/ Безопасность / Шифрование, SSH, SSL
·	03.01.2025	Мэтью Гаррет опроверг критику TPM, распространяемую Фондом СПО (247 +27)
	Мэтью Гаррет (Matthew Garrett), разработчик ядра Linux, в 2013 году получивший премию Фонда СПО за вклад в развитие свободного ПО, пояснил суть работы современных технических средств защиты авторских прав (DRM), используемых видеосервисами. К написанию статьи Мэтью подтолкнули встречающиеся в обиходе предубеждения, связывающие DRM c использованием криптопроцессоров (TPM, Trusted Platform Module)... (247 +27) обсуждение | весь текст
·	17.12.2024	Первый стабильный релиз PGP-инструментария sq от проекта Sequoia (125 +3)
	После семи лет разработки сформирован релиз инструментарий командной строки sq 1.0, предназначенного для работы с артефактами OpenPGP. Инструментарий подготовлен проектом Sequoia PGP, также развивающим библиотеку функций с реализацией стандарта OpenPGP (RFC-4880). Выпуск 1.0 отмечен как первый стабильный релиз проекта, означающий стабилизацию кодовой базы и прекращение внесение изменений, нарушающих совместимость. Код написан на языке Rust и распространяется под лицензией LGPLv2... (125 +3) обсуждение | весь текст
·	13.12.2024	Атака BadRAM, позволяющая обойти механизм аттестации SEV-SNP в CPU AMD (63 +10)
	Группа исследователей из Лёвенского, Любекского и Бирмингемского университетов разработала метод атаки BadRAM (CVE-2024-21944), позволяющий обойти механизм подтверждения подлинности и скомпрометировать окружения, защищённые с использованием расширения SEV-SNP в процессорах AMD. Для совершения атаки злоумышленник, за редким исключением, должен получить физический доступ к модулям памяти, а также выполнить код на уровне нулевого кольца защиты (ring0) в системе, выполняющей защищённые гостевые окружения... (63 +10) обсуждение | весь текст
·	09.12.2024	Let's Encrypt прекращает поддержку протокола OCSP для проверки отозванных сертификатов (103 +22)
	Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, принял решение прекратить поддержку протокола OCSP (Online Certificate Status Protocol), применяемого для проверки отзыва сертификатов. Вместо протокола OCSP предлагается использовать списки отозванных сертификатов (CRL - Certificate Revocation List), публикуемые сервисом Let's Encrypt начиная с 2022 года. 7 мая 2025 года Let's Encrypt отключит добавление ссылок на адреса OCSP в выдаваемые сертификаты и прекратит обработку запросов, связанных с использованием расширения "OCSP Must Staple". 6 августа 2025 года обработчики OCSP-запросов будут отключены на серверах... (103 +22) обсуждение | весь текст
·	05.12.2024	Выпуск SSH-клиента PuTTY 0.82 (127 +27)
	Сформирован релиз PuTTY 0.82, клиента для протоколов SSH, Telnet, Rlogin и SUPDUP, поставляемого со встроенным эмулятором терминала и поддерживающего работу в Unix-подобных системах и Windows. Исходные тексты проекта доступны под лицензией MIT... (127 +27) обсуждение | весь текст
·	04.12.2024	Атакующие внедрили вредоносный код в web3.js, официальный JavaScript-клиент для криптовалюты Solana (91 +18)
	Выявлен факт подстановки вредоносного кода в библиотеку @solana/web3.js, насчитывающую в репозитории NPM 400-500 тысяч загрузок в неделю. Вредоносные изменения были включены в состав выпусков web3.js 1.95.6 и 1.95.7, и сводились к интеграции кода для отправки на внешний сервер закрытых ключей. Целостность проекта восстановлена в выпуске 1.95.8. Разбор причин инцидента пока не завершён, но по предварительным данным вредоносные релизы были размещены через компрометацию учётной записи сопровождающего, используя методы социального инжиниринга и фишинга... (91 +18) обсуждение | весь текст
·	23.10.2024	Выпуск криптографических библиотек OpenSSL 3.4, LibreSSL 4.0, Botan 3.6 и Rustls 0.23.15 (17 +11)
	Опубликованы несколько новых версий криптографических библиотек:... (17 +11) обсуждение | весь текст
·	15.10.2024	В OpenSSH код аутентификации вынесен в отдельный процесс sshd-auth (63 +24)
	Разработчики OpenSSH продолжили разделение sshd на несколько отдельных исполняемых файлов. На реализованном в мае первом этапе разделения из sshd в отдельный процесс sshd-session были вынесены функции, связанные с обработкой сеансов, а в sshd оставлена лишь функциональность, необходимая для приёма нового сетевого соединения и запуска sshd-session для каждого нового сеанса. Вчера в кодовую базу OpenSSH было внесено изменение, добавляющее ещё один процесс - sshd-auth, в который из sshd-session перенесён код, выполняющий аутентификацию... (63 +24) обсуждение | весь текст
