Материалы по тегу: шифрование

09.12.2019 [16:27], Андрей Галадей

Вышел Certbot 1.0 для получения сертификатов Let's Encrypt

Организацией Electronic Frontier Foundation (EFF) был представлен знаковый релиз утилиты Certbot 1.0, который призван упростить процедуру получения бесплатных TLS-сертификатов Let's Encrypt, а также автоматизировать настройку HTTPS на веб-серверах.

Система работает с Apache httpd, nginx и haproxy на Linux и BSD. Также есть поддержка Windows-серверов, но лишь в бета-версии. Программный комплекс также способен работать в режиме клиента для получения сертификатов из различных удостоверяющих центров, а также обеспечивать перевод запросов с HTTP на HTTPS.

pixabay.com

pixabay.com

Как заявил старший архитектор программного обеспечения EFF Брэд Уоррен (Brad Warren), защита веб-трафика с помощью HTTPS является важной частью защиты персональных данных. Однако пользователи Интернета зачастую не могут самостоятельно перейти на новый протокол ввиду нехватки знаний или других причин. 

Certbot является частью усилий EFF по шифрованию всего трафика в Сети. Наряду с расширением HTTPS Everywhere, Certbot стремится построить сеть, которая станет более безопасной и приватной. А вот так выглядят данные о росте Let's Encrypt, выдаче сертификатов в сутки и количестве сайтов, защищённых ими.

Постоянный URL: http://servernews.ru/999353
14.11.2019 [20:18], Алексей Степин

Обнаружена уязвимость TPM-Fail: ключи, хранимые в модулях TPM, под угрозой

Модули TPM (Trusted Platform Module) часто устанавливаются в системы, с помощью которых осуществляется обработка конфиденциальной информации. Одна из функций этих модулей — генерация и безопасное хранение ключей шифрования. Для этого на борту модуля имеется отдельный криптопроцессор.

Но, как выяснилось, использование TPM не дает стопроцентной гарантии от утечки данных.

Архитектура криптопроцессора TPM

Архитектура криптопроцессора TPM

Группа исследователей, в которую вошли представители Вустерского политехнического института, а также Любекского и Калифорнийского университетов, разработала метод атаки, позволяющий восстанавливать значения закрытых ключей, сохранённых в модуле TPM.

Атака получила название TPM-Fail — она затрагивает как программно-аппаратные решения Intel (CVE-2019-11090), так и модули, построенные на базе чипов STMicroelectronics ST33 (CVE-2019-16863). Исследовали выложили в публичный доступ прототип ПО для атаки, а также продемонстрировали возможность восстановления 256-битного закрытого ключа, который используется в ЭЦП-алгоритмах ECDSA и EC-Schnorr.

Модуль TPM, установленный на системную плату. Версия Infineon, уязвимости нет

Модуль TPM, установленный на системную плату. Версия Infineon, уязвимости нет

В основе новой атаки лежит временной анализ операций в процессе генерирования цифровой подписи. Оценка задержек позволяет получить информацию об отдельных битах, но для успешного восстановления ключа необходимо довольно существенное время.

Это время оценивается в 4-20 минут (до 15 тысяч операций) в случае решения Intel и порядка 80 минут (до 40 тысяч операций) для аппаратных TPM на базе ST33, поскольку для временного анализа необходима генерация нескольких тысяч ЭЦП для уже известных атакующему данных.

STMicroelectronics признала ошибку и сообщает, что в новой редакции криптопроцессора работа алгоритма ECDSA более не даёт задержек, которые можно было бы проанализировать. Интересно, что в аналогичных чипах Infineon и Nuvoton данная уязвимость отсутствует изначально.

Результаты аудита SDK для создания защищённых приложений

Результаты аудита SDK для создания защищённых приложений

Что касается решений Intel, то описываемая проблема затрагивает все процессоры, начиная с поколения Haswell — как мобильные и десктопные, так и серверные. Но компания также признаёт наличие уязвимости и уже в ноябрьском обновлении прошивок она была устранена наряду с 24 другими различными уязвимостями.

