Материалы по тегу: шифрование

07.09.2021 [21:20], Андрей Галадей

Состоялся релиз OpenSSL 3.0: лицензия Apache 2.0, поддержка CMP и новый модуль FIPS

После 3 лет работы состоялся релиз OpenSSL 3.0. В ходе разработки было выпущено 17 альфа-версий, две бета-версии и получено свыше 7500 коммитов от более чем 350 участников, а также был внедрён целый ряд исправлений и обновлений. Как отмечается, объём документации вырос на 94 % по сравнению с версией 1.1.1, а объём кода — на 54 %. С выходом нового релиза схема версионирования, как и было объявлено ещё в 2018 году, поменялась.

wikipedia.org

wikipedia.org

В числе изменений отметим переход на лицензию Apache 2.0. В техническом же плане изменения коснулись многих аспектов. OpenSSL 3.0 перешел на новую архитектуру, что обеспечит большую гибкость при работе с libcrypto. Появилась «ядерная» поддержка TLS и полностью «подключаемых» групп TLSv1.3, а также новых (де-)кодеров, которые помогут упростить работу с нестандартными алгоритмами. Наконец, появился протокол управления сертификатами (Certificate Management Protocol, CMP).

В числе иных изменений отметим новые API. При этом устаревшие версии API в будущих версиях удалят, поэтому уже сейчас рекомендуется обновить приложения. Также отметим, что ключевой особенностью OpenSSL 3.0 является новый модуль FIPS, что позволит получить сертификацию FIPS 140-2, которая важна в ряде областей. Однако она ещё не готова, как и документация, так что пока использование FIPS-модуля не рекомендуется.

Постоянный URL: http://servernews.ru/1048510
16.01.2021 [21:34], Андрей Галадей

systemd 248 упростит использование аппаратных ключей шифрования

Для пользователей аппаратных токенов безопасности вроде YubiKey ожидается нововведение, которое упростит им жизнь. Будущий релиз systemd 248 позволит получать доступ к зашифрованным томам LUKS2.

Нынешняя версия systemd-cryptsetup уже поддерживает разблокировку томов LUKS2 при загрузке с помощью вводимых пользователем парольных фраз и ключевых файлов на локальных и внешних дисках. Однако systemd 248 значительно упростит этот процесс, так как позволит использовать оборудование TPM2, FIDO2 и PKCS # 11 для разблокировки томов.

hottg.com

hottg.com

Отметитим, что systemd является одним из компонентов, которые группа Hyperscale SIG хочет как можно быстрее обновлять в CentOS Stream. Поддержка аппаратных ключей шифрования весьма актуальна для этой категории пользователей.

Постоянный URL: http://servernews.ru/1030241
29.12.2020 [10:48], Андрей Крупин

Росстандарт ввёл в действие криптографический протокол IPlir

Федеральное агентство по техническому регулированию и метрологии (Росстандарт) стандартизировало разработанный компанией «Информационные технологии и коммуникационные системы» («ИнфоТеКС») протокол IPlir (IP layer interconnection robust). Соответствующий документ опубликован на сайте ведомства.

IPlir представляет собой протокол безопасности сетевого уровня, обеспечивающий конфиденциальность и имитостойкость данных при их передаче в сетях связи с помощью стека протоколов TCP/IP с использованием национальных криптографических алгоритмов.

Протокол может применяться для развёртывания виртуальных частных сетей (VPN) всех видов: как между отдельными узлами, так и с подключением любой комбинации локальных сетей. IPlir позволяет реализовывать различные режимы инкапсуляции трафика, функционирует без установления соединения на каналах произвольного качества, обеспечивает минимальную избыточность IP-пакетов, совместим с IP-протоколом версий v4 и v6, подходит для использования в средствах криптографической защиты информации (СКЗИ) различных классов.

Отмечается, что протокол IPlir является результатом многолетней работы специалистов компании «ИнфоТеКС». Он многократно опробован на практике в широком спектре действующих корпоративных и государственных информационных систем.

Постоянный URL: http://servernews.ru/1028984
01.12.2020 [12:32], Юрий Поздеев

IBM Cloud анонсировала «квантово-безопасную» криптографию для гибридных облачных сред

IBM Cloud анонсировала облачные сервисы и технологии, которые помогут клиентам обеспечить высокий уровень надёжности шифрования для данных в облаке, достаточный для того, чтобы противостоять будущим угрозам, связанным с развитием квантовых вычислений. IBM Research предлагает квантовую криптографию для управления ключами и транзакциями приложений в IBM Cloud.

