Wesołych Świąt z SSL.com! Mamy nadzieję, że wszyscy mieliście szczęśliwy i dostatni rok 2019 i nie możemy się doczekać wielkich rzeczy w 2020 roku (tak jak my)! W naszym ostatnim podsumowaniu roku będziemy mówić o:
- „Bezpieczny” aplikacja do wysyłania wiadomości okazało się, że jest to narzędzie do szpiegowania przez rząd
- Wygaśnięcie certyfikatu z podpisem własnym Cisco problem
- Nowości dokumentacja do faktorowania kluczy RSA i obliczania logarytmów dyskretnych
A kiedy skończysz tutaj, sprawdź także nasze Nowy artykuł na temat tego, co robią urzędy certyfikacji (CA) i jak ciężko to być!
Aplikacja do przesyłania wiadomości ToTok to narzędzie szpiegowskie ZEA
22 grudnia New York Times zgłaszane że popularna aplikacja do przesyłania wiadomości ToTok jest również narzędziem szpiegowskim używanym przez rząd Zjednoczonych Emiratów Arabskich (ZEA) do „próbowania śledzenia każdej rozmowy, ruchu, relacji, spotkania, dźwięku i obrazu osób, które instalują ją na swoich telefonach”. Obywatele Emiratów zainteresowali się tą aplikacją, ponieważ Zjednoczone Emiraty Arabskie blokują funkcje zaszyfrowanych aplikacji do przesyłania wiadomości, takich jak WhatsApp i Skype.
ToTok został ujawniony Timesowi jako narzędzie szpiegowskie zarówno przez amerykańskich urzędników, którzy widzieli tajną ocenę wywiadu, jak i anonimowego eksperta ds. Bezpieczeństwa cyfrowego, który powiedział, że uzyskał informacje od „wyższych urzędników Emiratów”. Aplikacja, która reklamuje się jako „bezpieczna”, mimo że nie twierdzi, że ma szyfrować od końca do końca, była również szeroko promowana przez chińską firmę telekomunikacyjną Huawei.
Oba Apple Google już usunęły ToTok ze swoich sklepów z aplikacjami, ale aplikacja została już pobrana miliony razy przez użytkowników.
Certyfikaty z podpisem własnym na wielu urządzeniach Cisco wkrótce wygasną
Uwaga terenowa firmy Cisco FN-70498 (20 grudnia 2019 r.) Ostrzega użytkowników, że samopodpisane certyfikaty X.509 na urządzeniach z uruchomionymi wersjami oprogramowania Cisco IOS lub IOS XE wygasają o północy 1 stycznia 2020 r. Ponadto nie można na nich tworzyć nowych certyfikatów z podpisem własnym urządzenia po tej dacie, chyba że zostanie zastosowana aktualizacja oprogramowania.
Po zaktualizowaniu oprogramowania urządzenia wszelkie certyfikaty z podpisem własnym należy ponownie wygenerować i wyeksportować na dowolne urządzenia, które tego wymagają, w ich zaufanych magazynach.
Cisco zauważa, że:
Ten problem dotyczy tylko certyfikatów z podpisem własnym, które zostały wygenerowane przez urządzenie Cisco IOS lub Cisco IOS XE i zastosowane do usługi na urządzeniu. Ten problem nie ma wpływu na certyfikaty wygenerowane przez ośrodek certyfikacji (CA), który obejmuje certyfikaty wygenerowane przez funkcję Cisco IOS CA.
Po ogłoszeniu Cisco, Laboratoria Rapid7 używany Sonar zeskanuj dane, aby zidentyfikować „ponad 80,000 XNUMX urządzeń Cisco, na które prawdopodobnie wpłynie ten problem z wygasaniem”. Czy twój może być wśród nich?
Nowy rekord łamania kluczy RSA
Dan Goodin w Ars Technica Raporty że zespół naukowców pod kierownictwem Emmanuela Thomé z francuskiego Narodowego Instytutu Informatyki i Matematyki Stosowanej ustanowił nowe rekordy, biorąc pod uwagę „największy rozmiar klucza RSA, jaki kiedykolwiek został obliczony, oraz dopasowanie obliczeń największego w historii dyskretnego logarytmu całkowitego”. Rekordy składają się z faktoringu RSA-240 (795 bitów) i obliczenia dyskretnego logarytmu o tej samej wielkości.
Zapisy te nie wynikają wyłącznie Prawo Moore'a (tendencja do podwojenia liczby tranzystorów w układach scalonych co dwa lata), ponieważ przyrosty prędkości obliczeniowej są większe niż można by się tego spodziewać na podstawie samych przyrostowych ulepszeń sprzętowych. Zamiast tego naukowcy uznają ulepszenia w implementacji oprogramowania algorytmu Sita pola numerycznego zastosowanego do obliczeń:
Aby zademonstrować wzrost wydajności, naukowcy uruchomili oprogramowanie na sprzęcie identycznym z tym, którego użyto do obliczenia 768-bitowego logarytmu dyskretnego w 2016 r. Okazało się, że użycie starego sprzętu do przesiewania rekordowego rozmiaru 795 bitów zajmie 25% mniej czasu niż zajęło to samo urządzenie, aby wykonać 768-bitowe obliczenia DLP.
