Lyckliga helgdagar från SSL.com! Vi hoppas att ni alla har haft ett lyckligt och välmående 2019 och ser fram emot stora saker 2020 (liksom vi)! I vår sista sammanställning av året kommer vi att prata om:
- En "säker" meddelandeprogram som visade sig vara ett verktyg för regeringens spionering
- Ciscos självtecknade certifikats utgång fråga
- Nya register för RSA-nyckelfaktoring och diskret logaritmberäkning
Och när du är klar här, kolla också in vår Ny artikel på vad certifikatmyndigheter (CA) gör och hur svårt det är att vara en!
Meddelanden App ToTok är UAE Spy Tool
Den 22 december, New York Times rapporterade att en populär meddelandeapp ToTok också är ett spioneringsverktyg som används av Förenade Arabemiraten (UAE) för att "försöka spåra varje konversation, rörelse, relation, möte, ljud och bild av dem som installerar det på sina telefoner." Emiratiska medborgare lockades till appen eftersom UAE blockerar funktionaliteten hos krypterade meddelandeprogram som WhatsApp och Skype.
ToTok avslöjades för Times för att vara ett spioneringsverktyg av både amerikanska tjänstemän som hade sett en klassificerad intelligensbedömning och en anonym digital säkerhetsexpert som sa att han hade fått informationen från "höga emiratiska tjänstemän." Appen, som fakturerar sig själv som "säker" trots att det inte gjorts några påståenden om end-to-end-kryptering, marknadsfördes också i stor utsträckning av det kinesiska telekomföretaget Huawei.
Båda Apple Google har redan tagit bort ToTok från sina appbutiker, men appen har redan laddats ner miljoner gånger av användare.
Självsignerade certifikat på många Cisco-enheter som håller på att löpa ut
Ciscos fältmeddelande FN 70498 (20 december 2019) varnar användare om att självsignerade X.509-certifikat på enheter som kör påverkade utgåvor av Cisco IOS eller IOS XE-programvara kommer att löpa ut vid midnatt den 1 januari 2020. Dessutom kan nya självsignerade certifikat inte skapas på dessa enheter efter detta datum såvida inte en mjukvaruuppgradering tillämpas.
Efter uppdatering av enhetens programvara måste alla självsignerade certifikat regenereras och exporteras till alla enheter som kräver det i deras förtroendebutik.
Cisco noterar att:
Det här problemet berör endast självsignerade certifikat som genererades av Cisco IOS eller Cisco IOS XE-enheten och tillämpas på en tjänst på enheten. Certifikat som genererades av en certifikatutfärdare (CA), som inkluderar de certifikat som genererats av Cisco IOS CA-funktionen, påverkas inte av detta problem.
Efter Ciscos tillkännagivande Rapid7 Labs Begagnade Ekolod skanna data för att identifiera "över 80,000 XNUMX Cisco-enheter som sannolikt kommer att påverkas av detta utgående utgångsproblem." Kan din vara bland dem?
Ny RSA nyckelkrackningsrekord
Dan Goodin på Ars Technica rapporter att ett forskargrupp under ledning av Emmanuel Thomé från Frankrikes nationella institut för datavetenskap och tillämpad matematik har satt nya rekord genom att ta hänsyn till ”den största RSA-nyckelstorleken någonsin och en matchande beräkning av den största diskreta logaritmen någonsin.” Posterna består av fakturering av RSA-240 (795 bitar) och beräkning av en diskret logaritm av samma storlek.
Dessa poster beror inte bara på Moores lag (tendensen för att antalet transistorer i IC: er ska fördubblas vartannat år), eftersom beräkningshastighetsförstärkningarna är större än vad som skulle förutsägas av inkrementella hårdvaruförbättringar enbart. Istället krediterar forskarna förbättringar i programvaruimplementeringen av Number Field Sieve-algoritmen som används för att utföra beräkningarna:
För att visa ökad effektivitet körde forskarna sin mjukvara på hårdvara som var identisk med den som användes för att beräkna den 768-bitars diskreta logaritmen 2016. De fann att det skulle ta 795% att använda den gamla hårdvaran för att sikta rekorden 25-bitarsstorlek. mindre tid än det tog samma utrustning att utföra 768-bitars DLP-beräkning.
