Login
Password
Sources on this Page

> Headlines by Category

 Home / Technology / Security / Authentication & Encryption

You are using the plain HTML view, switch to advanced view for a more complete experience.

Privacy Shield needs improvement, says EU privacy watchdog

Privacy Shield has a new detractor, and that spells bad news for businesses built on the transatlantic transfer of personal data.

The Privacy Shield agreement is intended to protect the privacy of European Union citizens when their personal information is processed in the U.S., but it has found few supporters since the European Commission unveiled an unfinished draft of the agreement in January.

Even after the Commission published further details, in April, the critics continued to pile on. Last month, national data protection authorities from across the EU said it still needed significant work, and last week the European Parliament said it too is unsatisfied.

To read this article in full or to leave a comment, please click here

65M Tumblr account records are up for sale on the underground market

A few weeks ago, Tumblr notified users of a data breach that resulted in the theft of user email addresses and hashed passwords. The company did not say how many accounts were affected, but recently someone put the data up for sale and the number is: 65 million records.

The data is being sold on a Tor dark market website called TheRealDeal by a user named peace_of_mind who also sold 167 million user records stolen from LinkedIn. Recently he also posted offers for 360 million accounts allegedly stolen from MySpace and 40 million from adult dating website Fling.com.

To read this article in full or to leave a comment, please click here

Review: New tools to fight insider threats

In the 1979 film When a Stranger Calls, the horror is provided when police tell a young babysitter that the harassing phone calls she has been receiving are coming from inside the house. It was terrifying for viewers because the intruder had already gotten inside, and was presumably free to wreak whatever havoc he wanted, unimpeded by locked doors or other perimeter defenses. In 2016, that same level of fear is being rightfully felt towards a similar danger in cybersecurity: The insider threat.

To read this article in full or to leave a comment, please click here

(Insider Story)
Crying ‘Wolf!’ seems to work for security

In the last few weeks, we’ve seen a lot of supposed mega hacks garner big media attention. And why not? We’re talking about more than 1 billion people at risk — if these breaches had been real and current. But that’s not the case.

The strange thing is that I’m not really upset about this. Normally, I get incensed when I see the media get security stories wrong. But the greater good in the security business counts for something, and it just may be that these overhyped breach stories led a lot of people to take the simple steps they need to follow to increase the security of their accounts.

The latest mega hack story that was misrepresented was the compromise of 117 million LinkedIn accounts. You can find stories about it on just about every major news site. Stories were posted on Facebook accounts. Clearly this must have been a significant hack that people needed to know about.

To read this article in full or to leave a comment, please click here

Эллиптическая криптография: теория


Привет, %username%!
Недавно на хабре была опубликована очень спорная статья под названием «Эксперты призывают готовиться к криптоапокалипсису». Честно говоря, я не согласен с выводами авторов о том, что «голактеко опасносте», все скоро взломают и подорожает гречка. Однако я хочу поговорить не об этом.
В комментариях к той статье я высказал мнение, что кое в чем докладчики правы и переходить на эллиптическую криптографию уже давно пора. Ну в самом деле, кто-нибудь видел в интернете ECDSA сертификат? Хотя стандарту уже без малого 13 лет, мы продолжаем по старинке использовать старый добрый RSA. В общем сказал я это, и как это часто бывает, задумался а так ли необходим переход на «эллиптику»? Да и что это за зверь такой эллиптическая криптография? Какие имеет плюсы, минусы, тонкости. Одним словом, давайте разбираться. Читать дальше →
США: криптография — охота на ведьм началась?


Как уже, наверное, известно всему уважаемому хабрасообществу, с некоторых пор администрация нынешнего президента США Барака Обамы взяла курс на закручивание гаек в сфере взаимодействий с неугодными правительству США странами: Куба, Иран, Сирия, Ливия, Судан и Северная Корея (иногда в этот список включают еще Ирак). Занимается этой задачей выпало незабавенному U.S. Department of Commerce, Bureau of Industry and Security — огранизации, как это известно по её прошлым деяниями, достаточно бюрократической и воспринимающей все приказы довольно прямолинейно.