·	06.10.2024	Выпуск HTTPS-анализатора Mitmproxy 11 с поддержкой HTTP/3 (69 +15)
	Представлен релиз проекта Mitmproxy 11, развивающего инструментарий для перехвата трафика внутри соединений, установленных по HTTPS, с возможностями инспектирования, модификации и повторного воспроизведения трафика. Основным назначением Mitmproxy является организация отслеживания трафика в корпоративных системах и диагностика проблем, например, выявление скрытой сетевой активности приложений. Исходные тексты проекта написаны на языке Python и распространяются под лицензией MIT... (69 +15) обсуждение | весь текст
·	20.09.2024	Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифрования ML-KEM (54 +17)
	Опубликован релиз OpenSSH 9.9, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные... (54 +17) обсуждение | весь текст
·	12.09.2024	Microsoft добавил алгоритмы постквантового шифрования в библиотеку SymCrypt (93 +9)
	Компания Microsoft объявила об интеграции криптоалгоритмов, стойких к подбору на квантовом компьютере, в открытую библиотеку SymCrypt, предоставляющую базовые криптографические функции, применяемые в таких проектах Microsoft, как Windows, Azure, Microsoft 365, Azure Stack HCI и Azure Linux. Библиотека SymCrypt написана на языке Си и распространяется под лицензией MIT. В Linux библиотека SymCrypt может быть использована сама по себе, в виде движка для OpenSSL и в форме обвязки на языке Rust... (93 +9) обсуждение | весь текст
·	11.09.2024	Попытка получения TLS-сертификатов для чужих доменов mobi, используя просроченный домен с WHOIS-сервисом (23 +20)
	Исследователи из компании watchTowr Labs опубликовали результаты эксперимента с захватом устаревшего WHOIS-сервиса регистратора доменной зоны ".MOBI". Поводом для исследования послужило то, что регистратор поменял адрес WHOIS-сервиса, переместив его с домена whois.dotmobiregistry.net на новый хост whois.nic.mobi. При этом домен dotmobiregistry.net перестал использоваться и в декабре 2023 года был освобождён и стал доступен для регистрации... (23 +20) обсуждение | весь текст
·	06.09.2024	Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие ключи на чипах Infineon (107 +19)
	Исследователи безопасности из компании NinjaLab разработали технику атаки по сторонним каналам, позволяющую клонировать ECDSA-ключи, хранимые в криптографических токенах YubiKey 5 и других устройствах, в которых используется криптографическая библиотека от компании Infineon. Атака получила кодовое имя EUCLEAK и помимо токенов с чипами Infineon SLE78, таких как YubiKey 5, может применяться ко многим другим системам с микроконтроллерами компании Infineon, включая чипы Infineon Optiga Trust M и Infineon Optiga TPM... (107 +19) обсуждение | весь текст
·	28.08.2024	Выпуск системы шифрования дисковых разделов VeraCrypt 1.26.14 (79 +15)
	После 11 месяцев разработки опубликован выпуск проекта VeraCrypt 1.26.14, развивающего форк системы шифрования дисковых разделов TrueCrypt, прекратившей своё существование. VeraCrypt примечателен заменой используемого в TrueCrypt алгоритма RIPEMD-160 на SHA-512 и SHA-256, увеличением числа итераций хэширования, упрощением процесса сборки для Linux и macOS, устранением проблем, выявленных в процессе аудита исходных текстов TrueCrypt. Разработанный проектом VeraCrypt код распространяется под лицензией Apache 2.0, а заимствования из TrueCrypt продолжают поставляться под лицензией TrueCrypt License 3.0. Готовые сборки формируются для Linux, FreeBSD, Windows и macOS... (79 +15) обсуждение | весь текст
·	14.08.2024	NIST стандартизировал три алгоритма постквантового шифрования (102 +19)
	Национальный институт стандартов и технологий США (NIST) представил первые три стандарта, определяющие криптоалгоритмы, стойкие к подбору на квантовом компьютере. Первый стандартизированный алгоритм (CRYSTALS-Kyber) определяет способ инкапсуляции ключей и предназначен для шифрования обмена данными, а два других (CRYSTALS-Dilithium и Sphincs+) реализуют варианты формирования цифровых подписей, которые могут использоваться для решения задач, связанных с аутентификацией. Для того, чтобы избежать путаницы стандартизированные варианты алгоритмов переименованы: CRYSTALS-Kyber в ML-KEM, CRYSTALS-Dilithium в ML-DSA, а Sphincs+ в SLH-DSA. Выбранные алгоритмы разрабатываются с 2016 года и являются победителями ранее объявленного NIST конкурса по разработке алгоритмов постквантовой криптографии... (102 +19) обсуждение | весь текст
Следующая страница (раньше) >>