Материалы по тегу: шифрование

15.09.2022 [21:59], Татьяна Золотова

Сбер переходит на российские сертификаты удостоверяющих центров, одобренных Минцифрой

Сбер начал переводить свои сайты, рабочие ресурсы и системы на сертификаты, выпущенные Удостоверяющим центром Минцифры. Данное решение обеспечит независимость банка от зарубежных удостоверяющих центров, говорят в компании. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг.

Сертификаты выдаются бесплатно. Как отметил министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев, выпуск российских сертификатов безопасности включен Правительством России в план первоочередных действий по обеспечению развития российской экономики в условиях внешнего санкционного давления. Первые шаги в этом направлении были сделаны ещё пять лет назад.

Напомним, что в марте 2022 года Минцифры организовало работу собственного центра сертификации, чтобы решить накопившиеся проблемы с доступом к разным сайтам, которые могут возникать в случае истечения срока годности сертификатов безопасности и невозможности их своевременно обновить из-за западных санкций. Впрочем, TLS-сертификаты повсеместно используются для организации защищённого канала связи, и не только веб-сайтов.

 Изображение: pixabay.com / geralt

Изображение: pixabay.com / geralt

Как правило, центры сертификации располагаются в странах, поддержавших антироссийские санкции, и не могут принимать платежи за свои услуги. Из-за этого различные веб-ресурсы не могут продлить TLS-сертификаты. После истечения срока их действия браузеры будут блокировать доступ к таким сайтам. Частично смягчить эту ситуацию смогут сертификаты, выдаваемые местным центром.

Эта мера вряд ли сможет полностью решить проблему, поскольку сертификат Минцифры на данный момент не признан ни одним глобальным удостоверяющим центром. Это означает, что в популярных браузерах, таких как Chrome или Firefox, он будет блокироваться. Пользователям этих браузеров потребуется вручную добавлять отечественный сертификат, чтобы подписанные им сайты открывались без проблем. В отечественных обозревателях, таких как «Яндекс.Браузер» и «Атом», сертификат Минцифры работать будет без ограничений.

Постоянный URL: http://servernews.ru/1074285
14.04.2022 [21:25], Владимир Мироненко

Let’s Encrypt получил премию Max Levchin Prize за вклад в развитие практической криптографии

Вчера руководящий комитет сообщества Real World Crypto вручил бесплатному, открытому и автоматизированному центру сертификации Let’s Encrypt, управляемого организацией Internet Security Research Group (ISRG), премию Max Levchin Prize за «фундаментальные улучшения экосистемы сертификатов» благодаря предоставлению бесплатных TLS-сертификатов для всех желающих, выдача которых началась в конце 2015 года.

 Фото: Real World Crypto Symposium

Фото: Real World Crypto Symposium

Премия Max Levchin Prize присуждается за важные инновации в криптографии, которые оказали значительное влияние на эту сферу и её использование в реальных системах. Ежегодно присуждается две награды с денежным призом в размере $10 000. Премия была учреждена в 2016 году по инициативе и при спонсорстве миллиардера Макса Левчина, давнего сторонника практического использования криптографии.

Всего Let's Encrypt используется на более чем 280 млн ресурсах (ежедневно выписывается 2–3 млн сертификатов), а всего центр выпустил более 2,53 млрд сертификатов. В настоящее время это крупнейший в мире центр сертификации. Благодаря деятельности центра значительно выросло число веб-сайтов и других сервисов с поддержкой HTTPS. В организации работает 11 инженеров, а также небольшая команда, занимающаяся сбором средств, коммуникацией и административными задачами.

 Дон Копперсмит (Фото: Real World Crypto Symposium)

Дон Копперсмит (Фото: Real World Crypto Symposium)

Вторым призёром этого года стал 72-летний математик и криптограф Дон Копперсмит (Don Coppersmith), известный как соавтор алгоритма шифрования DES, а также алгоритмов MARS, SEAL и Scream. Также он известен своими фундаментальными работами в области криптоанализа (именно за это и вручен приз) и созданием методов поиска уязвимостей в широко используемых на практике системах шифрования.

Постоянный URL: http://servernews.ru/1064020
20.02.2022 [22:04], Алексей Степин

Новые TPM-модули Infineon помогут защититься от квантового взлома

Квантовые вычисления начинают понемногу набирать обороты и прокладывать себе дорогу из исследовательских лабораторий в коммерческие сферы. Как и любая новая технология, они помимо благ, несут в себе и ряд угроз. Одной из главных таких угроз называют возможность быстрого взлома криптографически защищённых систем. В новых модулях TPM компания Infineon предусмотрела меры против этого.

