Can Apple read your iMessages? (2013)4 months agohttps://blog.cryptographyengineering.com/2013/06/26/can-apple-read-your-imessage...苹果iMessage加密缺乏透明度,引发隐私与安全担忧iMessage备份至iCloud后可通过密码重置恢复,暗示苹果在必要时可能访问用户信息iMessage加密依赖苹果目录服务分发密钥,存在中间人攻击潜在风险苹果未对iMessage的HTTPS通信启用证书固定,易受伪造证书攻击尽管消息内容加密,苹果仍可能保留iMessage通信元数据iMessage安全机制存在易用性与安全性的权衡,但苹果未公开具体取舍细节
Microsoft Gave FBI Keys to Unlock Encrypted Data, Exposing Major Privacy Flaw4 months agohttps://www.forbes.com/sites/thomasbrewster/2026/01/22/microsoft-gave-fbi-keys-t...美国联邦调查局(FBI)向微软发出搜查令,要求其提供关岛三台加密笔记本电脑的BitLocker恢复密钥。BitLocker是Windows电脑的加密软件;微软建议将密钥存储在其服务器上,使其可通过法律命令获取。微软确认在有效法律命令下提供BitLocker恢复密钥,每年收到约20次此类请求。这是已知的首例微软向执法部门提供加密密钥的事件。隐私专家批评微软未像苹果和谷歌那样提供更强大的保护措施,后两者允许加密云备份。有人担忧BitLocker密钥提供的数据访问范围过广,可能超出调查所需。微软本可提供基于硬件的密钥存储(如U盘),但该选项并非默认设置。事实证明,没有密钥时执法部门无法破解BitLocker加密,导致其依赖微软配合。专家警告,既然微软已开先例,执法部门可能会更频繁地要求获取加密密钥。
Encrypt your PC's disk without giving the keys to Microsoft4 months agohttps://arstechnica.com/gadgets/2026/01/how-to-encrypt-your-pcs-disk-without-giv...美国联邦调查局(FBI)向微软发出搜查令,要求获取与关岛新冠疫情失业援助计划欺诈调查相关的BitLocker加密恢复密钥BitLocker是Windows系统中的全盘加密技术,现对使用微软账户登录的Win11家庭版和专业版用户自动启用本地磁盘加密恢复密钥会上传至微软服务器,既便于数据恢复,也使得微软能在必要时解锁磁盘微软每年处理约20起政府机构提出的BitLocker密钥调取请求,但多数因用户未将密钥存储在微软服务器上而失败微软、苹果等科技公司普遍反对为执法部门设置通用加密后门,部分企业采用额外加密层保护密钥云端存储恢复密钥存在隐私安全风险,尤其在政府加强对记者和政治对手监控的背景下
US reportedly investigate claims that Meta can read encrypted WhatsApp messages4 months agohttps://www.theguardian.com/technology/2026/jan/31/us-authorities-reportedly-inv...美国当局调查有关Meta能读取加密WhatsApp聊天的指控诉讼指控Meta几乎可以获取所有WhatsApp用户的私密通讯,Meta对此予以否认该诉讼由昆鹰律师事务所提起,该事务所同时也在另案中代表NSO集团Meta指责昆鹰律师事务所提起毫无根据的诉讼以支持NSO集团昆鹰律师事务所称诉讼依据来自多国举报人的证词专家对该诉讼主张表示怀疑,指出缺乏证据支持Meta为WhatsApp端到端加密辩护,称数学上不可能事后获取聊天内容批评者指出WhatsApp会收集元数据,尽管有加密声明仍引发隐私担忧
The €10 Mirror: Why Enterprise Security Looks Like a Kid's Toy3 months agohttps://labs.itresit.es/2026/02/04/the-e10-mirror-why-enterprise-security-looks-...一款玩具投影仪的安全漏洞映射出严肃系统中的通病,揭示了因工期紧张、预算限制和安全审查缺失导致的常见失效模式该投影仪的媒体保护仅采用可逆的单字节XOR包装,NFC卡带仅作为索引选择器,使得系统用基础工具即可攻破研究发现包括默认NFC密钥、无标签认证、可写标签数据驱动安全决策、SD卡内容无真实性验证等问题,与企业级安全漏洞如出一辙成本常被视为安全性的阻碍,但采用项目专属NFC密钥和真实加密等架构设计本可在不增加硬件成本的情况下提升安全性安全漏洞的根源往往在需求阶段而非代码层,这凸显了早期设计验证和威胁建模的必要性攻破该系统仅需基础工具和60分钟,证明良好的安全性既可实现又不可或缺,这对保护商业模式和用户信任至关重要
