God ferie fra SSL.com! Vi håper at dere alle har hatt et lykkelig og velstående 2019 og ser frem til store ting i 2020 (som vi er)! I vår siste runde av året vil vi snakke om:
- En "sikker" meldingsprogram som viste seg å være et verktøy for spionering fra myndighetene
- Ciscos selvsignerte sertifikat utløper utstedelse
- Ny poster for RSA nøkkelfaktorering og diskret logaritmeberegning
Og når du er ferdig her, kan du også sjekke ut vår Ny artikkel på hva sertifikatmyndigheter (CAs) gjør og hvor vanskelig det er å være en!
Meldingsapp ToTok er UAE Spy Tool
22. desember, New York Times rapportert at en populær meldingsapp ToTok også er et spioneringsverktøy som brukes av De forente arabiske emirater (UAE) -regjeringen for å "prøve å spore enhver samtale, bevegelse, forhold, avtale, lyd og bilde av de som installerer det på telefonene sine." Emiratiske borgere ble tiltrukket av appen fordi UAE blokkerer funksjonaliteten til krypterte meldingsapplikasjoner som WhatsApp og Skype.
ToTok ble avslørt for Times for å være et spioneringsverktøy av både amerikanske tjenestemenn som hadde sett en klassifisert etterretningsvurdering, og en anonym digital sikkerhetsekspert som sa at han hadde fått informasjonen fra "høytstående emiratiske embetsmenn." Appen, som regner seg selv som "sikker" til tross for at den ikke har påstått end-to-end-kryptering, ble også mye markedsført av det kinesiske teleselskapet Huawei.
Begge Apple Google har allerede fjernet ToTok fra appbutikkene sine, men appen har allerede blitt lastet ned millioner av ganger av brukere.
Selvsignerte sertifikater på mange Cisco-enheter som er i ferd med å utløpe
Ciscos feltmelding FN-70498 (20. desember 2019) advarer brukere om at selvsignerte X.509-sertifikater på enheter som kjører berørte utgivelser av Cisco IOS eller IOS XE-programvare, utløper ved midnatt 1. januar 2020. I tillegg kan ikke nye selvsignerte sertifikater opprettes på disse enheter etter denne datoen med mindre en programvareoppgradering er brukt.
Etter oppdatering av enhetens programvare, må alle selvsignerte sertifikater regenereres og eksporteres til enheter som krever det i tillitsbutikken.
Cisco bemerker at:
Dette problemet berører bare selvsignerte sertifikater som ble generert av Cisco IOS eller Cisco IOS XE-enheten og brukt på en tjeneste på enheten. Sertifikater som ble generert av en Certificate Authority (CA), som inkluderer sertifikatene generert av Cisco IOS CA-funksjonen, påvirkes ikke av dette problemet.
Etter Ciscos kunngjøring, Rapid7 Labs brukt Sonar skann data for å identifisere "over 80,000 XNUMX Cisco-enheter som sannsynligvis vil bli påvirket av dette utløpsproblemet." Kan din være blant dem?
Ny RSA nøkkelkrakkingsrekord
Dan Goodin ved Ars Technica rapporter at et team av forskere ledet av Emmanuel Thomé fra Frankrikes nasjonale institutt for informatikk og anvendt matematikk har satt nye rekorder ved å ta i betraktning den “største RSA-nøkkelstørrelsen noensinne er beregnet og en samsvarende beregning av den største heltall diskrete logaritmen noensinne.” Postene består av fakturering av RSA-240 (795 bits) og beregning av en diskret logaritme av samme størrelse.
Disse postene skyldes ikke bare Moores lov (tendensen til at antall transistorer i IC-er blir dobbelt annethvert år), da beregningshastighetsgevinstene er større enn det som forventes av trinnvise maskinvareforbedringer alene. I stedet krediterer forskerne forbedringer i programvareimplementeringen av Number Field Sieve-algoritmen som ble brukt til å utføre beregningene:
For å demonstrere økningen i effektiviteten kjørte forskerne programvaren sin på maskinvare som var identisk med den som ble brukt til å beregne den 768-biters diskrete logaritmen i 2016. De fant ut at det ville ta 795% å bruke den gamle maskinvaren for å sile rekorden 25-bits størrelse. kortere tid enn det tok det samme utstyret for å utføre 768-biters DLP-beregning.