Verifying your Matrix devices is becoming mandatory6 months agohttps://element.io/blog/verifying-your-devices-is-becoming-mandatory-2/Element将于2026年4月起要求对加密消息进行设备验证未经验证的设备存在安全风险,可能遭到入侵设备验证可确保消息来源可信且通信安全用户必须验证设备并设置恢复密钥才能继续使用加密消息功能更新后,未验证设备将无法在加密会话中发送或显示消息内容此次更新将全面提升Element消息平台的安全性和可信度
Data-at-Rest Encryption in DuckDB6 months agohttps://duckdb.org/2025/11/19/encryption-in-duckdbDuckDB v1.4 引入了使用 AES-GCM-256 和 AES-CTR-256 算法实现静态数据加密的数据库加密功能。加密范围涵盖数据库主头文件、数据块、预写日志(WAL)及临时文件。密钥管理采用从用户提供密钥派生的安全密钥,并安全存储于内存中。加密对性能影响极小,尤其在使用支持硬件加速的 OpenSSL 时。DuckDB 支持对现有数据库加密、新建加密数据库以及数据库重加密操作。该加密功能显著提升了 CDN 分发和云存储等部署模式的安全性。
Signal knows who you're talking to6 months agohttps://sanesecurityguy.com/articles/signal-knows-who-youre-talking-to/Signal的密封发送功能提供单向匿名性,但在双向通信中失效。尽管有密封发送功能,IP地址等元数据仍可能暴露通信模式。Signal要求提供电话号码,这可能关联到用户身份,从而损害隐私。Signal中的送达回执会自动建立双向通信,抵消了密封发送的优势。像SimpleX这样的替代方案通过不要求全局标识符,提供了更好的隐私保护。
NSA and IETF, Part 26 months agohttps://blog.cr.yp.to/20251123-corruption.html美国国家安全局(NSA)和英国政府通信总部(GCHQ)正试图推动弱化的加密标准,仅专注于后量子(PQ)密码学。针对NSA主导的TLS文档提出异议的关键截止日期即将于2025年11月26日到来。TLS工作组主席谎称该文档已达成共识,尽管存在强烈反对意见。在拖延数月后,IESG指示区域主管解决共识争议问题。所谓的‘最后异议期’被批评无视先前反对意见,并允许支持者大量刷票。来自NSA、GCHQ及其他利益冲突组织的员工公开支持该文档。ANSI和ASME等标准组织设有利益平衡机制,而IETF缺乏此类规则。IETF流程易受资金充裕的参与者操控,导致决策倾向性明显。NSA主导的文档缺乏明确工程合理性依据,其动机遭到质疑。强推非混合PQ标准被视为NSA试图构建可被利用系统的举措。
Counter Galois Onion: Improved encryption for Tor circuit traffic6 months agohttps://blog.torproject.org/introducing-cgo/Tor正用名为Counter Galois Onion(CGO)的新加密方案取代旧的中继加密算法'tor1'。CGO解决了tor1存在的多个安全问题,包括标记攻击、缺乏即时前向安全性以及脆弱的4字节认证码。标记攻击允许攻击者通过在一处修改流量并在其他位置观察变化来追踪流量,这是tor1的重大安全缺陷。CGO采用鲁棒伪随机置换(RPRP)技术防止标记攻击,确保任何篡改都会导致整个消息无法恢复。新方案还实现了即时前向安全性——解密密钥使用后立即销毁,而tor1会在整个电路生命周期重复使用密钥。CGO将脆弱的4字节SHA-1摘要替换为更强大的16字节认证码,大幅降低伪造行为逃过检测的概率。CGO已在Arti(Tor的Rust实现)和C语言版Tor中开始部署,计划很快在Arti中默认启用。向CGO过渡涉及代码重构以适应新加密方法,为未来密码学升级提供了更好的灵活性。尽管是新设计,CGO相比tor1有显著改进,目前未发现可能降低其安全性的潜在弱点。
Is France standing up for encryption and privacy?6 months agohttps://tuta.com/blog/france-law-encryption法国议员提议立法禁止破解加密并限制监控,反对此前失败的'毒品贩运'法案。'韧性'法案旨在防止未来任何削弱加密技术的尝试,确保不会出现强制后门或幽灵档案。该法案第16条明文禁止要求加密服务植入会削弱安全性的机制(如主解密密钥)。此项修订是隐私保护、网络安全和民主制度的重大胜利,为欧洲树立了积极典范。尽管取得进展,法国仍需面对遗留问题,如曾支持要求客户端扫描的丹麦'聊天控制'提案。全球范围内持续捍卫强加密与隐私权,公众施压仍是关键所在。
