- 用户特别提到直观的界面和能安全远程协作的功能。
- 该服务完全免费，尤其适合教育及非营利用途。
- CryptPad的看板（Kanban）、电子表格和文档编辑器是常被提及的实用工具。
- 无需提交个人数据即可使用是一大亮点。
- 自托管选项和欧盟服务器位置对隐私敏感用户更具吸引力。
- 因其安全性、便捷分享及不妥协隐私的协作功能而被广泛推荐。
Florida bill requiring encryption backdoors for social media accounts has failed
a year ago
- 佛罗里达州一项要求社交媒体公司为警方提供加密后门的法案未获通过。
- 这项名为《未成年人社交媒体使用》的法案被无限期推迟，并已从佛罗里达州众议院的审议中撤回。
- 该法案此前已在佛罗里达州参议院获得通过，但需经州议会两院批准才能成为法律。
- 根据提案内容，社交媒体公司在收到通常未经司法监督的传票后，必须对端到端加密进行解密。
- 电子前沿基金会谴责该法案'危险且愚蠢'，指出其存在恶意滥用和数据泄露的风险。
How the Signal Knockoff App TeleMessage Got Hacked in 20 Minutes
a year ago
- 特朗普的国家安全顾问迈克·沃尔兹被发现使用名为TeleMessage Signal（TM SGNL）的Signal克隆软件查阅信息，该软件会存档消息，存在安全隐患。
- 黑客利用弱密码哈希（MD5）和过时的JSP技术轻松入侵TeleMessage，获取了用户名、密码和聊天记录等敏感数据。
- 黑客在TeleMessage的存档服务器上发现了一个易受攻击的URL（/heapdump），暴露了未加密的消息，包括来自美国海关和边境保护局以及Coinbase的通信。
- TeleMessage的存档服务器配置错误，暴露了Spring Boot Actuator的堆转储端点，其中包含加密密钥和明文聊天记录等敏感数据。
- 尽管存在已知的安全漏洞，特朗普政府仍在使用TeleMessage，包括沃尔兹的手机，危及国家安全通信。
DDoSecrets publishes 410 GB of heap dumps, hacked from TeleMessage
a year ago
- DDoSecrets公布了从以色列公司TeleMessage窃取的410GB数据，该公司专门改造Signal、WhatsApp、Telegram和微信等通讯应用以实现消息集中归档。
- 因数据包含敏感个人信息，DDoSecrets仅与记者和研究人员共享该资料库。
- 事件时间线包括：迈克·沃尔兹使用TeleMessage改造版Signal（TM SGNL）、TeleMessage在五月遭遇两次黑客攻击、以及该公司关于端到端加密功能的虚假陈述被曝光。
- TeleMessage服务器漏洞允许通过公开URL下载包含明文聊天记录的Java堆转储文件。
- 泄露的堆转储文件包含明文消息及元数据（如发送方/接收方信息、时间戳和群组名称）。
- DDoSecrets已从堆转储中提取文本内容以便研究分析。
- 本文作者正在调查该数据集，特别强调DDoSecrets的重要工作价值，并呼吁公众捐款支持。
Windows 11's most important new feature is post-quantum cryptography. Here's why
a year ago
- 微软正在为Windows 11更新抗量子加密算法，以应对未来量子计算的威胁。
- 量子计算机使用量子比特而非二进制状态，有望在冶金、化学、药物研发和金融建模等领域实现突破。
- 量子计算机可能在数小时或数分钟内破解目前全球敏感数据使用的RSA和椭圆曲线加密，而传统计算机需要数百万年。
- 微软宣布从Build 27852版本开始，在Windows 11的核心加密库SymCrypt中提供抗量子算法支持。
- 微软还更新了SymCrypt-OpenSSL，使OpenSSL库能够使用SymCrypt进行加密运算。
Recreating a video from raw captured network traffic (2023)
a year ago
- 使用Wireshark通过过滤源IP捕获实时电视流流量
- 发现直播流每约10秒建立新的TCP连接
- 使用tcpflow从每个TCP流的数据载荷中提取数据
