Очень часто встречаю, что люди путают разные типы хэшей и думают, что NTLM и NTLMv1/v2 это одно и тоже, а NTLMv1/v2 и Net-NTLMv1/v2 разные типы. Данная статья заметка предназначена для того, что бы разобраться со всем этим.
Криптография *
Шифрование и криптоанализ
Новости
Отображение данных из подписанного ЭЦП PDF-файла в Joomla
На Joomla CMS сделано очень много сайтов для образовательных учреждений самого разного уровня и сложности. На сайты образовательных учреждений распространяется (на момент написания статьи) Приказ Рособрнадзора от 14.08.2020 №831, согласно которому документация должна быть на сайте образовательного учреждения в текстовом и табличном виде, а так же в виде файлов, подписанных электронной подписью (ЭЦП, ЭП).
Данная статья показывает, как можно автоматизировать отображение данных о подписанте из PDF-файлов применительно к Joomla CMS (и не только), дабы избежать огромного количества ручной работы при изменении документации.
В конце статьи прикладывается ссылка на скачивание готового плагина для Joomla 3 и 4.
Жонглирование ключами: как работает on-premise облако с e2e-шифрованием
Нашей команде доверяют аудит информационной безопасности. Не хочется представлять, что будет, если результаты одной из таких проверок утекут в сеть. Так что мы очень серьезно относимся к сохранности рабочих документов. А еще мы немного параноики, поэтому и решили изобрести велосипед разработать облако для безопасной совместной работы с файлами и поделиться наработками.
Подбор ключей симметричного алгоритма шифрования DES методом дифференциального криптоанализа
В данной статье я хотел бы познакомить читателей с методом дифференциального криптоанализа на примере алгоритма DES. Конечно, этот алгоритм шифрования уже давно устарел, но я считаю, что этот пример будет полезен для начинающих. При использовании описанного алгоритма время вычисления ключа будет сокращено в среднем на 25% , и число перебираемых вариантов составит . Алгоритм расчета статистики для каждого отдельного криптографического примитива будет позволять предсказывать значения на выходе, а также позволять изменять конфигурацию примитивов с целью выявления возможных уязвимостей, что подойдёт для анализа любого алгоритма шифрования, в котором имеются оные составляющие.
Бэкдор АНБ в карманном телексе 1984 года — история повторяется
В музее криптографии Нидерландов представлен интересный экспонат: карманный телекс PX-1000. Он разработан амстердамской фирмой Text Lite, с 1983 года продавался под брендами Philips и др.
PX-1000 был рассчитан на журналистов, бизнесменов. Использовался сотрудниками правительстве Нидерландов. Его уникальная особенность — надёжное шифрование по алгоритму DES. Судя по всему, это первый в мире коммуникатор со встроенным шифрованием, выпущенный для массового рынка. Целевая аудитория Text Lite примерно совпадает с сегодняшней аудиторией защищённых криптографических мессенджеров вроде Signal.
Так вот, интересный факт. В 1984 году разработчики заменили DES на альтернативный алгоритм шифрования, разработанный в АНБ. Появились подозрения, что там есть какая-то лазейка для расшифровки сообщений заинтересованными лицами. Иначе зачем было менять алгоритм?
Про NFT и деньги
▍ Является ли NFT обманом?
JSON Web Token и Secure Sockets Layer
Для начала разберем небольшую задачу. Она поможет читателю получить представление об основах шифрования.
Представим, что у нас есть сундук с важными документами. Мы хотим отправить его из пункта А в пункт Б, но так, чтобы никто не мог открыть его содержимое по пути следования. На сундук можно повесить замок/замки, отправлять сундук несколько раз, принимать обратно, передавать ключ/ключи через посредника. Посредник может скопировать ключ или даже сам сундук, подобно файлам на компьютере. Как же выстроить цепочку передачи, чтобы посредник не получил доступ к закрытым документам при перевозке?
Приватность в электронной почте: нам нужно использовать шифрование по умолчанию
Связь по электронной почте
В наши дни связь между людьми, учреждениями, компаниями и организациями является цифровой.
Согласно взятой из веба статистики, электронные письма генерируют ежедневный трафик, объём которого склонен к росту:
2021 год | 2022 год | 2023 год | 2024 год | 2025 год |
---|---|---|---|---|
319,6 | 333,2 | 347.3 | 361.6 | 376,4 |
Ежедневный трафик в миллиардах электронных писем компаний и потребителей. Источник: www.radicati.com |
То есть в 2022 году ожидается ежедневный трафик в 333,2 миллиарда писем (или приблизительно 333200000000).
Однако нас удивляет не столько огромный объём почтового трафика, сколько совершеннейшая неосведомлённость пользователей о необходимости защиты содержимого каждого письма.