Renewing GPG Subkeys in 20256 months agohttps://entropicthoughts.com/renewing-gpg-subkeys-in-2025更新GPG子密钥需要导入主密钥并编辑密钥过期日期。将子密钥导出到文件可实现跨设备传输。删除设备上的私钥可确保安全性,后续仍可重新导入子密钥。修改后验证密钥状态至关重要。现代GPG简化流程已自动处理子密钥与主密钥的独立密码设置。因GDPR合规复杂性,密钥服务器的使用已大幅减少。
'End-to-end encrypted' smart toilet camera is not end-to-end encrypted5 months agohttps://techcrunch.com/2025/12/03/end-to-end-encrypted-smart-toilet-camera-is-no...科勒推出名为Dekoda的智能马桶摄像头,用于分析肠道健康。科勒声称数据采用'端到端加密'保护,但这一说法不准确——实际使用的是TLS加密。安全研究员Simon Fondrie-Teitler指出科勒在加密术语上存在误导性表述。科勒可访问服务器上的用户数据,引发关于用马桶图像训练AI的隐私担忧。科勒声明其算法仅基于去标识化数据进行训练。Dekoda售价599美元,另需强制订阅每月6.99美元的服务费。
Introducing Proton Sheets: Protect the data that drives your business5 months agohttps://proton.me/blog/sheets-proton-driveProton Sheets正逐步在Proton Drive中推出,为Excel和谷歌表格提供了安全的替代方案。其采用端到端加密技术,确保只有用户能访问自己的数据,连Proton公司也无法查看。该工具支持数据可视化、复杂计算、实时协作,并能通过任何设备安全访问。用户可导入/导出CSV或XLS文件,并精确控制表格的查看与编辑权限。专为保护商业敏感数据设计,能有效防御监控、追踪及未经授权的人工智能训练。作为Proton隐私工具套件的一部分,它与Proton文档、邮箱、日历等共同享有瑞士数据隐私法的强力保障。主要服务于企业、咨询师、记者、非政府组织和创业者等注重数据安全的群体。所有Proton Drive账户用户均可免费使用,默认开启隐私保护功能且无需额外付费。
Show HN: Lockenv – Simple encrypted secrets storage for Git5 months agohttps://github.com/illarion/lockenvlockenv 是一个对命令行友好的小型团队密钥存储工具,为管理.env和基础设施密码提供了比sops/git-crypt更简单的替代方案它使用密码派生密钥将敏感文件加密成单个.lockenv保险库文件,可安全提交到版本控制系统功能包括手动Git集成(锁定/解锁)、密码+密钥环认证,支持多操作系统平台(Linux、macOS、Windows)安装方式支持Homebrew、.deb/.rpm包、预编译二进制文件以及Go安装基础命令:`lockenv init`初始化、`lockenv lock`加密文件、`lockenv unlock`解密文件(带智能冲突解决)Git集成方案:在.gitignore中忽略敏感文件,仅提交加密后的.lockenv文件安全特性包含AES-256-GCM加密、PBKDF2密钥派生和内存安全实践通过环境变量(LOCKENV_PASSWORD)实现CI/CD支持,并集成操作系统密钥环管理密码当前限制包括处理大二进制文件(>100MB)和整个保险库仅支持单一密码访问控制
iMessage's Architecture Makes It Hard to Block Without Blocking All Push Notices5 months agohttps://daringfireball.net/2025/12/imessage_push_notifications_hard_to_blockApple iMessage是专为iPhone、iPad、Mac、Apple Watch和Apple Vision Pro设计的即时通讯服务iMessage依赖苹果推送通知服务(APNs)传输文本和附件消息在所有设备间同步,并通过端到端加密技术保障安全苹果公司无法解密iMessage数据,确保用户隐私封禁iMessage需拦截所有APNs推送通知,这使得审查操作极为困难iMessage的系统架构可能使运营商难以单独屏蔽而不影响其他服务威权政府因APNs的依赖性而难以有效封锁iMessage企业网络管理员在限制iMessage流量时同样面临技术难题