- 保存PCAP文件并运行tcpflow为每个TCP流创建单独文件
- 用mpv播放视频后显示F1赛车颁奖仪式画面
- 强调加密的重要性，未加密流量可能以同样方式被截获
Paperbak, Paper Backups
a year ago
- PaperBack v1.10相比v1.00进行了关键改进，包括采用带密钥扩展的AES加密算法，并将ECB模式切换为CBC模式以提升安全性。
- 软件现已支持选择AES密钥长度，但建议不要使用AES-256，因其密钥调度算法存在缺陷。
- 该软件支持将文件以超大位图形式备份到纸张上，启用压缩时单页容量最高可达3MB。
- PaperBack是遵循GNU GPL v3协议发布的免费开源软件，鼓励用户进行修改和功能增强。
- 安装过程简单便捷，无需正式配置——只需将软件复制到具有完全写入权限的目录即可。
- 设置环节需配置点阵密度、压缩率、冗余度和加密参数，以优化数据存储和恢复效果。
- 数据恢复需要配备物理分辨率不低于900 dpi的扫描仪，并支持TWAIN接口和无压缩位图格式。
- 软件采用里德-所罗门纠错码技术修复部分损坏数据，显著提升可靠性。
- 该项目的灵感源自对纸张数据密度的实践探讨，经过数周开发完成概念验证。
- 特别鸣谢Phil Karn贡献的里德-所罗门编码、Christophe Devine的AES加密实现，以及Julian R. Seward开发的bzip2压缩算法。
Twitter's new encrypted DMs aren't better than the old ones
a year ago
- Twitter的加密私信最初存在缺陷，允许轻易注入密钥且缺乏发送图片等功能
- 埃隆·马斯克宣布新加密通讯平台'XChat'，但仍存在重大安全问题
- 新系统采用Libsodium加密箱但缺乏前向保密性，私钥泄露会导致历史消息暴露
- Twitter旧系统存在扩展性问题且不允许新设备解密历史消息
- 新方案使用Juicebox协议存储由PIN码保护的私钥，但PIN码可被暴力破解
- Juicebox的安全性依赖可信后端，但Twitter完全控制后端服务器存在信任风险
- Twitter仍可通过提供虚假公钥实施中间人攻击，且元数据泄露问题严重
- 推荐使用Signal作为更安全替代方案，其提供更完善的加密和隐私功能
Why not use DNS over HTTPS (DoH)?
a year ago
- DoH（基于HTTPS的DNS）因将DNS查询集中到Cloudflare等单一提供商而受到批评，引发了隐私担忧。
- Mozilla与Cloudflare合作在Firefox中实施DoH，引发了关于DNS查询数据隐私和商业用途的争论。
- 诸如基于TLS的DNS（RFC 7858）等替代方案提供了传输加密，避免了DoH的复杂性和潜在安全缺陷。
- 文章建议通过将'network.trr.mode'设置为5来禁用Firefox中的DoH，以防止在任何情况下使用它。
- 批评者认为，DoH的复杂性及其依赖HTTP作为传输协议引入了不必要的安全风险。
US lawmakers say UK has 'gone too far' by attacking Apple's encryption
a year ago
- 美国立法者批评英国命令苹果削弱加密技术，称这对全球隐私和安全构成威胁。
- 英国根据《云法案》下达的秘密法律命令允许访问苹果存储的加密数据，引发对美国公民隐私的担忧。
- 立法者提议修订《云法案》以防止破坏加密技术，并加强网络安全保护。
- 专家警告加密后门可能被网络犯罪分子和外国政府利用，构成国家安全风险。
- 英国的行为可能为其他国家针对美国科技公司发布类似命令开创先例。
- 苹果正在英国调查权力法庭挑战该命令，听证会以秘密形式进行。
- 这场辩论凸显了数字时代隐私、安全与政府监控之间的紧张关系。
CoverDrop: A secure messaging system for newsreader apps
a year ago
- CoverDrop是一个让新闻应用用户与记者进行保密通信且不留痕迹的系统。
- 该系统包含移动应用模块、云API、CoverNode服务以及记者专用的桌面应用程序。
- 通过使所有应用实例行为一致（无论用于安全通信还是普通新闻浏览），确保通信具备合理推诿性。
- 消息经加密后与常规'掩护消息'完全无法区分，可防止网络监控者察觉。
