Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx
Доброго времени суток, Хабражители. Прочитав статьи №1 и №2 (про бесплатные SSL сертификаты от китайских друзей WoSign столкнулся с тем, что многие не могут добиться OCSP stapling = Yes для этих сертификатов. Хочу рассказать как этого добился я. Мы получили сертификат WoSign, залили на сервер. И...
Анонимные платежи: Darkcoin или Bitcoin+Миксеры?
Иногда важно сохранять не только свою личную анонимность, но также анонимность своих финансов. И когда вашим деньгам требуется анонимность — ошибки недопустимы! ПОТРЕБНОСТЬ Правительства многих стран результативно работают над установлением тотального мониторинга и контроля за движением денег как...
Стеганография в XXI веке. Цели. Практическое применение. Актуальность
Я думаю каждый хоть раз слышал о стеганографии. Стеганография (τεγανός — скрытый + γράφω — пишу, дословно «скрытопись») — это междисциплинарная наука и искусство передавать сокрытые данные, внутри других, не сокрытых данных. Скрываемые...
[Перевод] Атака Telegram за 2^64 операций, и почему суперзлодею она не нужна
Прошлой весной мы с Juliano Rizzo (@julianor) придумали криптографическую атаку на «секретный» чат MTProto из Telegram, которая может быть осуществлена приблизительно за 2^64 операций. Атака осуществляется с позиции человека посередине на серверах Telegram. Сообщения, отправляемые пользователям вне...
Бесплатные SSL-сертификаты на 2 года от WoSign
Доброго времени суток, уважаемые товарищи Хабра. На написание статьи заметки, меня побудила статья: «Мигрируем на HTTPS». Напоминаю, что китайцы в лице компании WoSign до сих пор раздают бесплатно сертификаты и теперь не обязательно знать китайский язык для того, чтобы его получить. Метод по статье...
[Из песочницы] Небезопасное хранение паролей в IBM WebSphere
По работе часто сталкиваюсь с продуктами IBM: WebSphere Application Server (WAS) и другими на его основе. И как и все иногда забываю пароли, в особенности это касается тестовых систем или тех, которым не уделяешь должного внимания. В очередной раз не вспомнив пароля, решил посмотреть, а как его...
Взлом TLS с денежным призом
Разработчики TLS-имплементации на языке OCaml объявили конкурс BTC Piñata, чтобы доказать надёжность своей защиты. Известно, что конкурсы не могут быть настоящим доказательством, но этот очень уж забавный, да ещё с небольшим денежным призом. Итак, эти двое хакеров открыли демо-сервер...
Curve25519, EdDSA и Poly1305: Три обделенных вниманием криптопримитива
Есть такой очень хороший товарищ по имени Daniel Julius Bernstein. Математик, программист и спец по компьютерной безопасности. Его хэш CubeHash чуть не дотянул до третьего раунда SHA-3, а потоковый шифр Salsa20 попал в шорт лист проекта eStream. А еще он автор культовой в узких кругах...
[Перевод] Padding Oracle Attack или почему криптография пугает
Все мы знаем, что не следует самостоятельно реализовывать криптографические примитивы. Мы также в курсе, что даже если мы хитрым образом развернем порядок букв во всех словах сообщения, сдвинем каждую букву по алфавиту на 5 позиций и разбавим текст случайными фразами, чтобы сбить атакующих с пути,...
Почта РФ кишит уязвимостями
Случайно наткнулся на пост в ЖЖ, который судя по всему, висит без реакции уже третью неделю. По сообщению исследователей некой организации Sokol-Security, используя уязвимости, им удалось добраться до файлов корневого сертификата и его ключа (не сообщается, запаролен он или нет), которым...
Безопасен ли Telegram? v2
С момента самого его появления Telegram не критиковал только ленивый. Этим с одинаковым энтузиазмом занимались резиденты Reddit, Hacker News, etc. Читать дальше →...
[Из песочницы] SSL-сертификаты: всем, каждому, и пусть никто не уйдёт обиженным
Как ранее сообщалось на GeekTimes, EFF при поддержке Mozilla, Cisco, Akamai, IdenTrust и исследователей из Мичиганского университета (University of Michigan) создали новый некоммерческий центр сертификации (Certificate Authority) Let's Encrypt [1]. Целью проекта является ускорение перехода...
[Из песочницы] Защита .net приложения от посторонних глаз
«Как защитить код своего .net приложение?» – один из тех вопросов, который можно часто услышать на различных форумах. Самый распространённый вариант – обфускация. С одной стороны — прост в использовании, а с другой — не достаточно надёжно прячет исходники. Предложу свой вариант, хорошо подходящий...
Почему Spritz стал столь популярным за последние несколько недель
Привет, %username%! Не профессиональному математику или криптографу, бывает сразу сложно понять, как устроен тот или иной алгоритм шифрования. Перед вами попытка разобраться с отдельными функциями одного алгоритма. А так же, понять, почему это следующий шаг после Keccak. На Хабре было несколько...
Электронная подпись. История появления и развития
В современном мире, когда за несколько часов можно заработать миллион, потерять миллиард, пересечь два континента, разговаривая при этом с деловым партнером на третьем, в современном мире просто необходимо было средство, которое позволит юридически заменить бумагу и человеческую подпись шариковой...
[recovery mode] Жизнь печеньки-параноика
(на самом деле параноя — это весело) Каждый программист в своей жизни хоть раз, но писал/хотел написать(нужное подчеркнуть) свой собственный сервер с блекджеком и шлюхами, ой т.е. преферансом и балеринами. Как же жить, если ты нереальный кул-хацкер и просто обязан иметь место для бекапов файлов,...
Из жизни маленькой криптосистемы
(на картинке изображен Доктор Тахер Эль-Гамаль, известный криптограф) Как известно, Криптогра́фия (от др.-греч. κρυπτός — скрытый и γράφω — пишу) — наука о методах обеспечения конфиденциальности (невозможности прочтения информации...
ФБР против шифрования на смартфонах
Как известно, в последних версиях мобильных операционных систем Android 5.0 и iOS 8 внедрено шифрование данных по умолчанию. Чтобы изъять информацию, теперь требуется физический доступ к телефону и знание пароля. ФБР крайне недовольно тем, как поступили разработчики из компаний Apple и Google....