Hasty Briefsbeta

全部标签

#encryption

共 136 篇

双语

Signal's New PQ Ratchet
7 months ago
- Signal推出稀疏后量子棘轮（SPQR）以增强抵御量子计算威胁的能力
- SPQR保留了现有安全保证，如前向安全性和入侵后安全性
- Signal协议被广泛应用于即时通讯应用的端到端加密
- PQXDH是Signal协议实现量子抵抗特性的第一步
- SPQR与现有双棘轮机制协同工作，形成三重棘轮体系
- 三重棘轮结合量子安全密钥与经典密码学密钥，实现混合安全
- Signal确保SPQR的向后兼容性，无需用户操作即可平滑部署
- 通过形式化验证与研究合作确保协议的正确性与安全性
- 采用擦除编码技术高效传输分块加密数据
- 该协议设计可抵御中间人攻击并确保消息完整性
Google Workspace Updates: Send Gmail end-to-end encrypted emails to anyone
7 months ago
- Gmail现已支持向任何人发送端到端加密(E2EE)邮件，包括使用不同邮件服务商的收件人
- 收件人可通过访客账户查看加密邮件，无需交换密钥或使用定制软件
- 管理员需在组织单元(OU)和群组层级启用该功能，默认状态为关闭
- 已启用Gmail客户端加密权限的终端用户将默认开启该功能
- 该功能将于2025年9月30日逐步推出，快速发布版和预定发布版域名将在15天内分阶段可见
- 仅限企业增强版用户（需搭载Assured Controls附加组件）使用
The UK Is Still Trying to Backdoor Encryption for Apple Users
7 months ago
- 英国要求苹果为加密的iCloud备份创建后门，目前该要求仅针对英国用户。
- 该要求依据《调查权法案》中的'技术能力通知'(TCN)条款提出。
- 苹果此前为避免创建后门，已在美国境外停用其高级数据保护功能。
- 英国政府在8月宣称撤回要求后，修改了初始命令仅针对英国用户。
- 后门会破坏安全性，增加黑客攻击、身份盗窃和欺诈风险。
- 英国政府还宣布将推行强制数字身份证计划，引发隐私担忧。
- 关于此问题的法庭听证会原定2026年举行，但目前状态不明。
- 苹果必须抵制后门要求以保护全球加密技术和人权。
Magic Wormhole: Get things from one computer to another, safely
7 months ago
- Magic Wormhole 通过人类可读的验证码实现计算机间安全的文件及数据传输
- 采用密码认证密钥交换协议(PAKE)提供高安全性端到端加密
- 支持P2P直连、局域网和中继服务器等多种传输方式以适应不同网络环境
- 提供命令行工具和开发库供开发者集成到应用程序中
- 支持MacOS/Linux/Windows多平台，提供简易安装选项
- 专为需要无需预先配置的临时安全文件传输场景设计
- 验证码补全和校验字符串等功能显著提升易用性与安全性
- 开源项目通过IRC和Matrix社区渠道提供开发支持与故障排查
Europe's future is at stake: Open letter against Chat Control
7 months ago
- 欧洲中小企业和注重隐私的公司反对欧盟拟议的《儿童性虐待法规》（CSA，即聊天控制法案），认为该法案威胁隐私权和加密技术。
- 该法规要求扫描所有信息（包括加密内容），实质上将禁止安全通信并制造技术后门。
- Tuta邮件服务商联合40余家欧洲企业及欧洲数字中小企业联盟，呼吁欧盟部长否决该草案以捍卫数字主权。
- 拟议法规通过削弱加密技术损害欧洲经济独立与国家安全，导致欧洲企业竞争力下降。
- 中小企业将因实施客户端扫描的高昂成本遭受不成比例的冲击，可能被迫退出市场。
- CSA法规与欧盟网络安全目标相冲突，包括《网络信息安全指令2》《网络弹性法案》《网络安全法案》确立的原则。
- 公开信呼吁抵制大规模监控措施，保护加密技术，确保欧盟法规能增强欧洲中小企业的竞争力。
Managing Encrypted Filesystems with dirlock
7 months ago
- 阿尔贝托·加西亚及其团队开发了dirlock工具，用于管理SteamOS上的加密文件系统，该项目已在欧洲开源峰会上展示。
- Steam Deck设备与手机类似，存储着需要加密的个人数据，特别是因其功能已超越单纯游戏范畴。
- 当前SteamOS的加密选项有限，Plasma Vault仅支持加密目录而非整个主目录加密。
- 项目目标包括：设备丢失/被盗时保护个人数据、支持多用户独立密钥、无需重装系统即可启用加密。
- 评估了三种加密技术：堆叠式文件系统加密（如gocryptfs）、块设备加密（如LUKS）及原生文件系统加密（fscrypt）。