Новые возможности для IBM Cloud включают в себя:

  • Поддержку квантово-безопасной криптографии: использование открытых стандартов и технологий с открытым исходным кодом (CRYSTALS и OpenQuantumSafe) позволяет обеспечить защиту данных с помощью квантово-безопасного алгоритма между предприятием и облаком;
  • Расширенные сервисы IBM Cloud Hyper Protect Crypto Sevices: расширенные возможности для повышения конфиденциальности данных в облачных приложениях. При отправке данных по сети в облако, при сохранении в базе данных конфиденциальной информации (например, номера кредитных карт) информация шифруется с помощью собственного ключа (Keep Your Own Key, KYOK);
  • Облачную службу IBM Key Protect. Она обеспечивает управление жизненным циклом ключей шифрования, которые используются в службах IBM Cloud, или клиентских приложениях. Она теперь предоставляет возможность использования Tranport Layer Security (TLS) с квантово-безопасной криптографией.

Квантовые вычисления на данный момент находятся в начале своего развития и не представляют угрозу для криптографических алгоритмов, однако в будущем, при должном развитии технологий квантовые компьютеры смогут быстро взламывать классические алгоритмы шифрования и получать доступ к конфиденциальным данным. Для того, чтобы снизить подобные риски, IBM разработала стратегию исследований и разработок квантово-безопасных алгоритмов, которые должны обеспечить долговременную безопасность платформ и приложений.

На данный момент IBM предлагает клиентам свои последние разработки в области шифрования, созданные в IBM Research, которые обеспечивают высокую степень защиты информации и помогут противостоять не только актуальным, но и будущим угрозам. Даже если сейчас злоумышленники собирают данные с тем, чтобы расшифровать их в будущем, IBM Research обеспечивает достаточную защиту данных, чтобы максимально осложнить задачу злоумышленникам.

IBM Cloud представила возможности защиты информации для облачных и контейнерных приложений в Red Hat OpenShift и IBM Cloud Kubernetes Services, с поддержкой квантово-безопасных TLS-соединений.

В заключение еще пару слов про IBM Cloud Hyper Protect Crypto Services. Клиентам можно хранить свой собственный ключ шифрования (KYOK), а сам сервис построен на оборудовании, сертифицированном по стандарту FIPS-140-2 (уровень 4), что соответствует высочайшему уровню безопасности для облачных провайдеров.

Постоянный URL: http://servernews.ru/1026703
28.02.2020 [17:12], Андрей Галадей

Let's Encrypt выдала миллиардный сертификат

Центр сертификации Let's Encrypt сообщил, что выпустил миллиардный сертификат 27 февраля 2020 года. Рост их количества свидетельствует не только об увеличении числа веб-сайтов, но и о повышении безопасности. Если в июне 2017 года около 58 % страниц использовали HTTPS по всему миру (из них 64 % в США). На сегодня эта доля выросла до 81 % (91 % в США).

Также сообщается, что сертификатами Let's Encrypt пользовались в 2017 году 46 млн сайтов. Сейчас же речь идёт о 192 млн сайтов.

thedevopsguide.com

thedevopsguide.com

В организации сообщили, что столь крупные достижения реализованы за счёт протокола ACME, который обеспечивает высокий уровень автоматизации и обеспечивает ведение лога всех транзакций.

Кроме того, разработчики запустили систему множественной проверки доменов. Она призвана проверять домены и возможность контроля над ними со стороны владельцев. Это нужно для того, чтобы сертификат не попал к злоумышленникам. Обычно процесс проверки включает в себя просьбу к кандидату разместить определенный файл или маркер в контролируемом месте для домена, например, в определенном пути или DNS записи. После этого проверяется его наличие.

Однако если в процессе проверки удавалось перехватить или перенаправить сетевой трафик, то можно было обманом заставить центр сертификации выдать нужный сертификат хакерам. Новая технология препятствует этому, поскольку проверка осуществляется не с одной, а с нескольких точек, что усложняет перехват. Для этого используется облачная система.

Постоянный URL: http://servernews.ru/1004826
21.01.2020 [16:27], Андрей Крупин

«Код безопасности» и QRate разработали квантово-защищённый VPN

Российские компании «Код безопасности» и QRate сообщили о проведении успешных испытаний решений, обеспечивающих защиту каналов связи с помощью квантовой криптографии и технологии VPN-туннелей.

Испытания показали, что опробованные отечественные решения готовы к полноценному внедрению в повседневную практику. Это приближает появление коммерческих сервисов, основанных на квантовом шифровании передачи критически важных данных.

В рамках эксперимента были выполнены тестовые испытания на совместимость аппаратно-программного комплекса «Континент 4» и системы квантового распределения ключей QRate.

В ходе работ было установлено удалённое подключение «Континент 4» к двум синхронизированным источникам квантовых ключей QRate, осуществлены запрос и получение квантового ключа. Результаты эксперимента показали, что квантовые технологии могут быть использованы для защиты каналов между комплексами «Континент 4». В ближайшее время компании планируют выполнить тестирование продуктов в «полевых» условиях в рамках пилотного проекта.