События развивались стремительно: в середине января 2010 года вылилось это в то, что крупнейшие хостинги открытых проектов — такие, как SourceForge и Google Code получили «письма счастья» с настойчивыми рекомендациями прекратить доступ к программным проектам с открытыми исходниками, так как они могут содержать [цитирую]certain technology[/цитирую], которые запрещены к экспорту из США. Под этими «некоторыми технологиями» понимается криптография, причём на этот раз — вся.

SourceForge и Google Code подчинились, извинившись перед своими пользователями, но разведя руками — в конце концов — они обычные американские компании, мол, нам очень жалко, но we also live in the real world и вынуждены подчиняться законам.

Вчера, 7 февраля 2010 года, юристы SourceForge после пары недель баталий, выработали таки компромиссное решение, которое, безусловно, лучше, чем то, что было, но…
Что же придумали в SourceForge?
Легендарный криптограф Диффи попытался остановить патентного тролля

Патентные тролли в последнее время становятся всё более наглыми. Пользуясь недостатками американского законодательства, они зарабатывают миллионы долларов, подавая иски против рядовых компаний и предпринимателей. Одним из последних примеров стала активность фирмы TQP Development, которая предъявила нескольким сотням компаний претензию в использовании запатентованной схемы «криптографически защищённой электронной коммерции». В патенте, фактически, описано одновременное использование SSL и RC4.

Почти 140 компаний выплатили TQP Development в общей сложности более 45 миллионов долларов. Среди них — такие гиганты, как Amazon (заплатила $500 тыс.) и Microsoft ($1 млн).
Шантаж продолжался бы и дальше, но на сцену вышел интернет-магазин Newegg. Он отказался платить лицензионные отчисления и потребовал рассмотрения дела в суде.
Читать дальше →
[Из песочницы] Вы опасно некомпетентны в криптографии

От переводчика: Хоть посыл статьи Najaf Ali, переведённой ниже, и носит слегка рекламный оттенок («оставьте криптографию нам, экспертам»), но описанные в ней примеры показались мне довольно интересными и заслуживающими внимания.
Кроме того, никогда не будет лишним повторить прописную истину: не придумывайте свою крипто-защиту. И эта статья отлично иллюстрирует почему.

Читать дальше →
Личностная криптография: рассказ об одной полезной уязвимости

image
Асимметричная криптография стала элегантным решением задачи распределения ключей. Но как это часто бывает, то что помогло устранить одну проблему, стало причиной возникновения другой.

Открытый ключ, в силу математических свойств асимметричных криптоалгоритмов является набором случайных бит, не содержащих никакой информации о владельце, поэтому он не может служить средством аутентификации. Этот недостаток стал причиной появления иерархической системы сертификации открытых ключей.
Рассмотрим каким образом происходит аутентификация пользователей в настоящее время:
  1. Алиса проходит процедуру проверки в удостоверяющем центре(УЦ) и получает сертификат
  2. Алиса посылает свой сертификат Бобу
  3. Боб получает сертификат УЦ
  4. С помощью полученных сертификатов Боб производит аутентификацию Алисы

Первым об упрощении этой схемы задумался Ади Шамир в 1984 году. Он предположил, что если бы появилась возможность использовать в качестве открытого ключа имя или почтовый адрес Алисы, то это лишило бы сложную процедуру аутентификации всякого смысла.
Долгое время идея Шамира оставалась всего лишь красивой криптографической головоломкой, но в 2000 году, благодаря одной известной уязвимости в эллиптической криптографии, идею удалось воплотить в жизнь.
Читать дальше →
Эллиптическая криптография: практика

image
Привет, %username%!

Пару недель назад я опубликовал пост Эллиптическая криптография: теория, в котором постарался описать основные аспекты использования эллиптических кривых в криптографии. Тот мой пост носил исключительно ознакомительный характер, и не предусматривал никакой иной работы с компилятором, кроме созерцательной. Но что за теория без практики? С целью исправить это упущение я, собравшись с духом, ринулся в бой с ГОСТ-ом 34.10-2012, схемой ЭЦП на эллиптических кривых. Если вам интересно посмотреть что из всего этого получилось, тогда добро пожаловать под кат. Читать дальше →
Post Selected Items to:

Showing 10 items of 130

home  •   advertising  •   terms of service  •   privacy  •   about us  •   contact us  •   press release design by Popshop •   Official PR partner PRNews.io •   © 1999-2016 NewsKnowledge