Show HN: If you lose your memory, how to regain access to your computer?3 months agohttps://eljojo.github.io/rememory/该工具使用沙米尔秘密共享方案加密文件并分割解密密钥需要达到好友阈值(如5人中的3人)才能恢复密钥每个好友会收到一个包含recover.html的独立离线解密包无需互联网或服务器,即使网站消失也能恢复加密文件→密钥分割成份额→分发→好友合并份额解密设计确保可信好友能访问文件,不依赖单个人或服务为好友提供简单独立的恢复方法
Password managers' promise that they can't see your vaults isn't always true3 months agohttps://arstechnica.com/security/2026/02/password-managers-promise-that-they-can...密码管理器已得到广泛采用,36%的美国成年人使用它们。顶级密码管理器采用'零知识'加密技术保护用户数据。Bitwarden、Dashlane和LastPass声称的'牢不可破'安全性受到新研究的挑战。研究显示密码管理器存在漏洞,尤其在账户恢复或共享保险库场景中。基于云的保险库提供了便利,但部分用户更倾向于记忆密码或自制解决方案。物理攻击(如'5美元扳手攻击')可以绕过安全措施。
Google, Apple start testing encrypted RCS on Android and iOS 26.43 months agohttps://9to5google.com/2026/02/23/google-messages-encrypted-rcs-iphone/谷歌和苹果正在测试安卓与iPhone之间的加密RCS短信功能安卓与iOS用户间的消息将加密传输,第三方无法读取iOS信息应用会显示绿色气泡并标注「短信·RCS | [锁形图标]已加密」谷歌信息应用同样会为加密消息显示锁形图标iOS 18新增了与安卓用户的输入提示、已读回执及高清媒体文件传输的RCS支持苹果去年三月宣布支持端到端加密的RCS协议测试需iPhone升级至iOS 26.4 Beta 2系统,安卓设备安装最新谷歌信息测试版用户需在设置>信息>RCS消息中开启「端到端加密(测试版)」选项测试版可能存在消息延迟、服务中断及系统错误等问题加密RCS功能将在未来iOS 26正式更新中默认启用
New AirSnitch attack breaks Wi-Fi encryption in homes, offices, and enterprises3 months agohttps://arstechnica.com/security/2026/02/new-airsnitch-attack-breaks-wi-fi-encry...Wi-Fi是现代生活不可或缺的部分,自20世纪90年代末以来全球出货量超480亿台设备,预计用户数达60亿。Wi-Fi安全性历来薄弱,既继承了以太网的漏洞,又易受无线电信号拦截影响。早期公共Wi-Fi网络易受ARP欺骗等攻击,这促使了加密保护措施的推行。新研究揭示网络协议栈底层的漏洞,使得加密机制无法有效实现客户端隔离。AirSnitch攻击利用这些缺陷,影响Netgear、D-Link、Ubiquity、思科等主流品牌路由器,以及搭载DD-WRT和OpenWrt系统的设备。
Please, please, please stop using passkeys for encrypting user data3 months agohttps://blog.timcappalli.me/p/passkeys-prf-warning/关于用户因通行密钥和PRF扩展使用而丢失重要数据的担忧。PRF扩展正被用于消息备份、端到端加密和加密钱包等多种应用的加密功能。将认证凭证重载用于加密会增加数据丢失的风险。示例场景:用户删除通行密钥,导致加密备份不可逆地丢失。当前用户界面缺乏关于通行密钥在数据加密中关键作用的充分警告。PRF的合理用途包括凭证管理器和操作系统支持,这些都有健全的恢复选项。行动呼吁:停止使用通行密钥加密用户数据;改进警告和用户教育。
TikTok will not introduce end-to-end encryption, saying it makes users less safe2 months agohttps://www.bbc.com/news/articles/cly2m5e5ke4o抖音宣布不会对私信功能实施端到端加密(E2EE),理由是出于用户安全考虑。端到端加密确保只有发送方和接收方能查看信息,但批评者认为这会阻碍打击有害内容的努力。抖音在数据保护和所谓与中国政府关联方面受到审查,但该公司否认这些指控。该平台辩称端到端加密将导致执法部门和安全团队在必要时无法查看信息内容。抖音的立场与脸书、Instagram和WhatsApp等竞争对手形成对比,后者将端到端加密作为隐私优先功能。儿童保护组织支持抖音的决定,指出加密私信中可能存在诱导未成年人和性剥削的风险。端到端加密受到隐私倡导者的推崇,但也被多国政府和执法机构批评为非法活动提供便利。抖音目前采用标准加密技术处理私信,允许授权员工在特定条件下有限访问内容。行业分析师认为,抖音的决定可能受到政治和监管压力的影响。Signal、WhatsApp和iMessage等平台默认启用端到端加密,而Instagram和X平台正在逐步推进该技术。