- 最终选择fscrypt方案，因其兼具实用性、灵活性、现有系统易启用性及良好性能表现。
- 受fscrypt启发的dirlock采用Rust编写，管理加密密钥并支持PAM/FIDO/TPM，将成为SteamOS 3.8的实验性功能。
- dirlock通过'保护器'（密码/FIDO2/TPM）封装主密钥，实现安全灵活的密钥管理与访问控制。
- 该工具包含PAM认证模块，支持多用户使用不同保护器访问共享目录等场景。
- 团队特别指出，选用Rust语言开发dirlock是毫无争议的务实选择，印证了该语言在开发领域的成熟地位。
Why Signal's post-quantum makeover is an engineering achievement
7 months ago
- 量子计算机威胁现有加密方法，或将使其彻底失效。
- 网络架构师面临两难抉择：是立即投资抗量子算法，还是优先应对勒索软件等迫在眉睫的威胁。
- Cloudflare平台中仅不到半数TLS连接支持抗量子加密，财富500强企业网络中这一比例更是低至18%。
- Signal协议已实现全面量子安全升级，这项工程壮举意义重大。
- Signal协议实现量子安全的改造工程虽异常复杂，但最终在保证性能的前提下成功完成。
Subverting Telegram's end-to-end encryption
7 months ago
- Telegram的端到端加密协议(E2EE)存在高效算法替换攻击漏洞
- 该攻击利用MTProto2.0协议在随机填充长度和数值选择上的灵活性，能以高概率恢复密钥
- 官方Telegram客户端或因开源特性受到保护，但第三方客户端可能被攻破用于监控
- 对MTProto2.0填充机制进行微小修改即可增强其抗颠覆能力
- 论文提出了MTProto2.0的通用版本MTProto-G，证明其可作为多用户安全的确定性认证加密方案
Europe's Digital Sovereignty Paradox – "Chat Control" Update
7 months ago
- 欧洲理事会关于强制扫描所有私人通信（包括加密通信）的投票因德国撤回支持而推迟。
- Proton和NordVPN等欧洲科技公司反对'聊天控制'法案，主张数字主权和安全的通信协议。
- 加密技术是安全通信的基石，政策制定者误解了其对民主和国家安全的重要性。
- 欧洲缺乏连贯的科技战略，在寻求摆脱美国科技巨头的同时破坏安全协议，危及数字主权。
- 此次推迟为工程师和政策制定者提供了两个月的时间窗口，以协调制定安全的数字基础设施战略。
- 欧洲未来的数字主权取决于能否制定支持安全、价值观驱动技术的政策，而非与之相悖的政策。
A Surprising Amount of Satellite Traffic Is Unencrypted – Schneier on Security
7 months ago
- 一项使用商用卫星天线的研究揭示了地球静止卫星传输的大量未加密流量。
- 未加密数据包含关键基础设施、企业和政府通信、私人通话、短信以及消费者互联网流量。
- 这些敏感数据可通过廉价的民用级硬件设备被截获。
- 全球存在数千个地球静止卫星转发器，单个转发器的数据覆盖范围可能超过地球表面积的40%。
- 供应商缺乏评估自身卫星回传链路安全性的审计工具。
- SATCOM安全公司可协助判断网络流量是否已遭暴露。
Where are we on XChat security?
7 months ago
- AWS故障导致Signal服务中断，引发对AWS依赖性的担忧。
- 埃隆·马斯克推荐X Chat，声称其安全且不依赖AWS。
- X Chat采用端到端加密，密钥通过Juicebox协议存储，并在后端间分片存储（部分由HSM支持）。
- 公钥缺乏验证且HSM启用仪式未公开，引发安全性质疑。
- X Chat的GetPublicKeysResult接口可能被篡改返回虚假密钥，导致未授权方解密消息。
- X Chat缺少远程认证机制，而这是Signal等服务的核心安全特性。
- 埃隆·马斯克关于X Chat安全性的说法遭质疑，被指信息不实或存在误导。
Eavesdropping on Internal Networks via Unencrypted Satellites
7 months ago
- 一项研究揭示，大量敏感流量正通过地球静止卫星以未加密形式传输，包括关键基础设施、企业、政府和私人通信。
- 暴露的数据包含未加密通话、短信、互联网流量、硬件ID、加密密钥、军事和政府通信、机上Wi-Fi流量、网络电话及企业内部商业网络数据。
- 该研究使用消费级卫星设备完成，从39颗地球静止卫星的411个转发器捕获数据，仅用单个天线即可接收全球14%Ku波段卫星的IP流量。
- 缺乏加密的原因包括额外成本、带宽开销、电力限制和故障排查困难，部分供应商已开始向加密链路过渡。
- 建议终端用户使用VPN和Signal等端到端加密应用，机构应将卫星链路视为不安全公共网络，在每一层实施加密。