Система «Континент 4» относится к классу решений Unified Threat Management (UTM) и представляет собой универсальное устройство, сочетающее VPN-шлюз с поддержкой алгоритмов ГОСТ, межсетевой экран, маршрутизатор, детектор атак, модули фильтрации трафика и контроля сетевых приложений (DPI), а также центр управления. Продукт может быть использован не только для защиты периметра корпоративной сети и шифрования каналов связи между филиалами крупных территориально-распределённых организаций, но и для защиты внутренних сегментов сети, где развёрнуты информационные системы персональных данных (ИСПДн), государственные информационные системы (ГИС), объекты критической информационной инфраструктуры (КИИ) и другие критичные сервисы.

Постоянный URL: http://servernews.ru/1001929
08.01.2020 [11:47], Владимир Фетисов

Принятый в Китае закон о криптографии вредит безопасности данных в ЦОД

Согласно новым правилам управления криптографическими ключами, китайские власти имеют полный, неограниченный доступ к любым данным, которые передаются или хранятся внутри страны.

В прошлом году правительство Китая одобрило закон в сфере кибербезопасности, известный как Многоуровневый план защиты (Multi-Level Protection Scheme 2.0). Закон, который к настоящему моменту уже вступил в силу, фактически означает, что правительство имеет неограниченный доступ ко всем данным внутри страны, независимо от того, хранятся ли они на китайских серверах или передаются через сети, расположенные внутри страны.

«Там не будет никаких секретов. Нет VPN. Нет личных или зашифрованных сообщений. Нет анонимных онлайн-аккаунтов. Нет конфиденциальных данных. Любая информация будет доступна и открыта для китайского правительства», — пишет источник.

Более того, MLPS 2.0 поддерживается двумя дополнительными законодательными актами, отменяющими любые защитные меры и лазейки, которые ранее могли использоваться для сохранения неприкосновенности корпоративных данных. Оба упомянутых закона вступили в силу с 1 января 2020 года.

В первую очередь речь идёт о Законе об иностранных инвестициях, в соответствии с которым иностранные инвесторы практически уравниваются в правах с местными компаниями. Хотя в правительстве говорили о том, что данный закон является средством упрощения инвестиционного процесса, на деле он фактически лишает иностранных инвесторов многих прав, которыми они могли пользоваться прежде. При этом области рынка, которые были недоступны для иностранных компаний, так и останутся закрытыми.

Второй закон устанавливает определённый набор правил, касающихся шифрования. Согласно этому закону, разработка, продажа и использование криптографических систем «не должны наносить ущерб государственной безопасности и общественным интересам». Кроме того, криптографические системы, которые «не были проверены и одобрены», также являются незаконными. Это фактически означает, что, если какая-либо компания будет пытаться защитить собственную корпоративную информацию от правительства, то она будет наказана.

Более того, если ваш центр обработки данных использует, например, программное обеспечение, поддержку которого осуществляют китайские компании, то все данные, хранящиеся и управляемые этими компаниями, могут быть перехвачены. Таким образом могут быть раскрыты коммерческие секреты, конфиденциальные документы, финансовые данные и многое другое. Точно так же, если иностранная компания имеет какие-либо активы внутри страны, она не имеет полного контроля над ними, поскольку они могут быть изъяты правительством в любое время и с минимальным обоснованием.

Постоянный URL: http://servernews.ru/1001013
09.12.2019 [16:27], Андрей Галадей

Вышел Certbot 1.0 для получения сертификатов Let's Encrypt

Организацией Electronic Frontier Foundation (EFF) был представлен знаковый релиз утилиты Certbot 1.0, который призван упростить процедуру получения бесплатных TLS-сертификатов Let's Encrypt, а также автоматизировать настройку HTTPS на веб-серверах.

Система работает с Apache httpd, nginx и haproxy на Linux и BSD. Также есть поддержка Windows-серверов, но лишь в бета-версии. Программный комплекс также способен работать в режиме клиента для получения сертификатов из различных удостоверяющих центров, а также обеспечивать перевод запросов с HTTP на HTTPS.

pixabay.com

pixabay.com

Как заявил старший архитектор программного обеспечения EFF Брэд Уоррен (Brad Warren), защита веб-трафика с помощью HTTPS является важной частью защиты персональных данных. Однако пользователи Интернета зачастую не могут самостоятельно перейти на новый протокол ввиду нехватки знаний или других причин. 

Certbot является частью усилий EFF по шифрованию всего трафика в Сети. Наряду с расширением HTTPS Everywhere, Certbot стремится построить сеть, которая станет более безопасной и приватной. А вот так выглядят данные о росте Let's Encrypt, выдаче сертификатов в сутки и количестве сайтов, защищённых ими.