На самом деле, большая доля писем в ежедневном трафике отправляется обычным текстом, без применения криптографических систем, защищающих содержимое каждого сообщения.
NFT, NFT, NFT — медиавирус
Криптоархеологи проводят самые настоящие раскопки блокчейнов в попытке обнаружить токены, которые могли бы считаться первыми NFT. Из-за разногласий по поводу формулировки требований к NFT имеют право на существование разные мнения, но превалирует версия, что смарт-контракт Terra Nullius, появившийся 7 августа 2015 г. был первым в своём роде.
Отдаю NFT за 880 миллионов долларов
Если вы читаете этот текст, но ни разу не слышали про NFT, то, наверное, вы моя мама (мама, привет). Про этот феномен уже должен был кто-то написать человеческим языком без пустых восторгов и пересказывания мифов, но, похоже, эту траншею придётся копать мне. Странная штука: чем больше народу обсуждает NFT, тем ниже процент понимающих хоть что-то. Изначально этот материал задумывался как короткий обзор в духе «А король-то голый!», но по мере изучения проблемы, становилось всё яснее, почему так сложно сформировать собственное мнение относительно происходящего безумия.
Неприятность ситуации заключается в том, что широко тиражируемое объяснение смысла NFT является наглой ложью, в противовес которой пока не сформировалось имеющее вес экспертное мнение. Человек с ра́звитым критическим мышлением чувствует в происходящем нечто, мягко говоря, подозрительное, но объективное суждение требует подробного анализа устройства этой системы, который могут осуществить «немногие лишь те», кто обладает хорошими знаниями в разных областях. Так что, как говорится, давайте раскидаем всё по фактам. Информации по теме получилось много, в этот раз будут основные моменты, а в последующих статьях копнём глубже и разберём практические аспекты.
Самодельное облако с аппаратным ключом шифрования
Облачные хранилища удобны и прочно вошли в жизнь рабочих и колхозниц, однако, имеют ряд недостатков. Это цена за гигабайт, проблемы с приватностью данных (причём, как со стороны хакеров, так и со стороны владельцев облачного сервиса), риск блокировки аккаунта (привет гуглу) или недоступность сервиса из определённых стран (привет яндексу). В этой статье хотелось бы кратко рассказать про одну свою поделку, которую я тихо мастерю для себя и так, как я это вижу. Она не претендует на роль лучшего или уникального решения, просто мне показалось, что сделать именно так будет лучше и удобнее для пользователя.
CCIP (Cross-Chain Interoperability Protocol) — протокол кросс-чейн совместимости экосистемы Блокчейн
В этой статье хотим рассказать про протокол кроссчейн совместимости (CCIP) для децентрализованного обмена сообщениями/событиями и перемещения токенов между блокчейнами.
Рост многочисленных независимых блокчейн-экосистем с различной спецификой и географическими нишами привел к тому, что мир становится все более мультиблокчейновым. Возможность беспрепятственно использовать преимущества каждого из этих блокчейнов и их уникальные активы в рамках одного приложения вызвала бы мощную волну разработки новых кросс-чейн смарт-контрактов - не хуже, чем распространение DeFi, NFT и он-чейн игровых экономик, когда появились децентрализованные сервисы оракулов для получения реальных данных и безопасных вычислений вне блокчейна.
Чтобы удовлетворить растущий спрос экосистемы на кросс-чейн решения, мы рады рассказать о предстоящем запуске Cross-Chain Interoperability Protocol (CCIP) - нового стандарта с открытым исходным кодом для кросс-чейн совместимости. Цель CCIP - установить универсальную связь между сотнями сетей блокчейн, как частных, так и публичных, разблокировать изолированные токены и расширить возможности кросс-чейн приложений для всех экосистем на блокчейне.
ТОП-9 фильмов, к сценарию которых ИБ-экспертов не допустили
Я обожаю кинематограф. Однако по мере знакомства со старой классикой и современным кино, все реже и реже встречаются действительно качественные и глубокие фильмы. В большинстве случаев картина не вызывает никаких эмоций, и приятных впечатлений хватает на один раз. Статистика походов в кино за последние лет пять совсем удручающая - 9 из 10 фильмов вызывают, как минимум, недоумение, как максимум - раздражение. Зато появилось новое хобби - выискивать тупости в сюжете. На этот раз они посвящены информационной безопасности.
В этой статье хочу поделиться списком фильмов, в которых наглядно продемонстрировано, что может случиться, если персонажи вообще не секут в ИБ.
Криптовалютный бандвагон
*Бандвагон — повальное бездумное увлечение чем-либо в силу моды, популярности. От амер. Bandwagon — фургон с оркестром, привлекающий зевак.