- 安全服务器异步处理消息，从中识别真实通信并通过死信箱投递给记者。
- 记者可使用消息来源的公钥进行回复，回复流程与接收消息的处理方式相同。
- 应用内消息存储采用统一加密，若设备被扣押且未获取密码，不会显示任何安全通信证据。
- 项目白皮书详细记录了技术细节，包含Android/iOS库、API及命令行工具等组件。
- 安全性以机密性、完整性和匿名性为核心，团队欢迎负责任的安全漏洞披露。
- 该软件受美国出口管制，但符合特定例外条款的出口条件。
- 代码库采用Apache 2.0许可证，接受邮件反馈（包括安全问题的报告）。
A bit more on Twitter/X's new encrypted messaging
a year ago
- XChat的端到端加密缺乏前向保密性，消息使用接收方长期公钥加密。
- 用户私钥存储在X服务器上，仅通过PIN码访问，未采用硬件安全模块(HSM)保护。
- X的密钥存储协议Juicebox将密钥分片至三台服务器，但均由X控制，存在安全隐患。
- Juicebox试图通过阈值OPRF增强弱密码，但依赖服务端实施的猜测次数限制。
- X的Juicebox部署疑似使用纯软件服务器且无HSM，易受暴力破解攻击。
- 阈值OPRF支持分布式密钥生成，但需谨慎实现以避免攻击漏洞。
- 潜在攻击手段包括服务器仿冒和重放攻击，凸显分布式协议的安全复杂性。
New Quantum Algorithm Factors Numbers with One Qubit
a year ago
- 新型量子算法仅需一个量子比特和三个振荡器即可完成因数分解，相比Shor算法所需的数十万个量子比特实现了重大突破。
- 该方法利用量子振荡器中的连续变量编码信息，这些变量可在范围内取任意值，不同于测量时只能为0或1的量子比特。
- 尽管取得理论突破，该算法对大数分解仍不实用，因其能量需求呈指数级增长，可能需要消耗多个恒星量级的能量。
- 研究开创性地将振荡器作为信息载体，为因数分解之外的量子算法开辟了新路径。
- 团队正探索降低能耗的改进方案，并将这种连续变量方法应用于其他量子计算领域，预示着对量子计算技术的广泛影响。
Protecting Kids Shouldn't Mean Breaking the Tools That Keep Us Safe
a year ago
- 2025年《制止儿童性虐待材料法案》（S.1829）通过削弱端到端加密技术、强制企业删除合法内容，威胁互联网安全与言论自由。
- 该法案扩大现行法律适用范围，将‘宣扬’或‘协助’儿童剥削的行为定为刑事犯罪并允许民事诉讼——即使加密技术导致平台在不知情下托管儿童性侵材料。
- ‘宣扬’‘协助’等宽泛术语可能惩罚加密应用，即便这些应用无法访问或验证用户内容。
- 法案为加密服务提供的积极抗辩理由不足，因为供应商仍需承担高昂诉讼成本来证明‘技术上不可能在不破坏加密的情况下删除儿童性侵材料’。
- 该法案为《通信规范法》第230条创设新例外，使平台面临用户内容引发的诉讼，可能导致过度审查并损害网络言论自由。
- 加密服务商和初创企业将难以应对诉讼压力，最终只有Meta和谷歌等大型企业能承受法律风险。
SimpleX – messaging network operating without user identifiers
a year ago
- SimpleX是一个不依赖用户标识符的消息平台，其设计确保100%的隐私保护。
- 功能包括采用双棘轮协议的端到端加密、提供Android和iOS移动应用，以及支持Linux、MacOS和Windows的终端应用。
- 用户可通过一次性邀请链接或临时地址建立连接，保障隐私安全。
- SimpleX将所有用户数据存储在客户端设备上，消息仅临时中继服务器暂存。
- 该平台支持多语言，并鼓励社区参与翻译和捐赠等贡献。
- 设有群组和开发者社区供用户交流与获取开发支持。
- SimpleX将隐私安全置于首位，未来计划实现自动队列轮换和消息混淆等增强功能。
- 平台已完成安全审计且完全开源，相关协议均属于公共领域。
- 接受多种加密货币捐赠以支持项目发展。
- SimpleX的独特之处在于不使用持久性用户标识符，相比其他平台更能强化隐私保护。
Breaking My Security Assignments
a year ago
- 安全作业涉及使用一个虚拟机（VM），其中更新通过加密的GPG文件安装。
