Cloudflare внедрила новые источники случайных чисел для шифрования сетевого трафика — в своём блоге компания объявила, что создала «стену энтропии» из 50 генераторов волн в новой европейской штаб-квартире в Лиссабоне. Совершенно непредсказуемый рисунок волн записывается камерой и оцифровывается. Истинно случайный характер получаемых данных служит для защиты десятков миллионов HTTPS-запросов, ежесекундно обрабатываемых Cloudflare.

Компания разработала собственную, безостановочно работающую волновую машину. Прозрачный параллелепипед длиной 45 см заполнен полулитром уникальной жидкости Hughes Wave Fluid Formula (в составе две несмешивающихся жидкости) разных цветов для создания реалистичных «океанских волн». Ёмкость с жидкостью качается из стороны в сторону 14 раз в минуту или 20 тыс. раз в день. Стену внедрили в марте 2025 года, но в компании заявляют, что разработка велась 15 месяцев, а сама идея появилась ещё в 2023 году. Большая часть времени ушла на повышение надёжности механических компонентов.

Источник изображения: Cloudflare

По словам представителя Cloudflare, компании не удалось приобрести достаточного количества генераторов волн необходимого размера на eBay и из других источников. В результате она договорилась о партнёрстве с американской Hughes Wave Motion Machines для создания собственного оборудования.

Источник изображения: Cloudflare

Cloudflare уже известна тем, что использует стену из 100 лавовых ламп в штаб-квартире в Сан-Франциско для получения истинно случайных чисел. Стену точно так же непрерывно снимает камера, оцифровывающая перемещение потоков жидкости в лампах. В Лондоне применяется массив двойных маятников, тени от которых в разных условиях освещения так же фиксируются камерой. В техасском офисе компания использует коллекцию подвесных полупрозрачных элементов (мобили), отбрасывающих тени на стены — потоки воздуха, освещение и прочие факторы создают требуемый хаос. А в Сингапуре компания и вовсе задействовала счётчик частиц, «наблюдающий» за естественным распадом урана.

ГК «Аквариус» совместно с разработчиками «Аладдин» и «Актив» интегрирует крипточипы в свои устройства на аппаратном уровне. Это решение позволит российским предприятиям повысить безопасность своей ИТ-инфраструктуры без дополнительных программных доработок. Разработанные чипы безопасности обеспечивают хранение криптографических ключей, а также поддерживают критически важные процессы: аутентификацию доверенных устройств, безопасную загрузку ПО и защиту каналов передачи данных.

Модули безопасности могут быть эффективно использованы при создании доверенных изделий для КИИ-отраслей: промышленности, энергетики, медицины и финансового сектора. Пока проект находится на стадии пилота, по его завершению будет запущено серийное производство.

Как отмечают в «Аквариусе», в отрасли все больше внимания уделяется вопросам аппаратной безопасности. Предстоящие изменения в регуляторной базе подтверждают необходимость интеграции чипов безопасности в устройства. До 1 января 2025 года на объектах КИИ должен быть завершен процесс импортозамещения всего ПО и программно-аппаратных комплексов (ПАК).

Источник изображения: «Актив»

Согласно данным ФСТЭК России, около 47 % из 170 российских организаций критической информационной инфраструктуры (КИИ), защита от киберугроз находится в критическом состоянии. Лишь у 13 % из них установлен минимальный базовый уровень защиты, а у около 40 % он относится к низким. В числе типовых недостатков в защите КИИ представитель ФСТЭК назвал отсутствие двухфакторной аутентификации и критические уязвимости на периметре IT-инфраструктур.

Т-банк, по сообщению газеты «Ведомости», первым из крупных российских банков отказался от использования технологического центра сертификации (Certification Authority, СА) корпорации Microsoft. Вместо него внедрено отечественное решение, разработанное российской компанией Safetech.

О том, что в России рассматривается возможность импортозамещения центра сертификации Microsoft для банков, сообщалось в сентябре 2024 года. СА выдает сертификаты для Windows, которые служат для подтверждения подлинности ПО или веб-сайта. Без таких сертификатов работа банка может быть заблокирована, поскольку они используются как при общении с клиентами (мобильный банк, дистанционное банковское обслуживание, банкоматы и т. д.), так и при операциях внутри банка. Кроме того, CA применяется для безопасного соединения (HTTPS) на сайтах.

Т-банк выбрал альтернативный продукт — SafeTech CA. На сайте разработчика говорится, что это решение способно не только полностью заменить Microsoft CA, но и значительно оптимизировать процессы выпуска и управления жизненным циклом сертификатов, сделав их более удобными и эффективными. Благодаря механизму импорта шаблонов и сертификатов из Microsoft CA возможно осуществление бесшовной миграции на российскую платформу. Реализована поддержка протоколов MS Enrollment и SCEP, благодаря чему выпускать сертификаты можно для самого разного сетевого оборудования и различных устройств под управлением Windows, Linux, macOS, iOS и пр. Упомянута возможность работы с сертификатами не только на базе зарубежных, но и российских ГОСТ-криптоалгоритмов.

Источник изображения: unsplash.com / FlyD

О стоимости проекта по переходу на платформу SafeTech CA в Т-банке умалчивают. При этом вице-президент и технический директор кредитной организации подчеркнул, что «замена зарубежных компонентов инфраструктуры на отечественные средства защиты информации является приоритетной для банка».