Microsoft will kill obsolete cipher that has wreaked decades of havoc5 months agohttps://arstechnica.com/security/2025/12/microsoft-will-finally-kill-obsolete-ci...微软宣布将在26年后停止对Windows系统中RC4加密算法的支持,原因是该算法存在安全漏洞。RC4加密自2000年起用于Active Directory,但早在1994年密码学攻击被证实后就被发现存在缺陷。尽管已知其脆弱性,RC4直到约十年前仍被用于SSL和TLS等加密协议。微软虽将Active Directory升级至支持AES加密,但认证请求仍默认使用RC4,这使其成为黑客的攻击目标。2023年医疗巨头Ascension遭入侵事件中,攻击者正是利用了RC4漏洞,导致140家医院和560万患者受影响。美国参议员Ron Wyden谴责微软持续默认支持RC4的行为是'严重的网络安全渎职'。微软以Kerberoasting攻击(Ascension数据泄露的根本原因)为由,正式宣布弃用RC4加密标准。
There Is No Future for Online Safety Without Privacy and Security5 months agohttps://itsfoss.com/news/alexander-linton-interview/Session是一款开源加密通讯应用,注册时无需提供电话号码或电子邮件。它通过由2000多个节点组成的去中心化网络和洋葱路由技术(类似Tor)来保障隐私。由于澳大利亚的监管压力,Session技术基金会于2024年10月从Oxen隐私技术基金会(OPTF)接管了项目运营权。现任Session技术基金会主席Alexander Linton从新闻行业转型投身隐私保护倡导。Session通过加密技术和社区自治实现信任与安全,而非依赖中心化管控。尽管瑞士为基金会提供了稳定环境,但仍需关注VUPF等监管政策变化。Session代币旨在维持生态系统运转,激励去中心化基础设施建设而非牟利。该应用的架构设计使平台级内容审核无法实现,强调用户自主与社区自治。政府越权和公众漠视被视为隐私的主要威胁,设计缺陷的技术(如AI)同样构成风险。Session致力于通过无身份绑定的安全私密通讯实现自然增长。
We Abandoned Matrix: The Dark Truth About User Security and Safety (2024)5 months agohttps://forum.hackliberty.org/t/why-we-abandoned-matrix-the-dark-truth-about-use...Hack Liberty已迁移至Simplex——一个去中心化、抗元数据追踪的Matrix替代方案。Matrix存在严重缺陷,包括元数据泄露、中间人管理员攻击及脆弱的加密协议。Matrix.org收集大量用户数据(含邮箱、电话号码和IP地址),引发隐私担忧。Matrix易被滥用托管非法内容(如儿童性虐待材料),且内容审核机制薄弱。另一联邦式服务Lemmy同样存在数据复制、审核难题和内容审查等问题。SimpleX通过无用户标识符、私有消息路由和强制端到端加密实现更优隐私保护。SimpleX不依赖DNS、无中心化组件且抵御全网攻击,规避了联邦/P2P协议的常见缺陷。SimpleX特性包括抗量子密钥交换、Tor支持及本地数据存储,强化用户控制与安全。对比图表显示SimpleX在隐私性、安全性和去中心化方面优于Matrix及P2P协议。未来SimpleX将开发大群组、临时会话和可编程聊天自动化等功能以提升用户体验。
Confessions to a Data Lake5 months agohttps://confer.to/blog/2025/12/confessions-to-a-data-lake/Confer为AI聊天提供端到端加密,确保只有用户能访问对话内容。与事务性搜索界面不同,大语言模型的对话式界面会诱发亲密信息分享。当前AI助手未能如实反映用户交互行为背后的真实隐私影响。AI助手中的广告推送将利用深度个人洞察,引发隐私担忧。Confer致力于提供不受数据剥削的私密空间,供用户自由探索想法。