Новинка, чип OPTIGA TPM SLB 9672, отличается от привычных TPM рядом особенностей. Во-первых, по словам компании, это первый в индустрии TPM-модуль, поддерживающий 256-битные ключи шифрования, а во-вторых, он, опять-таки, впервые в индустрии, поддерживает методы пост-квантовой криптографии (PQC), дополнительно усиливающие защищённость системы, оснащённой таким модулем.

Наконец, SLB 9672 поддерживает обновление алгоритмов защиты, если старые окажутся скомпрометированными. Также новинка имеет функцию самовосстановления прошивки в случае её повреждения, соответствующую стандартам NIST SP 800-193. Встроенное хранилище на базе энергонезависимой памяти, используемое для хранения ключей, поддерживает их проверку и сертификацию с использованием нескольких независимых источников. Разумеется, полностью поддерживаются все спецификации TCG/TPM, а сам чип соответствует стандарту TPM 2.0 версии 1.59.

Компания-разработчик сопровождает новинку средствам разработки и предлагает демо-платы с новым чипом, что должно упростить внедрение новых систем защиты. Поддерживаются все новейшие версии ОС Windows и Linux. Чип способен работать в расширенном температурном диапазоне, от -40 до +105 °C, что немаловажно ввиду растущей популярности периферийных вычислений. Infineon заявляет, что собирается поддерживать новую TPM-платформу минимум десять лет в рамках программы Infineon Security Partner Network (ISPN).

Постоянный URL: http://servernews.ru/1060621
07.09.2021 [21:20], Андрей Галадей

Состоялся релиз OpenSSL 3.0: лицензия Apache 2.0, поддержка CMP и новый модуль FIPS

После 3 лет работы состоялся релиз OpenSSL 3.0. В ходе разработки было выпущено 17 альфа-версий, две бета-версии и получено свыше 7500 коммитов от более чем 350 участников, а также был внедрён целый ряд исправлений и обновлений. Как отмечается, объём документации вырос на 94 % по сравнению с версией 1.1.1, а объём кода — на 54 %. С выходом нового релиза схема версионирования, как и было объявлено ещё в 2018 году, поменялась.

 wikipedia.org

wikipedia.org

В числе изменений отметим переход на лицензию Apache 2.0. В техническом же плане изменения коснулись многих аспектов. OpenSSL 3.0 перешел на новую архитектуру, что обеспечит большую гибкость при работе с libcrypto. Появилась «ядерная» поддержка TLS и полностью «подключаемых» групп TLSv1.3, а также новых (де-)кодеров, которые помогут упростить работу с нестандартными алгоритмами. Наконец, появился протокол управления сертификатами (Certificate Management Protocol, CMP).

В числе иных изменений отметим новые API. При этом устаревшие версии API в будущих версиях удалят, поэтому уже сейчас рекомендуется обновить приложения. Также отметим, что ключевой особенностью OpenSSL 3.0 является новый модуль FIPS, что позволит получить сертификацию FIPS 140-2, которая важна в ряде областей. Однако она ещё не готова, как и документация, так что пока использование FIPS-модуля не рекомендуется.

Постоянный URL: http://servernews.ru/1048510
16.01.2021 [21:34], Андрей Галадей

systemd 248 упростит использование аппаратных ключей шифрования

Для пользователей аппаратных токенов безопасности вроде YubiKey ожидается нововведение, которое упростит им жизнь. Будущий релиз systemd 248 позволит получать доступ к зашифрованным томам LUKS2.

Нынешняя версия systemd-cryptsetup уже поддерживает разблокировку томов LUKS2 при загрузке с помощью вводимых пользователем парольных фраз и ключевых файлов на локальных и внешних дисках. Однако systemd 248 значительно упростит этот процесс, так как позволит использовать оборудование TPM2, FIDO2 и PKCS # 11 для разблокировки томов.

 hottg.com

hottg.com

Отметитим, что systemd является одним из компонентов, которые группа Hyperscale SIG хочет как можно быстрее обновлять в CentOS Stream. Поддержка аппаратных ключей шифрования весьма актуальна для этой категории пользователей.

Постоянный URL: http://servernews.ru/1030241
29.12.2020 [10:48], Андрей Крупин

Росстандарт ввёл в действие криптографический протокол IPlir

Федеральное агентство по техническому регулированию и метрологии (Росстандарт) стандартизировало разработанный компанией «Информационные технологии и коммуникационные системы» («ИнфоТеКС») протокол IPlir (IP layer interconnection robust). Соответствующий документ опубликован на сайте ведомства.

IPlir представляет собой протокол безопасности сетевого уровня, обеспечивающий конфиденциальность и имитостойкость данных при их передаче в сетях связи с помощью стека протоколов TCP/IP с использованием национальных криптографических алгоритмов.