WireGuard Is Two Things2 months agohttps://www.proxylity.com/articles/wireguard-is-two-things.htmlWireGuard既是一个VPN应用程序,也是一个加密协议。WireGuard协议是基于Noise协议框架和ChaCha20-Poly1305构建的简洁现代规范。WireGuard可作为加密UDP流量的库使用,而无需运行VPN。TCP存在结构性缺陷,如队头阻塞、连接状态重置以及在丢包链路上的拥塞控制问题。WireGuard协议采用无状态设计,无需预先建立连接或跟踪会话。WireGuardClient库与.NET的UdpClient API兼容,并处理握手、密钥轮换和消息分帧。WireGuard的无状态特性使其对间歇性连接设备具有强韧性。WireGuard可加密任意字节数组,不仅限于IP数据报,因此适用于多样化场景。Proxylity的UDP网关支持WireGuard监听器,可实现加密数据报直接发送至目标地址。wg-client库采用MIT开源协议,代码已在GitHub上发布。
A Copy-Paste Bug That Broke PSpice AES-256 Encryption2 months agohttps://jtsylve.blog/post/2026/03/18/PSpice-Encryption-WeaknessPSpice是一种电路模拟器,通过加密专有半导体模型文件来保护厂商知识产权。SpiceCrypt是解密PSpice加密文件的工具,可实现与其他模拟器的互操作性。PSpice的Mode 4加密存在漏洞,导致有效密钥空间从2^256降至2^32,使暴力破解成为可能。该漏洞源于使用短密钥(g_desKey)而非扩展密钥(g_aesKey)进行AES-256加密。利用元数据头中的已知明文前缀,暴力攻击可在数秒内恢复用户密钥。SpiceCrypt支持所有PSpice加密模式和LTspice格式的解密,并配备硬件加速密钥恢复功能。该工具旨在实现合法互操作性,而非用于侵犯知识产权。
The Danger Behind Meta Killing End-to-End Encryption for Instagram DMs2 months agohttps://www.wired.com/story/the-danger-behind-metas-decision-to-kill-end-to-end-...Meta将于5月8日取消Instagram私信的端到端加密功能,违背了先前扩大加密范围的承诺公司以用户采用率低为由,但批评者指出该功能设计拙劣且难以发现隐私保护人士警告这将开创危险先例,削弱科技巨头对加密技术的整体承诺Meta曾强调默认加密原则,但Instagram版本始终是需手动开启的隐藏功能内部文件显示Meta高层对加密存在政治分歧,有高管直指该技术'不负责任'该决定正值全球政府施压要求削弱加密以方便监控之际Meta将加密聊天用户导向WhatsApp,暗示可能逐步放弃Messenger和Instagram的隐私通讯功能与Signal创始人达成的新合作旨在为Meta AI引入AI驱动的加密技术,但具体细节仍未明确批评者质疑Meta推动加密更多是为挽回丑闻后的形象,而非真正致力于隐私保护
Google warns quantum computers could hack encrypted systems by 20292 months agohttps://www.theguardian.com/technology/2026/mar/26/google-quantum-computers-crac...谷歌警告称量子计算机可能在2029年前破解大多数现有加密系统量子计算机对当前加密标准构成重大威胁现有加密方法可能很快会被大规模量子计算机轻易破解量子计算机仍处于早期发展阶段,面临重大技术挑战构建强大的量子计算机需要克服量子比特的稳定性问题谷歌正优先推进认证服务的后量子密码迁移工作专家认为具有密码破解能力的量子计算机可能要到2030-2050年代才能问世各国政府和情报机构已开始为未来的量子威胁做准备英国国家网络安全中心建议企业在2035年前防范量子黑客攻击谷歌建议立即升级到高级加密系统以保护敏感数据
RSA and Python2 months agohttps://xnacly.me/posts/2023/rsa/RSA是一种非对称加密方法,使用公钥加密、私钥解密。密钥生成需要选择两个质数p和q,并计算n = p * q。欧拉函数φ(n)的计算公式为(p-1)*(q-1)。公钥指数e需满足与φ(n)互质。私钥指数d是e对φ(n)的模反元素。加密过程将字符转为数值后套用公式:c = m^e mod n。解密使用私钥逆向运算:m = c^d mod n。破解RSA可通过分解n为p和q来推算私钥。出于安全考虑,RSA密钥长度应至少512位以抵御因数分解攻击。量子计算机通过Shor算法能高效分解大数,未来可能威胁RSA安全性。