- 研究全程采用合法被动监听方式，并主动向相关方披露漏洞，其中部分机构（如T-Mobile、沃尔玛、KPU）已完成整改。
- 这项研究凸显了卫星通信领域重大的安全疏漏，对多个领域的隐私与安全具有广泛影响。
Signal Runs Partly on AWS
7 months ago
- Signal虽然使用AWS进行运营，但通过加密确保隐私安全。
- Meredith Whittaker对公众对Signal使用AWS的反应表示惊讶和担忧。
- 加密技术确保只有用户能访问自己的通信内容，AWS或Signal均无法查看。
An Opinionated Guide to Privacy Despite Authoritarianism
7 months ago
- 伊拉克战争老兵乔治·雷特斯讲述了自己在未经验明身份情况下遭移民局拘留的可怕经历，揭露了美国移民与海关执法局（ICE）内部问责机制的缺失。
- 文章探讨了特朗普政权的威权主义措施，包括将政治对手打上'国内极端分子'标签，并通过行政命令针对特定意识形态，强调了数字隐私保护的紧迫性。
- 指南提供了增强数字隐私的具体方案，推荐使用开源端到端加密工具：Bitwarden管理密码、ProtonVPN实现安全浏览、Signal进行加密通讯。
- 重点指出使用YubiKey等物理安全密钥进行双重认证的重要性，可有效防止敏感账户遭受远程入侵。
- 指南警告短信双重认证存在安全漏洞，建议改用Proton Authenticator等认证器应用。
- 数据保护措施包括：启用iCloud高级数据保护、使用Proton Mail发送加密邮件、将照片迁移至Ente加密存储。
- 文章警示政府通过互联网服务供应商进行监控的风险，推荐使用VPN和Brave等隐私保护浏览器来保障网络活动安全。
- 实用建议包括：使用Proton Calendar和EteSync等加密服务保护日历/联系人/笔记数据，避免非加密平台。
- 指南最后强调，面对日益增长的政府监控，夺回数字隐私权对捍卫个人自由具有决定性意义。
Chat Control proposal fails again after public opposition
7 months ago
- 欧盟理事会因公众反对再次撤回争议性的聊天控制提案
- 聊天控制提案原本要求扫描加密信息，引发隐私担忧
- 隐私倡导者和技术专家指出该提案误解了加密技术原理
- 尽管持续遭到反对，该提案仍多次以微小修改重新提出
- 客户端扫描作为聊天控制的核心方案，从根本上削弱加密安全性
- 安全专家警告扫描系统可能被恶意行为者利用
- 公众施压和联盟策略在反对该提案过程中成效显著
- 政策制定者需要寻求不破坏加密技术的替代性网络安全方案
- 反对聊天控制的斗争仍在继续，该提案未来可能卷土重来
Australia Mandates Encryption Backdoors
6 months ago
- 澳大利亚通过立法允许情报机构访问加密通讯
- Facebook和苹果等科技公司可能被迫在加密通讯平台中设置后门
- 批评人士警告该法律带来全球安全风险，可能被犯罪分子和其他政府利用
- 该法律允许针对企业内部特定人员实施安全破解，拒不配合者将面临罚款或监禁
- 澳大利亚政客声称该法律对打击有组织犯罪和反恐调查必不可少
- 隐私保护组织担忧该法案将影响全球政策，特别是在五眼联盟国家（美英加新澳）
- 英国的《调查权法案》和美国倡导的'负责任加密'政策都体现了类似监控趋势
- 法案条款表述模糊，可能允许针对WhatsApp或iMessage等特定通讯软件定制破解方案
- 密码学专家和隐私倡导者指出后门程序本质上会削弱安全性，可能被恶意攻击者利用
- 科技公司可能难以抵制此类法律，尤其当澳大利亚成功针对企业个人追责时
- 更深层风险在于各国可能效仿专制政权，全面封杀具有强隐私保护功能的技术
Switching from GPG to Age
6 months ago
- 作者此前按照drduh指南使用存储在YubiKey上的GPG密钥进行加密和签名
- 由于子密钥临近过期，作者考虑过续期或轮换，但最终决定任其过期——因主要仅用于加密场景
- 目前正在尝试用'age'进行加密，用'minisign'处理签名
- 密码管理工具从'pass'切换到'passage'（基于'age'的pass分支），并提供了便捷的迁移脚本
- 'passage'暂无安装包，但作为单一shell脚本可直接放置于$PATH路径使用
- 作者已弃用'gpg-agent'管理SSH，转为每台设备使用独立SSH密钥以提升安全性和监控能力
- 开始使用'chezmoi'管理加密配置文件，甚至将付费字体等密钥存储在公开仓库中
- 发现通过'age-plugin-yubikey'搭配YubiKey的设置流程比GPG简单许多，仅需30分钟即可完成
- 作者享受探索核心工具链的创新，认为'age'带来了令人耳目一新的高效替代方案
Time to Start De-Appling
6 months ago
