en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

December 2019 Säkerhetsomgång

Lyckliga helgdagar från SSL.com! Vi hoppas att ni alla har haft ett lyckligt och välmående 2019 och ser fram emot stora saker 2020 (liksom vi)! I vår sista sammanställning av året kommer vi att prata om:

  • En "säker" meddelandeprogram som visade sig vara ett verktyg för regeringens spionering
  • Ciscos självtecknade certifikats utgång fråga
  • Ny register för RSA-nyckelfaktoring och diskret logaritmberäkning

Och när du är klar här, kolla också in vår Ny artikel på vad certifikatmyndigheter (CA) gör och hur svårt det är att vara en!

Meddelanden App ToTok är UAE Spy Tool

Den 22 december, New York Times rapporterade att en populär meddelandeapp ToTok också är ett spioneringsverktyg som används av Förenade Arabemiraten (UAE) för att "försöka spåra varje konversation, rörelse, relation, möte, ljud och bild av dem som installerar det på sina telefoner." Emiratiska medborgare lockades till appen eftersom UAE blockerar funktionaliteten hos krypterade meddelandeprogram som WhatsApp och Skype.

ToTok avslöjades för Times för att vara ett spioneringsverktyg av både amerikanska tjänstemän som hade sett en klassificerad intelligensbedömning och en anonym digital säkerhetsexpert som sa att han hade fått informationen från "höga emiratiska tjänstemän." Appen, som fakturerar sig själv som "säker" trots att det inte gjorts några påståenden om end-to-end-kryptering, marknadsfördes också i stor utsträckning av det kinesiska telekomföretaget Huawei.

Båda Apple Google har redan tagit bort ToTok från sina appbutiker, men appen har redan laddats ner miljoner gånger av användare.

SSL.coms takeway: Om du installerade den här appen, ta bort den omedelbart och var försiktig med de appar du installerar och de privilegier du ger dem för att få åtkomst till din plats och annan personlig information. Som påpekades av en ny nyligen New York Times bit, "Din smartphone är ett av världens mest avancerade övervakningsverktyg", och dessa funktioner är inte begränsade till att förse dig med "relevanta" annonser.

Självsignerade certifikat på många Cisco-enheter som håller på att löpa ut

Ciscos fältmeddelande FN 70498 (20 december 2019) varnar användare om att självsignerade X.509-certifikat på enheter som kör påverkade utgåvor av Cisco IOS eller IOS XE-programvara kommer att löpa ut vid midnatt den 1 januari 2020. Dessutom kan nya självsignerade certifikat inte skapas på dessa enheter efter detta datum såvida inte en mjukvaruuppgradering tillämpas.

Efter uppdatering av enhetens programvara måste alla självsignerade certifikat regenereras och exporteras till alla enheter som kräver det i deras förtroendebutik.

Cisco noterar att:

Det här problemet berör endast självsignerade certifikat som genererades av Cisco IOS eller Cisco IOS XE-enheten och tillämpas på en tjänst på enheten. Certifikat som genererades av en certifikatutfärdare (CA), som inkluderar de certifikat som genererats av Cisco IOS CA-funktionen, påverkas inte av detta problem.

Efter Ciscos tillkännagivande Rapid7 Labs Begagnade Ekolod skanna data för att identifiera "över 80,000 XNUMX Cisco-enheter som sannolikt kommer att påverkas av detta utgående utgångsproblem." Kan din vara bland dem?

SSL.coms takeway: Uppdatera i alla fall din programvara om problemet påverkar dig, men vi gillar Ciscos första föreslagna lösning, ”Installera en certifikat från en CA, ”ännu bättre.

Ny RSA nyckelkrackningsrekord

Dan Goodin på Ars Technica rapporter att ett forskargrupp under ledning av Emmanuel Thomé från Frankrikes nationella institut för datavetenskap och tillämpad matematik har satt nya rekord genom att ta hänsyn till ”den största RSA-nyckelstorleken någonsin och en matchande beräkning av den största diskreta logaritmen någonsin.” Posterna består av fakturering av RSA-240 (795 bitar) och beräkning av en diskret logaritm av samma storlek.

Dessa poster beror inte bara på Moores lag (tendensen för att antalet transistorer i IC: er ska fördubblas vartannat år), eftersom beräkningshastighetsförstärkningarna är större än vad som skulle förutsägas av inkrementella hårdvaruförbättringar enbart. Istället krediterar forskarna förbättringar i programvaruimplementeringen av Number Field Sieve-algoritmen som används för att utföra beräkningarna:

För att visa ökad effektivitet körde forskarna sin mjukvara på hårdvara som var identisk med den som användes för att beräkna den 768-bitars diskreta logaritmen 2016. De fann att det skulle ta 795% att använda den gamla hårdvaran för att sikta rekorden 25-bitarsstorlek. mindre tid än det tog samma utrustning att utföra 768-bitars DLP-beräkning.

SSL.coms takeway: Vi håller med Nadia Heninger (en forskare om det rekordbrytande teamet), att "takeaways för utövare är i grund och botten att vi hoppas att de har följt råd för att flytta till minst 2048-bitars RSA, Diffie-Hellman eller DSA-nycklar från och med för flera år sedan, vilket skulle skydda dem från någon av dessa förbättringar. ”

 

Tack för att du valde SSL.com! Om du har några frågor, vänligen kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECURE, eller bara klicka på chattlänken längst ner till höger på denna sida.


Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com