Дополнительно стоит отметить публикацию результатов аудита различных средств разработки приложений, работающих с кодом, выполняемых в изолированных анклавах. По результатам выявлено 35 уязвимостей, потенциально позволяющих извлечь из AES-ключи или даже запускать какой-либо вредоносный код. Как выяснилось, архитектура Intel SGX не является единственной уязвимой — потенциально под угрозой находится также и RISC-V Keystone

Постоянный URL: http://servernews.ru/997692
23.10.2019 [14:41], Владимир Мироненко

Исследование: 71 % организаций считает квантовые компьютеры угрозой безопасности

Согласно новому исследованию DigiCert около 71 % глобальных организаций рассматривает появление квантовых компьютеров как серьезную угрозу безопасности. Как ожидается, реальные угрозы, связанные с их появлением, начнут возникать в течение трёх лет.

Опрос в рамках исследования «DigiCert 2019 Post Quantum Crypto Survey» был проведен ReRez Research в августе 2019 года среди 400 предприятий и организаций в критически важных инфраструктурах промышленности США, Германии и Японии.

verdict.co.uk

verdict.co.uk

Чуть более половины (55 %) респондентов считают, что квантовые вычисления уже сегодня представляют собой «до некоторой степени» или «чрезвычайно» большую угрозу безопасности, а 71 % полагает, что в будущем это будет «в некоторой степени» или «чрезвычайно» большая угроза.

Согласно срединному прогнозу, необходимость в использовании постквантовой криптографии (Post Quantum Crypto, PQC) для борьбы с угрозой безопасности, создаваемой квантовыми компьютерами, может возникнуть в 2022 году. Это означает, что времени, необходимого для подготовки, гораздо меньше, чем предсказывали некоторые аналитики.

Понимая очевидность угрозы, 83 % респондентов считает, что для ИТ важно знать о методах обеспечения безопасности в квантовой сфере. 95 % респондентов сообщили, что обсуждают хотя бы один вариант подготовки к квантовым вычислениям, но двое из пяти опрошенных считают это сложной задачей. 

Основными проблемами при внедрении PQC респонденты называют:

  • Высокие затраты.
  • Недостаток знаний у персонала.
  • Несвоевременное обновление сертификатов поставщиками.
Постоянный URL: http://servernews.ru/996083
13.10.2019 [12:14], Геннадий Детинич

Половина корпоративных данных уже в облаках, но защита оставляет желать лучшего

Организация Ларри Понемона (Ponemon Institute)  и группа Thales Group опубликовали результаты очередного опроса свыше 3000 специалистов по безопасности в ИТ ведущих компаний мира из Австралии, Бразилии, Франции, Германии, Индии, Японии, Великобритании и США.

Опрос выявил, что в облачные хранилища перемещена уже почти половина корпоративных данных (48 %). При этом феноменальным стало открытие, что только треть (32 %) организаций считает безопасность вопросом №1.

Точнее, эта сознательная треть уверена в собственной ответственности за безопасность данных, а не чьей-то ещё, провайдера, поставщика услуг или разработчиков программных платформ.

Thales Group

Thales Group

Другим характерным фактом стал переход к мульти-облачным решениям. В среднем компании пользуются услугами трёх разных поставщиков. В основном это сервисы Amazon Web Services (AWS), Microsoft Azure и IBM. Более четверти организаций (28 %) используют платформы четырёх поставщиков услуг или более. Фактически мульти-облачные платформы использует почти половина из компаний, где проводился опрос (48 %).

Thales Group

Thales Group

Интересно, что только почти половина компаний (46 %) уверены, что хранение конфиденциальных данных в облаке более рискованное, чем локальное. При этом свыше половины опрошенных (56 %) признали, что это оправданный риск.

Но ответственность разная. Треть опрошенных уверены (35 %), что за безопасность отвечают провайдеры. Общую ответственность признаёт 33 % опрошенных, а 31 % считают себя лично ответственными за безопасность своих данных.