Протокол может применяться для развёртывания виртуальных частных сетей (VPN) всех видов: как между отдельными узлами, так и с подключением любой комбинации локальных сетей. IPlir позволяет реализовывать различные режимы инкапсуляции трафика, функционирует без установления соединения на каналах произвольного качества, обеспечивает минимальную избыточность IP-пакетов, совместим с IP-протоколом версий v4 и v6, подходит для использования в средствах криптографической защиты информации (СКЗИ) различных классов.

Отмечается, что протокол IPlir является результатом многолетней работы специалистов компании «ИнфоТеКС». Он многократно опробован на практике в широком спектре действующих корпоративных и государственных информационных систем.

Постоянный URL: http://servernews.ru/1028984
01.12.2020 [12:32], Юрий Поздеев

IBM Cloud анонсировала «квантово-безопасную» криптографию для гибридных облачных сред

IBM Cloud анонсировала облачные сервисы и технологии, которые помогут клиентам обеспечить высокий уровень надёжности шифрования для данных в облаке, достаточный для того, чтобы противостоять будущим угрозам, связанным с развитием квантовых вычислений. IBM Research предлагает квантовую криптографию для управления ключами и транзакциями приложений в IBM Cloud.

Новые возможности для IBM Cloud включают в себя:

  • Поддержку квантово-безопасной криптографии: использование открытых стандартов и технологий с открытым исходным кодом (CRYSTALS и OpenQuantumSafe) позволяет обеспечить защиту данных с помощью квантово-безопасного алгоритма между предприятием и облаком;
  • Расширенные сервисы IBM Cloud Hyper Protect Crypto Sevices: расширенные возможности для повышения конфиденциальности данных в облачных приложениях. При отправке данных по сети в облако, при сохранении в базе данных конфиденциальной информации (например, номера кредитных карт) информация шифруется с помощью собственного ключа (Keep Your Own Key, KYOK);
  • Облачную службу IBM Key Protect. Она обеспечивает управление жизненным циклом ключей шифрования, которые используются в службах IBM Cloud, или клиентских приложениях. Она теперь предоставляет возможность использования Tranport Layer Security (TLS) с квантово-безопасной криптографией.

Квантовые вычисления на данный момент находятся в начале своего развития и не представляют угрозу для криптографических алгоритмов, однако в будущем, при должном развитии технологий квантовые компьютеры смогут быстро взламывать классические алгоритмы шифрования и получать доступ к конфиденциальным данным. Для того, чтобы снизить подобные риски, IBM разработала стратегию исследований и разработок квантово-безопасных алгоритмов, которые должны обеспечить долговременную безопасность платформ и приложений.

На данный момент IBM предлагает клиентам свои последние разработки в области шифрования, созданные в IBM Research, которые обеспечивают высокую степень защиты информации и помогут противостоять не только актуальным, но и будущим угрозам. Даже если сейчас злоумышленники собирают данные с тем, чтобы расшифровать их в будущем, IBM Research обеспечивает достаточную защиту данных, чтобы максимально осложнить задачу злоумышленникам.

IBM Cloud представила возможности защиты информации для облачных и контейнерных приложений в Red Hat OpenShift и IBM Cloud Kubernetes Services, с поддержкой квантово-безопасных TLS-соединений.

В заключение еще пару слов про IBM Cloud Hyper Protect Crypto Services. Клиентам можно хранить свой собственный ключ шифрования (KYOK), а сам сервис построен на оборудовании, сертифицированном по стандарту FIPS-140-2 (уровень 4), что соответствует высочайшему уровню безопасности для облачных провайдеров.

Постоянный URL: http://servernews.ru/1026703
28.02.2020 [17:12], Андрей Галадей

Let's Encrypt выдала миллиардный сертификат

Центр сертификации Let's Encrypt сообщил, что выпустил миллиардный сертификат 27 февраля 2020 года. Рост их количества свидетельствует не только об увеличении числа веб-сайтов, но и о повышении безопасности. Если в июне 2017 года около 58 % страниц использовали HTTPS по всему миру (из них 64 % в США). На сегодня эта доля выросла до 81 % (91 % в США).

Также сообщается, что сертификатами Let's Encrypt пользовались в 2017 году 46 млн сайтов. Сейчас же речь идёт о 192 млн сайтов.

 thedevopsguide.com

thedevopsguide.com

В организации сообщили, что столь крупные достижения реализованы за счёт протокола ACME, который обеспечивает высокий уровень автоматизации и обеспечивает ведение лога всех транзакций.

Кроме того, разработчики запустили систему множественной проверки доменов. Она призвана проверять домены и возможность контроля над ними со стороны владельцев. Это нужно для того, чтобы сертификат не попал к злоумышленникам. Обычно процесс проверки включает в себя просьбу к кандидату разместить определенный файл или маркер в контролируемом месте для домена, например, в определенном пути или DNS записи. После этого проверяется его наличие.