Постоянный URL: http://servernews.ru/999353
14.11.2019 [20:18], Алексей Степин

Обнаружена уязвимость TPM-Fail: ключи, хранимые в модулях TPM, под угрозой

Модули TPM (Trusted Platform Module) часто устанавливаются в системы, с помощью которых осуществляется обработка конфиденциальной информации. Одна из функций этих модулей — генерация и безопасное хранение ключей шифрования. Для этого на борту модуля имеется отдельный криптопроцессор.

Но, как выяснилось, использование TPM не дает стопроцентной гарантии от утечки данных.

Архитектура криптопроцессора TPM

Архитектура криптопроцессора TPM

Группа исследователей, в которую вошли представители Вустерского политехнического института, а также Любекского и Калифорнийского университетов, разработала метод атаки, позволяющий восстанавливать значения закрытых ключей, сохранённых в модуле TPM.

Атака получила название TPM-Fail — она затрагивает как программно-аппаратные решения Intel (CVE-2019-11090), так и модули, построенные на базе чипов STMicroelectronics ST33 (CVE-2019-16863). Исследовали выложили в публичный доступ прототип ПО для атаки, а также продемонстрировали возможность восстановления 256-битного закрытого ключа, который используется в ЭЦП-алгоритмах ECDSA и EC-Schnorr.

Модуль TPM, установленный на системную плату. Версия Infineon, уязвимости нет

Модуль TPM, установленный на системную плату. Версия Infineon, уязвимости нет

В основе новой атаки лежит временной анализ операций в процессе генерирования цифровой подписи. Оценка задержек позволяет получить информацию об отдельных битах, но для успешного восстановления ключа необходимо довольно существенное время.

Это время оценивается в 4-20 минут (до 15 тысяч операций) в случае решения Intel и порядка 80 минут (до 40 тысяч операций) для аппаратных TPM на базе ST33, поскольку для временного анализа необходима генерация нескольких тысяч ЭЦП для уже известных атакующему данных.

STMicroelectronics признала ошибку и сообщает, что в новой редакции криптопроцессора работа алгоритма ECDSA более не даёт задержек, которые можно было бы проанализировать. Интересно, что в аналогичных чипах Infineon и Nuvoton данная уязвимость отсутствует изначально.

Результаты аудита SDK для создания защищённых приложений

Результаты аудита SDK для создания защищённых приложений

Что касается решений Intel, то описываемая проблема затрагивает все процессоры, начиная с поколения Haswell — как мобильные и десктопные, так и серверные. Но компания также признаёт наличие уязвимости и уже в ноябрьском обновлении прошивок она была устранена наряду с 24 другими различными уязвимостями.

Дополнительно стоит отметить публикацию результатов аудита различных средств разработки приложений, работающих с кодом, выполняемых в изолированных анклавах. По результатам выявлено 35 уязвимостей, потенциально позволяющих извлечь из AES-ключи или даже запускать какой-либо вредоносный код. Как выяснилось, архитектура Intel SGX не является единственной уязвимой — потенциально под угрозой находится также и RISC-V Keystone

Постоянный URL: http://servernews.ru/997692
23.10.2019 [14:41], Владимир Мироненко

Исследование: 71 % организаций считает квантовые компьютеры угрозой безопасности

Согласно новому исследованию DigiCert около 71 % глобальных организаций рассматривает появление квантовых компьютеров как серьезную угрозу безопасности. Как ожидается, реальные угрозы, связанные с их появлением, начнут возникать в течение трёх лет.

Опрос в рамках исследования «DigiCert 2019 Post Quantum Crypto Survey» был проведен ReRez Research в августе 2019 года среди 400 предприятий и организаций в критически важных инфраструктурах промышленности США, Германии и Японии.

verdict.co.uk

verdict.co.uk

Чуть более половины (55 %) респондентов считают, что квантовые вычисления уже сегодня представляют собой «до некоторой степени» или «чрезвычайно» большую угрозу безопасности, а 71 % полагает, что в будущем это будет «в некоторой степени» или «чрезвычайно» большая угроза.

Согласно срединному прогнозу, необходимость в использовании постквантовой криптографии (Post Quantum Crypto, PQC) для борьбы с угрозой безопасности, создаваемой квантовыми компьютерами, может возникнуть в 2022 году. Это означает, что времени, необходимого для подготовки, гораздо меньше, чем предсказывали некоторые аналитики.

Понимая очевидность угрозы, 83 % респондентов считает, что для ИТ важно знать о методах обеспечения безопасности в квантовой сфере. 95 % респондентов сообщили, что обсуждают хотя бы один вариант подготовки к квантовым вычислениям, но двое из пяти опрошенных считают это сложной задачей. 

Основными проблемами при внедрении PQC респонденты называют:

  • Высокие затраты.
  • Недостаток знаний у персонала.
  • Несвоевременное обновление сертификатов поставщиками.
Постоянный URL: http://servernews.ru/996083
Система Orphus