Интересно, что даже если ответственность перекладывается на плечи провайдера, то только 23 % ставят безопасность в главу угла при выборе поставщика услуг. Зачастую даже сотрудники по безопасности компаний плохо представляют, где и в каких облаках хранятся те или иные конфиденциальные данные.

Thales Group

Thales Group

Что радует, доля зашифрованных данных плавно увеличивается, хотя около половины компаний (51 %) до сих пор не используют шифрование или токены для защиты данных в облаке. В этом также есть региональные различия. Например, наиболее дисциплинированные в вопросах шифрования немецкие сотрудники, среди которых этим занимаются 66 % из опрошенных компаний.

Но даже в этом вопросе есть вопиющая практика: организации сами передают ключи от зашифрованных данных в руки облачным провайдерам. Почти половина облачных провайдеров (44 %) сами предоставляют ключи шифрования при шифровании данных в облаке, 36 % компаний делают это самостоятельно и 19 % отдают это на откуп третьим компаниям. Впрочем, 53 % компаний сохраняют контроль над ключами шифрования, а 78 % считают это крайне важным.

Интересно отметить, что выросло число уверенных в том, что данные в облаке сложнее защищать, чем локальные (сетевые). Так, год назад на сложность защиты указывало 49 % опрошенных, а в этом году уже 54 % опрошенных. Более 70 % видят сложность в управлении правилами конфиденциальности и в управлении общей защитой данных в облаке, а ещё 67 % указали на сложность использования традиционных методов защиты применительно к облакам. Тем не менее, мыши плакали, кололись, но продолжали есть кактус прогресс в виде облачных платформ неоспорим и он набирает обороты.

Постоянный URL: http://servernews.ru/995523
25.09.2019 [14:40], Сергей Карасёв

В России установлен мировой рекорд по протяжённости ВОЛС с квантовым шифрованием

В России успешно протестировано квантовое шифрование на волоконно-оптической линии связи (ВОЛС) с рекордным расстоянием.

В проекте приняли участие «Ростелеком» и «Таттелеком», а также Казанский квантовый центр Казанского национального исследовательского технического университета имени А. Н. Туполева — КАИ (ККЦ КНИТУ-КАИ).

Специалисты говорят, что обеспечение передачи квантовых ключей на большие расстояния в волоконно-оптических линиях — это очень сложная техническая задача. Её реализация позволит формировать сверхзащищённые каналы передачи информации. Для обмена ключами шифрования используются одиночные фотоны, состояния которых безвозвратно меняются при любых попытках перехвата. А поэтому незаметно похитить данные в таких сетях попросту невозможно.

В ходе проведённого эксперимента тестовая ВОЛС соединила лабораторию Практической квантовой криптографии ККЦ КНИТУ-КАИ с узлом связи «Ростелекома» в Апастово. Расстояние составило 143 километра — это, как утверждается, мировой рекорд для действующих коммерческих сетей связи.

Тестовый комплекс включал систему квантового распределения ключей на боковых частотах, криптомаршрутизатор и высокоэффективный детектор одиночных фотонов производства российской компании «СКОНТЕЛ». В качестве исходной системы квантовой рассылки ключа использовалась разработка Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики (Университет ИТМО).

При тестировании работы криптомаршрутизатора были организованы сеансы видеоконференции между двумя узлами связи. Среднее значение скорости генерации квантовых ключей в канале позволяло менять 256-битный ключ шифрования до двух раз в минуту. 

Постоянный URL: http://servernews.ru/994618
25.08.2019 [08:45], Геннадий Детинич

IBM готовит ленточные накопители с защитой от атак квантовыми компьютерами

Компания IBM далеко продвинулась в разработке квантовых вычислителей, поэтому она лучше других понимает опасность выхода на сцену принципиально новых платформ. Коммерческие или государственные квантовые вычислители не оставят камня на камне от современных методов шифрования данных. По подсчётам IBM, это может произойти через 10–30 лет.