Однако если в процессе проверки удавалось перехватить или перенаправить сетевой трафик, то можно было обманом заставить центр сертификации выдать нужный сертификат хакерам. Новая технология препятствует этому, поскольку проверка осуществляется не с одной, а с нескольких точек, что усложняет перехват. Для этого используется облачная система.

Постоянный URL: http://servernews.ru/1004826
21.01.2020 [16:27], Андрей Крупин

«Код безопасности» и QRate разработали квантово-защищённый VPN

Российские компании «Код безопасности» и QRate сообщили о проведении успешных испытаний решений, обеспечивающих защиту каналов связи с помощью квантовой криптографии и технологии VPN-туннелей.

Испытания показали, что опробованные отечественные решения готовы к полноценному внедрению в повседневную практику. Это приближает появление коммерческих сервисов, основанных на квантовом шифровании передачи критически важных данных.

В рамках эксперимента были выполнены тестовые испытания на совместимость аппаратно-программного комплекса «Континент 4» и системы квантового распределения ключей QRate.

В ходе работ было установлено удалённое подключение «Континент 4» к двум синхронизированным источникам квантовых ключей QRate, осуществлены запрос и получение квантового ключа. Результаты эксперимента показали, что квантовые технологии могут быть использованы для защиты каналов между комплексами «Континент 4». В ближайшее время компании планируют выполнить тестирование продуктов в «полевых» условиях в рамках пилотного проекта.

Система «Континент 4» относится к классу решений Unified Threat Management (UTM) и представляет собой универсальное устройство, сочетающее VPN-шлюз с поддержкой алгоритмов ГОСТ, межсетевой экран, маршрутизатор, детектор атак, модули фильтрации трафика и контроля сетевых приложений (DPI), а также центр управления. Продукт может быть использован не только для защиты периметра корпоративной сети и шифрования каналов связи между филиалами крупных территориально-распределённых организаций, но и для защиты внутренних сегментов сети, где развёрнуты информационные системы персональных данных (ИСПДн), государственные информационные системы (ГИС), объекты критической информационной инфраструктуры (КИИ) и другие критичные сервисы.

Постоянный URL: http://servernews.ru/1001929
08.01.2020 [11:47], Владимир Фетисов

Принятый в Китае закон о криптографии вредит безопасности данных в ЦОД

Согласно новым правилам управления криптографическими ключами, китайские власти имеют полный, неограниченный доступ к любым данным, которые передаются или хранятся внутри страны.

В прошлом году правительство Китая одобрило закон в сфере кибербезопасности, известный как Многоуровневый план защиты (Multi-Level Protection Scheme 2.0). Закон, который к настоящему моменту уже вступил в силу, фактически означает, что правительство имеет неограниченный доступ ко всем данным внутри страны, независимо от того, хранятся ли они на китайских серверах или передаются через сети, расположенные внутри страны.

«Там не будет никаких секретов. Нет VPN. Нет личных или зашифрованных сообщений. Нет анонимных онлайн-аккаунтов. Нет конфиденциальных данных. Любая информация будет доступна и открыта для китайского правительства», — пишет источник.

Более того, MLPS 2.0 поддерживается двумя дополнительными законодательными актами, отменяющими любые защитные меры и лазейки, которые ранее могли использоваться для сохранения неприкосновенности корпоративных данных. Оба упомянутых закона вступили в силу с 1 января 2020 года.

В первую очередь речь идёт о Законе об иностранных инвестициях, в соответствии с которым иностранные инвесторы практически уравниваются в правах с местными компаниями. Хотя в правительстве говорили о том, что данный закон является средством упрощения инвестиционного процесса, на деле он фактически лишает иностранных инвесторов многих прав, которыми они могли пользоваться прежде. При этом области рынка, которые были недоступны для иностранных компаний, так и останутся закрытыми.

Второй закон устанавливает определённый набор правил, касающихся шифрования. Согласно этому закону, разработка, продажа и использование криптографических систем «не должны наносить ущерб государственной безопасности и общественным интересам». Кроме того, криптографические системы, которые «не были проверены и одобрены», также являются незаконными. Это фактически означает, что, если какая-либо компания будет пытаться защитить собственную корпоративную информацию от правительства, то она будет наказана.

Более того, если ваш центр обработки данных использует, например, программное обеспечение, поддержку которого осуществляют китайские компании, то все данные, хранящиеся и управляемые этими компаниями, могут быть перехвачены. Таким образом могут быть раскрыты коммерческие секреты, конфиденциальные документы, финансовые данные и многое другое. Точно так же, если иностранная компания имеет какие-либо активы внутри страны, она не имеет полного контроля над ними, поскольку они могут быть изъяты правительством в любое время и с минимальным обоснованием.

Постоянный URL: http://servernews.ru/1001013
Система Orphus