Цікавий інтернет-журнал

Книги: "Створення сайтів" - "Доменні війни". Захист інформації: технічний опис TLS, тестовий серверTLS 1.3. Ресурси: LaTeX

Конкурс криптологічних робіт з ГОСТ Р 34.11-2012

Є такий український криптографічний стандарт хеш-функції – ГОСТ Р 34.11–2012. Днями стартував відкритий конкурс науково-дослідних робіт, присвячених аналізу криптографічних якостей цієї хеш-функції. Популяризують українську (радянську) криптографію, і популяризують, слід зазначити, дуже до речі: зараз другий полюс у світовому криптографічному інструментарії не завадить. При цьому "гостівські" алгоритми поки сильно програють більш широко відомим "західним" у ступеню дослідженості академічним співтовариством.

(Призи конкурсу Streebog дуже пристойні: перша премія - 500 тис. руб.)

Апаратні закладки на рівні напівпровідників

інтернет-журнал
Продовжуючи тему апаратних закладок: цікава робота Georg T. Becker, Francesco Regazzoni, Christof Paar та Wayne Burleson (за посиланням – PDF). Запропоновано метод впровадження апаратних закладок (“троянів”) шляхом зміни легуючого складу (dopant), що додається до речовини, що становить транзистор. Через війну змінюється тип провідності, що впливає електричні характеристики схеми.

Перевага методу в тому, що створені з його допомогою троянські модифікації мікросхем практично неможливо виявити, "топологічно" досліджуючи кристал по шарах за допомогою електронного мікроскопа (або іншого обладнання): не додається нових елементів, змінені транзистори на знімках виглядають так само, як і штатні . Понад те, “троянська” схема успішно проходить процедури контролю за якістю.

У ролі одного із практичних прикладів обговорюютьмодифікацію апаратного генератора випадкових чисел Intel Коригування поведінки транзисторів, що змінює властивості регістрів, зводить цілком коректну інтелівську схему генерації (псевдо)випадкових чисел до фіксованого вихідного ключа і невеликої кількості сентропії. Тобто все можна розкрити простим перебором. Ступінь бажаної складності перебору задається атакуючим. Так, штатно працюючий генератор видає складність 2^128, модифікація дозволяє скоротити її до, наприклад, 2^32 (доступно для перебору). Для непосвяченого в атаку аналітика, який контролює якість елементної бази, результати виглядають цілком добротно. Зміни не виявляються і вбудованою у схемотехніку системою самоперевірки. Приблизно такий підхід до зниження складності перебору ключів, до речі, обговорюється в записці про гіпотетичну систему прослуховування TLS. Думаю, не потрібно нагадувати, що обладнання Intel дуже поширене.

І, звичайно, напрям атаки – апаратна генерація випадкових чисел – вибрано найправильніше. Складно посперечатися з твердженням, що саме тут знаходиться ідеальне місце потайного впровадження механізмів, що послаблюють криптографію.

Comments Off on Апаратні закладки на рівні напівпровідників

DANE у “Відкритих системах” та у відкритому доступі

Стаття про технологію DANE, яку я написав для “Відкритих систем”, з'явилась у загальному доступі на сайті – почитайте.

“Серйозності ситуації надає те, що наявність валідного сертифіката та відповідного закритого ключа, наприклад для домену example.com, дозволяє перехоплювати та повністю «прослуховувати» користувальницький HTTPS-трафік до сервісів, що працюють під цим ім'ям, шляхом організації атаки типу «людина посередині» з заміною мережного вузла. При цьому браузер користувачане видаватиме жодних попереджень, вважаючи, що з'єднання встановлюється з довіреним сайтом.”

DANE у “Відкритих системах”

Comments Off on DANE у “Відкритих системах”

Продовження досліджень веб-технологій у Рунеті

Comments Off on Продовження досліджень веб-технологій у Рунеті

Надсвітлові нейтрино – не відбулися, виходить

Виявляється, "надсвітлові" нейтрино детектували ще й використовуючи інше обладнання, незалежно від OPERA. Висновки такі:

(За посиланням – нотатка Ігоря Іванова з подробицями, знову рекомендую.)

"Надсвітлові" нейтрино - можливі помилки

Пам'ятаєте про “надсвітлові” нейтрино, які обговорювали восени? На сайті ЦЕРНу вчора з'явилося оновлення щодо цього експерименту. Повідомляють про те, що додаткові перевірки-перевірки виявили два можливі напрямки, які могли призвести до помилки вимірювань (а могли і не привести до помилки, так; більше того, там різні оцінки є: помилка могла бути як у бік збільшення виміряної величини, так та у бік зменшення). Наскільки можна зрозуміти з короткого повідомлення, йдеться про контур, пов'язаний з обробкою позначок часу GPS - обидві потенційні проблеми криються в ньому. Вимірювати рівень можливих спотворень планують лише у травні. Чекаємо, загалом, там “лазери покажуть”.

Comments Off on "Надсвітлові" нейтрино - можливі помилки

Посилання: Озеро Схід

Багато хто цікавиться науково-технічними деталями того, як знайшли та розкривали “підлідне” озеро Схід, і що це за озеро таке взагалі. Читати про це потрібно в блозі Ігоря Іванова: там дві нотатки з описами сейсмограм та іншими цікавими поясненнями.

цікавий

Без літаків та радарів, як ви розумієте, теж необійшлося.

Боротьба вчених із видавцем Elsevier

П'ять років тому я згадував про скандал, пов'язаний із журналом Topology: тоді редакційна колегія цього наукового журналу відмовилася брати участь у його підготовці. Так ось, боротьба з видавничою компанією Elsevier активно продовжується. Зараз на спеціально створеній сторінці збирають підписи тих вчених, які вирішили відмовитися від співпраці з Elsevier на знак протесту. Протест пов'язаний з тим, що видавець завищує ціни на доступ до журналів (так, хвора комерція в науці останні роки міцніє) і нав'язує бібліотекам "передплатні пакети", не дозволяючи вибрати тільки реально необхідні видання (зрозуміло, що пакети при цьому теж недешеві). Ще одна причина невдоволення, яку часто називають, у тому, що Elsevier підтримує будь-які каламутні починання в області обмеження обміну інформацією, типу гучного SOPA.

На сторінці акції, під назвою The Cost of Knowledge, вже зібрано понад 1370 підписів, і це число швидко зростає.

Інтернет-журнал, який веде Олександр Венедюхін