- 该虚拟机的更新机制使用GPG加密，配合密码短语文件和存储在/root目录下的密钥。
- 通过本地挂载虚拟机的磁盘，作者获取了必要的文件以手动解密更新。
- 解密后的更新包含用于生成令牌的Java代码，这些令牌使用模块密钥进行AES加密。
- 令牌通过结合练习标识符和随机字符串生成，确保唯一性。
- 作者利用此系统在不完成作业的情况下生成令牌，暴露了一个安全漏洞。
- 防止此类漏洞需要更严格的访问控制，如远程虚拟机，但对大规模班级不切实际。
- 尽管存在漏洞利用，作者承认完成作业对学习和考试准备的重要性。
Iran asks its people to delete WhatsApp from their devices
a year ago
- 伊朗国家电视台敦促公众删除WhatsApp，指控其在未提供具体证据的情况下为以色列收集用户信息。
- WhatsApp回应称否认这些指控，并表示不会追踪精确位置、保留消息记录或向政府提供批量信息。
- 该应用采用端到端加密技术，确保只有发送方和接收方能阅读消息，拦截的消息若无密钥将显示为无法解读的乱码。
- WhatsApp由Meta Platforms所有，该公司还拥有Facebook和Instagram。
- 伊朗有封锁社交媒体平台的历史，民众常使用VPN绕过限制。WhatsApp曾在2022年抗议活动期间被禁，后解封。
- WhatsApp曾是伊朗最受欢迎的即时通讯应用之一，与Instagram和Telegram并列。

About|Login

#encryption

TeleMessage, used by Trump officials, can access plaintext chat logs

The Company Behind Signal Clone Mike Waltz Used Has Direct Access to User Chats

Gmail will soon stop support for the 3DES encryption cipher for incoming SMTP

CryptPad: An Alternative to the Google Suite

Florida bill requiring encryption backdoors for social media accounts has failed

How the Signal Knockoff App TeleMessage Got Hacked in 20 Minutes

DDoSecrets publishes 410 GB of heap dumps, hacked from TeleMessage

Windows 11's most important new feature is post-quantum cryptography. Here's why

Recreating a video from raw captured network traffic (2023)

Paperbak, Paper Backups

Twitter's new encrypted DMs aren't better than the old ones

Why not use DNS over HTTPS (DoH)?

US lawmakers say UK has 'gone too far' by attacking Apple's encryption

CoverDrop: A secure messaging system for newsreader apps

A bit more on Twitter/X's new encrypted messaging

New Quantum Algorithm Factors Numbers with One Qubit

Protecting Kids Shouldn't Mean Breaking the Tools That Keep Us Safe

SimpleX – messaging network operating without user identifiers

Breaking My Security Assignments

Iran asks its people to delete WhatsApp from their devices