Нижняя граница так близка, что любая расшифрованная враждебными силами тайна рискует оказаться губительной для защищающейся стороны. Согласно этой логике, традиционные носители информации уже сегодня нужно защищать от потенциальных угроз со стороны квантовых систем. Завтра будет поздно.

Ленточный накопитель IBM TS1160 на фоне квантового вычилителя компании

Ленточный накопитель IBM TS1160 на фоне квантового вычислителя компании IBM Q

Для защиты от атак со стороны квантовых систем в прошивку ленточных накопителей IBM TS1160 кроме традиционного кодирования с помощью алгоритма AES-256 будет добавлено кодирование с использованием двух «квантовых» криптографических примитивов Khyber и Dilithium. Алгоритмы Khyber и Dilithium входят в пакет CRYSTALS (Cryptographic Suite for Algebraic Lattices), разработанный IBM и предложенный в качестве стандарта NIST и для использования в проектах с открытым кодом.

Примитив Khyber подразумевает включение в данные безопасного ключа шифрования, а Dilithium ― безопасной цифровой подписи. В обоих случаях идея опирается на фундаментальные механизмы квантовой физики, которые гласят, что зашифрованные квантовым способом данные нельзя перехватить без изменения данных. Иными словами, об утечке всегда будет известно, что позволит изменить ключ в самом начале перехвата.

Как утверждают в IBM, ленточные накопители компании успешно протестированы на противостояние угрозам взлома со стороны квантовых вычислителей и будут введены в эксплуатацию в следующем году. Может показаться странным, что ленты, которые хранятся на полках в архивах, потребовали защиты от атак со стороны квантовых систем. Но IBM перенесла услуги записи на ленты в публичные облака, так что перехват данных с последующим декодированием вполне реален. Новые алгоритмы шифрования на уровне работы с транспортными протоколами накопителей позволят чувствовать себя спокойнее.

Постоянный URL: http://servernews.ru/992953
14.08.2019 [19:28], Сергей Карасёв

РЖД займутся развитием квантовых коммуникаций

«Российские железные дороги» (РЖД), по сообщению газеты «Ведомости», формируют департамент квантовых коммуникаций.

Технология квантовых коммуникаций основана на фундаментальных законах физики. Такие системы обеспечат беспрецедентный уровень безопасности. Незаметно похитить информацию, передающуюся по квантовым каналам, не удастся в принципе.

Дело в том, что в процессе передачи данных по квантовым каналам используются одиночные фотоны, состояния которых безвозвратно меняются, как только кто-то попытается перехватить файлы. Таким образом, попытки вмешательства в процесс передачи информации сразу же выявляются.

Итак, сообщается, что в РЖД создаётся департамент квантовых коммуникаций. Цель проекта — сделать Россию «одним из лидеров на глобальных технологических рынках в области квантовых коммуникаций».

Квантовые технологии позволят РЖД повысить безопасность передачи данных. О сроках внедрения соответствующих решений пока ничего не сообщается. 

Постоянный URL: http://servernews.ru/992430
23.07.2019 [16:29], Сергей Карасёв

Ещё три страны поддержали квантовую инициативу Европейского союза

Венгрия, Португалия и Польша подписали декларацию о совместной работе с другими членами Европейского союза с целью разработки и развёртывания так называемой квантовой коммуникационной инфраструктуры (QCI).

Технология квантовых коммуникаций основана на фундаментальных законах физики. Для обмена данными используются одиночные фотоны, состояния которых безвозвратно меняются при попытке перехвата. Таким образом, незаметно похитить информацию, передающуюся по квантовым каналам, попросту невозможно.

Одной из целей инициативы QCI как раз и является повышение уровня кибербезопасности. Кроме того, проект позволит европейским странам укрепить позиции на рынке квантовых технологий.

Квантовую коммуникационную инфраструктуру планируется развернуть на территории Европейского союза в течение следующих десяти лет.

Отметим также, что ранее инициативу поддержали Бельгия, Германия, Италия, Люксембург, Мальта, Нидерланды и Испания. 