- 苹果公司因英国《调查权力法案》中的内政部技术能力通知（TCN），决定从英国撤回其高级数据保护（ADP）功能。
- 已启用ADP的英国用户必须手动关闭该功能，否则将面临iCloud账户停用风险。
- ADP将不再对新英国用户开放，现有用户若不采取行动也将失去访问权限。
- iCloud备份、云盘、照片、备忘录等数据类别将恢复为标准数据保护模式，不再具备端到端加密（e2ee）。
- 建议用户将关键数据转移至Proton、Standard Notes、Obsidian或Joplin等支持端到端加密的服务。
- 该TCN对全球iCloud用户（不仅限于英国）生效，引发更广泛的安全隐忧。
- 第二项TCN专门针对英国公民数据，新增国籍核查要求，但具体细节因保密条款尚不明确。
- 目前关于TCN的信息仅来自《计算机周刊》《金融时报》的报道及相关法律诉讼。
- 英国境外用户若未启用ADP应立即激活该功能。
- 本文强调实现隐私保护需摆脱谷歌/苹果生态及美国技术体系依赖。
GPG and Me (2015)
6 months ago
- 作者经常收到陌生人发来的GPG加密邮件，但发现这些邮件令人失望，正考虑将其过滤掉。
- GPG诞生于1990年代，初衷是希望人人都能用密码学进行私密通讯，但最终未能获得广泛普及。
- GPG界面复杂且技术过时，仍停留在1990年代的加密水平，缺乏前向保密等现代功能。
- 尽管记者、活动人士和企业都在使用GPG，但其操作困难，容易导致失误。
- 作者认为GPG是一次失败的实验，希望未来能出现吸取GPG教训的新型端到端加密方案。
Why Bcrypt Can Be Unsafe for Password Hashing?
6 months ago
- 由于基于Blowfish加密算法，bcrypt会忽略前72字节之后的所有字节。
- bcrypt故意设计为速度缓慢，内置盐值机制，被广泛用于密码哈希存储。
- 代码示例表明bcrypt仅处理密码的前72字节，后续内容会被忽略。
- 72字节限制针对字节而非字符，UTF-8编码下非ASCII字符更易受影响。
- 替代方案包括使用Argon2算法，或在bcrypt前先用SHA-256/SHA-512预哈希密码。
- Python的bcrypt包（5.0.0+版本）会对超过72字节的密码抛出错误。
- 不同语言/库对72字节限制处理方式不同（如Go语言报错，OpenBSD直接截断）。
- Okta公司2024年安全事件源于bcrypt在缓存密钥哈希时的72字节限制。
- bcrypt仍适用于72字节内的常规密码，但建议未来采用更安全的替代方案。

About|Login

#encryption

Signal's New PQ Ratchet

Google Workspace Updates: Send Gmail end-to-end encrypted emails to anyone

The UK Is Still Trying to Backdoor Encryption for Apple Users

Magic Wormhole: Get things from one computer to another, safely

Europe's future is at stake: Open letter against Chat Control

Managing Encrypted Filesystems with dirlock

Why Signal's post-quantum makeover is an engineering achievement

Subverting Telegram's end-to-end encryption

Europe's Digital Sovereignty Paradox – "Chat Control" Update

A Surprising Amount of Satellite Traffic Is Unencrypted – Schneier on Security

Where are we on XChat security?

Eavesdropping on Internal Networks via Unencrypted Satellites

Signal Runs Partly on AWS

An Opinionated Guide to Privacy Despite Authoritarianism

Chat Control proposal fails again after public opposition

Australia Mandates Encryption Backdoors

Switching from GPG to Age

Time to Start De-Appling

GPG and Me (2015)

Why Bcrypt Can Be Unsafe for Password Hashing?