Распространение криптовалют способствовало разработке множества решений на основе распределенного реестра (блокчейна). Хотя области применения этих решений и разнятся, большинство из них имеет одинаковый базовый набор услуг безопасности — конфиденциальность, подлинность и целостность. Эти характеристики достигаются благодаря наличию в практических приложениях механизмов асимметричной криптографии, в частности электронной цифровой подписи (ЭЦП). Но в отличие от множества других решений на основе асимметричной криптографии, в криптовалютных сетях не используются сертификаты общедоступных ключей. Именно об этой особенности решений на основе блокчейна мы и хотели бы поговорить.
Что такое Гибридные Смарт-контракты?
Гибридные смарт-контракты объединяют код, запущенный на блокчейн (on-chain), с данными и вычислениями за пределами блокчейн (off-chain), предоставляемыми децентрализованными сетями оракулов. Гибридные смарт-контракты позволяют использовать передовые формы экономической и социальной кооперации, которые обладают свойствами блокчейн, обеспечивающими защиту от взлома и неизменяемость, но при этом используют безопасные off-chain сервисы оракулов для достижения новых возможностей, таких как масштабируемость, конфиденциальность, справедливость порядка транзакций и связь с любым реальным источником внешних данных или внешней системой.
В статье мы определим роль, которую играют гибридные смарт-контракты в развивающихся моделях доверия на основе блокчейна, и продемонстрируем множество децентрализованных сервисов, которые предоставляют оракулы для расширения их возможностей. Затем мы объясним, как это в конечном итоге открывает новое поколение гибридных приложений на основе блокчейна, которые обладают всеми свойствами, необходимыми в будущем для улучшения способов сотрудничества в обществе практически во всех основных отраслях.
Криптостойкость хеш функций «на пальцах» или зачем нужна математика программисту
Вводная статья на тему криптографии. Объяснение "на пальцах" и не более. Для начинающих или вообще ничего не знающих в криптографии. Что такое функция, хеш функция, коллизия, криптостойкость и пример объясняющий важность математики.
Защита почтового адреса от подделки. Почему SPF, DKIM и DMARC не работают
Пример спуфинга в Gmail: мошенник подделал обратный адрес
facebook.com
, демоМногие не знают, насколько легко подделать обратный адрес электронного письма. То есть отправить письмо с чужого адреса или с произвольного домена. Спамеры, фишеры и прочие мошенники постоянно обходят защиту SPF, DKIM и DMARC.
Посмотрим, как они это делают и как защитить своё письмо от спуфинга.
Хэш-выборы, которые невозможно фальсифицировать
Основная проблема голосований (выборов и референдумов) в том, что они фальсифицируемы. Не важно, пользуется кто-нибудь этой возможностью или нет. Предлагаю рассмотреть возможность организации голосований таким образом, чтобы вмешаться в подсчёт результатов было невозможно. По крайней мере таким образом, чтобы это не было очевидно.
Невозможно фальсифицировать открытое голосование. Голос каждого избирателя заносится в таблицу, после чего каждый может проверить, что лично его голос учтён верно. Чтобы сохранить проверяемость результатов и сохранить тайну голосования предлагается воспользоваться методикой хэширования данных. Будем хэшировать данные об избирателях и выбранных ими кандидатах.
Приватность — неотъемлемое право человека
Прошлый год стал очень тяжёлым годом для Tor Project и других проектов, которые помогают людям защитить свои фундаментальные права, в том числе право на приватность и анонимность.
К сожалению, всё больше корпораций и национальных государств проявляют враждебные действия, пытаясь проникнуть в частную жизнь людей для своей выгоды, маскируясь гуманными соображениями, такими как защита детей.
Не паролем единым. Как защищать данные в современных организациях
Ценность данных часто описывают фразой «Кто владеет информацией, тот владеет миром». Небрежное обращение с данными открывает доступ злоумышленникам к вашим секретам и способно привести к потере денег и репутации. Можно ли обезопасить себя и свою организацию от действий третьих лиц, и какие технические средства стоит выбрать для этой задачи в наше время? В этой статье мы попробуем разобраться как лучше защищать данные, стоит ли доверять парольной защите, насколько безопасны офисные программы для работы с документами, что такое СКЗИ и почему стоит применять российскую криптографию.
Вклад авторов
-
alizar 5155.1 -
Scratch 1858.0 -
NeverWalkAloner 1168.0 -
GlobalSign_admin 1010.4 -
Jeditobe 594.0 -
shifttstas 572.0 -
m1rko 433.6 -
Data_center_MIRAN 420.1 -
OLS 396.0 -
deNULL 393.0