Καλές γιορτές από το SSL.com! Ελπίζουμε ότι όλοι είχατε ένα χαρούμενο και ευημερούμενο 2019 και ανυπομονούμε για μεγάλα πράγματα το 2020 (όπως και εμείς)! Στην τελική μας ολοκλήρωση της χρονιάς, θα μιλήσουμε για:
- Ένα «ασφαλές» εφαρμογή ανταλλαγής μηνυμάτων που αποδείχθηκε εργαλείο για την κατασκοπεία της κυβέρνησης
- Λήξη πιστοποιητικού από την Cisco ζήτημα
- Νέα αρχεία για τον καθορισμό κλειδιών RSA και τον διακριτό υπολογισμό λογάριθμου
Και όταν τελειώσετε εδώ, ρίξτε μια ματιά στο δικό μας Νέο άρθρο σχετικά με το τι κάνουν οι αρχές έκδοσης πιστοποιητικών και πόσο δύσκολο είναι να είναι ένα!
Το Messaging App ToTok είναι εργαλείο κατάσκοπων των ΗΑΕ
Στις 22 Δεκεμβρίου, οι New York Times αναφερθεί ότι μια δημοφιλής εφαρμογή ανταλλαγής μηνυμάτων ToTok είναι επίσης ένα εργαλείο κατασκοπείας που χρησιμοποιείται από την κυβέρνηση των Ηνωμένων Αραβικών Εμιράτων (ΗΑΕ) για να «προσπαθήσει να παρακολουθήσει κάθε συνομιλία, κίνηση, σχέση, ραντεβού, ήχο και εικόνα όσων την εγκαθιστούν στα τηλέφωνά τους». Οι πολίτες των Εμιράτων προσελκύθηκαν από την εφαρμογή επειδή τα ΗΑΕ αποκλείουν τη λειτουργικότητα των κρυπτογραφημένων εφαρμογών ανταλλαγής μηνυμάτων όπως το WhatsApp και το Skype.
Το ToTok αποκάλυψε στους Times ότι ήταν ένα εργαλείο κατασκοπείας τόσο από Αμερικανούς αξιωματούχους που είδαν μια διαβαθμισμένη αξιολόγηση πληροφοριών, όσο και έναν ανώνυμο εμπειρογνώμονα ψηφιακής ασφάλειας που είπε ότι είχε λάβει τις πληροφορίες από «ανώτερους αξιωματούχους της Εμιράτης». Η εφαρμογή, η οποία χαρακτηρίζεται ως «ασφαλής», παρά το γεγονός ότι δεν έχει ισχυρισμούς για κρυπτογράφηση από άκρο σε άκρο, προωθήθηκε επίσης ευρέως από την κινεζική εταιρεία τηλεπικοινωνιών Huawei.
Και οι δύο Apple Google έχουν ήδη καταργήσει το ToTok από τα καταστήματα εφαρμογών τους, αλλά η εφαρμογή έχει ήδη ληφθεί εκατομμύρια φορές από τους χρήστες.
Αυτο-υπογεγραμμένα πιστοποιητικά σε πολλές συσκευές της Cisco που πρόκειται να λήξουν
Ανακοίνωση πεδίου της Cisco FN-70498 (20 Δεκεμβρίου 2019) προειδοποιεί τους χρήστες ότι τα αυτο-υπογεγραμμένα πιστοποιητικά X.509 σε συσκευές που εκτελούν επηρεαζόμενες εκδόσεις λογισμικού Cisco IOS ή IOS XE θα λήξουν τα μεσάνυχτα της 1ης Ιανουαρίου 2020. Επιπλέον, δεν μπορούν να δημιουργηθούν νέα αυτο-υπογεγραμμένα πιστοποιητικά συσκευές μετά από αυτήν την ημερομηνία, εκτός εάν εφαρμοστεί αναβάθμιση λογισμικού.
Μετά την ενημέρωση του λογισμικού της συσκευής, τυχόν αυτο-υπογεγραμμένα πιστοποιητικά πρέπει να αναγεννηθούν και να εξαχθούν σε συσκευές που το απαιτούν στο κατάστημα εμπιστοσύνης τους.
Η Cisco σημειώνει ότι:
Αυτό το ζήτημα επηρεάζει μόνο τα αυτο-υπογεγραμμένα πιστοποιητικά που δημιουργήθηκαν από τη συσκευή Cisco IOS ή Cisco IOS XE και εφαρμόστηκαν σε μια υπηρεσία στη συσκευή. Τα πιστοποιητικά που δημιουργήθηκαν από μια αρχή έκδοσης πιστοποιητικών (CA), η οποία περιλαμβάνει εκείνα τα πιστοποιητικά που δημιουργήθηκαν από τη δυνατότητα Cisco IOS CA, δεν επηρεάζονται από αυτό το ζήτημα.
Μετά την ανακοίνωση της Cisco, Εργαστήρια Rapid7 μεταχειρισμένος Sonar σαρώστε δεδομένα για να προσδιορίσετε "πάνω από 80,000 συσκευές Cisco που πιθανότατα θα επηρεαστούν από αυτό το ζήτημα λήξης." Θα μπορούσατε να είστε μεταξύ σας;
Νέο RSA Key-Cracking Record
Ο Dan Goodin στο Ars Technica εκθέσεις ότι μια ομάδα ερευνητών με επικεφαλής τον Εμμανουήλ Τόμε του Εθνικού Ινστιτούτου Επιστήμης Υπολογιστών και Εφαρμοσμένων Μαθηματικών της Γαλλίας έχουν δημιουργήσει νέα ρεκόρ, συνυπολογίζοντας το «μεγαλύτερο μέγεθος κλειδιού RSA που υπολογίστηκε ποτέ και έναν αντίστοιχο υπολογισμό του μεγαλύτερου, ακέραιου διακριτού λογάριθμου». Οι εγγραφές αποτελούνται από το factoring του RSA-240 (795 bits) και τον υπολογισμό ενός διακριτού λογάριθμου του ίδιου μεγέθους.
Αυτές οι εγγραφές δεν οφείλονται αποκλειστικά σε Νόμος του Moore (η τάση για τον αριθμό των τρανζίστορ στα IC να διπλασιάζονται κάθε δύο χρόνια), καθώς τα υπολογιστικά κέρδη ταχύτητας είναι μεγαλύτερα από ό, τι θα προβλεπόταν μόνο με βελτιωμένες βελτιώσεις υλικού. Αντ 'αυτού, οι ερευνητές πιστώνουν τις βελτιώσεις στην εφαρμογή λογισμικού του αλγορίθμου Number Field Sieve που χρησιμοποιήθηκε για την εκτέλεση των υπολογισμών:
Για να αποδείξουν την ενίσχυση της απόδοσης, οι ερευνητές χρησιμοποίησαν το λογισμικό τους σε υλικό που ήταν πανομοιότυπο με αυτό που χρησιμοποιούσε για τον υπολογισμό του διακριτού λογάριθμου 768-bit το 2016. Διαπίστωσαν ότι η χρήση του παλιού υλικού για να κοσκινίσει το μέγεθος εγγραφής 795-bit θα διαρκέσει 25% λιγότερο χρόνο από ό, τι χρειάστηκε ο ίδιος εξοπλισμός για να εκτελέσει τον υπολογισμό 768-bit DLP.