Microsoft Is Finally Killing RC45 months agohttps://www.schneier.com/blog/archives/2025/12/microsoft-is-finally-killing-rc4....微软在26年后终于决定在Windows系统中弃用RC4加密算法。RC4作为已知安全漏洞,曾导致医疗巨头Ascension遭黑客入侵,影响140家医院及560万患者。美国参议员Ron Wyden批评微软持续默认支持RC4的行为属于'严重网络安全渎职'。自2014年就广为人知的RC4易受Kerberoasting攻击的特性,是其被弃用的关键原因。Ray Dillinger反思有缺陷的工作带来的负担,强调基于当下认知采取行动的重要性——即便未来可能因此后悔。
Using lava lamps to break RSA5 months agohttps://flak.tedunangst.com/post/using-lava-lamps-to-break-RSA互联网安全依赖于RSA加密技术,该技术基于大数分解的困难性。Cloudflare使用熔岩灯墙生成加密随机数,但该系统存在漏洞,因为熔岩灯图像是公开可获取的。本文提出了一种新技术,利用熔岩灯图像计算质因数,通过捕捉熔岩灯的混沌行为实现破解。该方法包括下载熔岩灯图像,使用加密算法降低其熵值,然后从处理后的数据中提取质因数。实验结果显示该方法在小整数分解上成功率较高,并具备提升分解更大比例整数的潜力。相关技术源代码已公开,但禁止商业用途。
RunAgent Genie – Ultimate Prompt Engineering Game with Advanced Guardrails5 months agohttps://genie.run-agent.ai/这段文字似乎是某个网站或应用程序的页眉或导航部分。其中提到的'终极提示注入挑战'可能是一个游戏或竞赛。包含'HOME'(首页)、'MY LEVELS'(我的关卡)、'LEADERBOARD'(排行榜)和'CONNECTED'(已连接)等选项,暗示了交互功能的存在。技术术语如'LIVE_v1.0'(在线_v1.0版)、'SESSION_ACTIVE'(会话激活)、'STAGE: LANDING'(阶段:着陆页)和'ENCRYPTION: SECURE_v2'(加密:安全_v2版)表明这是一个具有版本控制和安全措施的系统。
Everything You Need to Know About Email Encryption in 20264 months agohttps://soatok.blog/2026/01/04/everything-you-need-to-know-about-email-encryptio...电子邮件就像零保密性的数字明信片。2025年gpg.fail网站披露了PGP软件的安全漏洞。由于固有缺陷,密码学界已基本放弃电子邮件加密技术。电子邮件系统极其复杂,涉及存储转发机制、身份锚定和邮件列表等多重架构。SMTP协议缺乏强制TLS加密,STARTTLS可能被攻击者剥离。加密邮件常因用户操作失误(如未加密回复)导致保护失效。邮件元数据(主题行、时间戳等)通常以明文形式传输。DKIM认证虽确保邮件不可抵赖性,但会削弱隐私保护。解决电子邮件隐私问题本质上是政治难题而非技术障碍。ProtonMail等隐私科技公司的防护对高级别威胁作用有限。
Signal creator Moxie Marlinspike wants to do for AI what he did for messaging4 months agohttps://arstechnica.com/security/2026/01/signal-creator-moxie-marlinspike-wants-...Signal Messenger创始人莫西·马林斯派克正在开发一款名为Confer的开源AI助手,该产品以隐私保护为核心设计理念。Confer通过可信执行环境(TEE)技术确保用户数据加密,平台运营方、黑客或执法机构均无法读取原始内容。所有对话记录和AI响应均以加密形式存储,密钥安全保存在用户本地设备中。Confer的设计灵感源自Signal,通过技术手段简化隐私保护流程,用户无需自行管理加密密钥。主流平台常因配合传票要求而危及用户数据隐私,即使已删除的敏感聊天记录也可能被调取。OpenAI曾收到法庭命令要求保留用户日志,包括已删除的敏感API聊天记录,此事凸显隐私保护隐患。谷歌Gemini等AI平台可能允许人工审核聊天内容,这种机制将进一步削弱隐私安全性。本文探讨了公有云AI服务与本地大语言模型的技术分野,指出隐私保护解决方案具有重要价值。