Не исключено, что корпорация Microsoft, закрывшая пользователям из РФ доступ к ряду облачных сервисов Azure и иных продуктов, может так же поступить в отношении своих Центров сертификации (Certification Authority, CA), выдающих сертификаты для ОС Windows. Без таких сертификатов работа банка может быть заблокирована, поскольку они используются как при общении с клиентами (мобильный банк, ДБО, банкоматы и т. д.), так и при операциях внутри банка, пишет «Коммерсантъ».

Источник изображения: Towfiqu barbhuiya / Unsplash

Российские производители ПО уже подготовили для банков удостоверяющие центры (УЦ), которые смогут выпускать сертификаты для работы с различными ОС, прежде всего Windows и Linux. В частности, компания SafeTech сообщила о завершении пилотного проекта по установке в одном из российских банков нового УЦ. Аналогичное предложение создала для российских банков компания Aladdin Enterprise. В SafeTech отметили, что их продукт может работать параллельно с Microsoft CA, постепенно его заменяя. Интерес к подобным продуктам проявляют не только банки, но и другие игроки финансового сектора.

Напомним, что с 1 января 2025 года системно значимые кредитные организации (СЗКО) обязаны перейти на отечественные сертификаты. Продолжать работу с Microsoft CA можно, но всё равно придётся искать замену, поскольку не у всех есть бессрочная лицензия. Кроме того, как отмечают эксперты, банковское дело имеет свою специфику, связанную с необходимостью выпуска сертификатов для разных типов оборудования и под управлением разных ОС. А без наличия официальной поддержки со временем могут возникнуть проблемы.

Предлагающий чипы для аппаратного ускорения криптографических операций стартап Fabric Cryptography Inc. в ходе раунда финансирования A сумел привлечь $33 млн для поддержки дальнейшей разработки своих продуктов. По данным Silicon Angle, общий объём внешнего финансирования достиг $39 млн. Ведущими инвесторами стали Blockchain Capital и 1kx, свой вклад сделали и криптовалютные компании Offchain Labs, Polygon и Matter Labs.

Основным продуктом компании является SoC Verifiable Processing Unit (VPU), специально созданный для обработки криптографических алгоритмов. На обработку таких алгоритмов требуется немало вычислительных ресурсов при (де-)шифровании больших массивов данных. Вендор заявляет, что VPU могут более эффективно использовать криптографическое ПО, чем традиционные процессоры, снижая эксплуатационные расходы.

На рынке уже имеются многочисленные чипы для криптографических задач. Однако многие из них оптимизированы лишь для определённого набора криптографических алгоритмов. Fabric Cryptography наделила VPU набором команд (ISA), оптимизированных именно для операций, применяемых при шифровании и хешировании. Это позволяет перепрограммировать VPU для новых алгоритмов.

Источник изображений: Fabric Cryptography

VPU включает RISC-V ядра, векторные блоки, быстрый неблокирующий интерконнект и унифицированную память неназванного типа. Чип FC 1000 включает один VPU. PCIe-карта VPU 8060 включает три чипа FC 1000 и 30 Гбайт памяти с пропускной способностью около 1 Тбайт/с. Сервер Byte Smasher включает до восьми VPU 8060 и обеспечивает производительность более 1 Тбайт/с на задачах хеширования.

Первым целевым примером использования VPU является ускорение алгоритмов ZKP (Zero-knowledge proof, доказательство с нулевым разглашением), которые применяются некоторыми блокчейн-платформами. В Fabric Cryptography рассказали, что получили предварительные заказы на VPU на десятки миллионов долларов именно от клиентов, рассчитывающих на выполнение ZKP-задач.

Fabric Cryptography намерена использовать полученные инвестиции на разработку новой, более производительной версии ускорителя и найм разработчиков ПО. Сейчас в компании работают более 60 инженеров, перешедших из AMD, Apple, Galois, Intel, NVIDIA и т.д. В комплекте с чипами компания предлагает компилятор и несколько связанных инструментов, которые упрощают внедрение приложений, использующих VPU.

IBM представила набор инструментов IBM Quantum Safe, который позволяет внедрить комплексное сквозное шифрование, способное противостоять атакам с использованием квантовых компьютеров. По словам IBM, новые технологии были разработаны для подготовки компаний к «постквантовой эре», когда традиционные алгоритмы вряд ли смогут обеспечит безопасность бизнеса.

В состав IBM Quantum Safe входят:

• IBM Quantum Safe Explorer, предназначенный для сканирования исходных кодов и объектов с целью обнаружения криптографических активов, зависимостей, уязвимостей, а также создания криптографической спецификации CBOM (Cryptography Bill of Materials). Это позволит централизованно выявлять и исследовать потенциальные риски.
• IBM Quantum Safe Advisor для изучения всего криптографического инвентаря с целью анализа, ликвидации возможных последствий и приоритизации рисков.
• IBM Quantum Safe Remediator, который позволит организациям развёртывать и тестировать по шаблонам исправления для защиты от возможных атак, чтобы оценить возможное влияние на все системы и активы при подготовке к развёртыванию квантово-безопасных решений.

Источник изображений: IBM

IBM также представила свой план IBM Quantum Safe Roadmap, чтобы помочь клиентам во время перехода к новым нормам безопасности. Это первый план IBM, где обозначены технологические вехи на пути к всё более совершенным квантово-безопасным технологиям, которые помогут компаниям соответствовать ожидаемым криптографическим стандартам и требованиям и защитить системы от уязвимостей.

План состоит из трех ключевых действий:

• Обнаружение: выявление мест использования криптографии, анализ зависимостей и создание CBOM.
• Наблюдение: анализ состояния криптографических уязвимостей и расстановка приоритетов по исправлению в зависимости от рисков.
• Преобразование: устранение уязвимостей, в том числе автоматизированное.