Постоянный URL: http://servernews.ru/991176
27.06.2019 [17:29], Геннадий Детинич

Процессоры AMD EPYC оказались уязвимы для взлома, но это уже исправлено

Гордость компании AMD ― технология защиты памяти виртуальных машин Secure Encrypted Virtualization (SEV) ― оказалась подвержена атаке и взлому. Технология SEV и её аппаратная реализация появились в серверных платформах AMD EPYC. Как и технология Intel SGX (Software Guard Extensions), реализация AMD SEV защищает пользователей (отдельные виртуальные машины) удалённых сервисов от доступа к приватным данным со стороны соседей по сервису (других клиентов ресурса) и со стороны администраторов сервиса. Однако технология AMD SEV выглядит более защищённой, чем Intel SGX. Если Intel SGX создаёт защищённые и недоступные для чужого глаза регионы в виртуальной памяти, то AMD SEV на лету шифрует приватные данные в памяти процессора, выдавая в память виртуальной машины блоки данных, которые нельзя прочитать даже с ключом гипервизора (ключ гипервизора позволяет считать данные в общей памяти виртуальной машины).

Как выяснили исследователи компании Google, механизм AMD SEV оказался не безупречен. В общем случае в защите AMD SEV используются данные об эллиптических кривых (ECC), утверждённые организацией NIST и получившие распространение в криптографии около 15 лет назад. С помощью уязвимости CVE-2019-9836 злоумышленник может восстановить параметры кривой, задействованной для шифрования приватного гостевого ключа, и отправить для запуска виртуальной машины параметры кривой, не соответствующие рекомендациям NIST. Серия «неправильных» последовательностей и изученный отклик системы дают возможность получить закрытый Platform Diffie-Hellman (PDH) ключ. Этот ключ считался «невидимым» для ОС и приложений. Он генерируется виртуальной машиной на основе точек с эллиптической кривой. Подмена контрольных точек, тем самым, даёт в руки хакера PDH-ключ и возможность восстановить сессионный (приватный) ключ и, соответственно, увидеть данные в защищённой области памяти чужой виртуальной машине. Даже если никто не взломает чужие VM, данный способ уже компрометирует технологию AMD SEV и поставщиков услуг на базе серверов с процессорами AMD EPYC.

Сообщается, что компания AMD ещё 4 июня выпустила исправление для прошивок процессоров AMD с фиксацией для защиты от уязвимости. Если в системе установлена прошивка SEV до версии 0.17 build 11, то компания настоятельно рекомендует обновить микрокод, который доступен по этой ссылке.

Постоянный URL: http://servernews.ru/989863
07.06.2019 [13:13], Сергей Карасёв

Показана в действии первая в России межкорпоративная квантовая сеть

Сбербанк, Газпромбанк, PwC и Российский квантовый центр (РКЦ) продемонстрировали работу первой межкорпоративной сети, построенной с применением квантовых технологий.

Квантовые коммуникации обеспечивают высочайшую степень защиты информации. Дело в том, что незаметно похитить данные, передающиеся по квантовым каналам, невозможно в силу фундаментальных законов физики. Любая попытка перехвата будет сразу же обнаружена и предотвращена.

Сообщается, что в рамках проведённого эксперимента установки квантового распределения ключа Российского квантового центра обеспечили сеанс защищённой видеоконференцсвязи между стендами двух крупнейших банков и международной консалтинговой компании.

Непосредственно для видеосвязи использовался оптоволоконный канал передачи данных с двухсторонним шифрованием, обеспеченным посредством криптошлюзов компании С-Терра. Ключи для дешифрования данных передавались по отдельному оптическому каналу с помощью установок квантового распределения ключа РКЦ и Qrate.

Предложенное решение способно обеспечить максимальную защиту данных. Система полностью готова к эксплуатации и позволяет внедрять абсолютно защищённые каналы связи в существующую телекоммуникационную инфраструктуру банковских учреждений и госсектора. 

Постоянный URL: http://servernews.ru/988804
Система Orphus