Svájci kutatók egy érdekes tanulmányt publikáltak a napokban a weben elérhető nyilvános kulcsok jóságáról. Az eredmények alapján elmondható, hogy átlagosan ezerből két RSA kulcs gyenge valamilyen szempontból. Mivel ehhez képest a DSA (hagyományos és elliptikus görbéken…

Az Electronic Frontier Foundation jelentése szerint június óta legalább négy CA-nál észleltek jogosulatlan tanúsítvány-kibocsátást - ehhez képest a nagyérdemű egy ilyen esetről, a DigiNotar-éról hallhatott (volt még egy Comodo is, de az június előtti eset). Az eredmények az SSL…

Tibor Jager és Somorovsky Juraj olyan problémát demontráltak a World Wide Web Consortium által szabványosított XML titkosítási eljárásával kapcsolatban, amely lehetővé teszi a titkosított üzenetek kulcs nélkül történő megfejtését. Ugyan a kutatási anyag egyelőre nem érhető…

Sajnos úgy érzem, nem lehet tovább halogatni, hogy a Julian Rizzo és Thai Duong által helyi idő szerint pénteken, az argentín Ekoparty konferencián prezentált SSL/TLS támadásról írjak, annak ellenére, hogy még mindig nem tudni pontosan, mit is hozott össze a két kutató. Minden…

Egy 1998-ban bekerült hibát javított az OpenWall projekt a népszerű John the Ripper jelszótörőben. Mint kiderült a probléma más alkalmazásokat is érinthet, a nyílt-forrású implementáció ugyanis helytelenül kezeli a 8-bites karaktereket, előjelbitként értelmezve az MSB-t.Ennek…

Ebben a posztban megpróbálom öszefoglalni a méltán elhíresült "Padding Oracle Attack" lényegét, ami bizonyára nem kevés álmatlan éjszakát okozott néhány programozónak és egy rakás üzemeltetőnek. Matekozni fogunk, szóval igyatok egy kávét vagy ilyesmi! A…

 Nem sokon múlt, de sikerült túlélni a Hacktivity-t, az utóbbi 3 napban viszont még e-mailt nézegetni sem volt időm, így a posztok is elmaradtak, pedig lett volna miről írni. Szerencsére Balássy György a saját blogjában már megírta az utóbbi napok egyik legnagyobb…

A Kerberos protokoll mindig is a kedvenceim közé tartozott, így külön örömömre szolgál, hogy a velencei Ca'Foscari Egyetem kutatói hibát találtak a windowsos megvalósítás helyi bejelentkeztetést végző változatában, így bemutathatom magát a protokollt, valamint a vele…

 Index:Feltörték a Skype-beszélgetések adatfolyamait titkosító RC4 algoritmust kriptográfiai szakértők – jelentették be a titkosításokkal foglalkozó Enrupt portálon (az oldal azóta összeomlott a kíváncsi olvasók rohama alatt, a bejelentés Google…

A napokban jelent meg egy tanulmány, amely egy az RSA algoritumus megvalósításaival kapcsolatos támadást részletez. Egyelőre nem sikerült átrágnom magam a doksin, de máris kezdenek megjelenni a félreérthető cikkek (kösz a linket Támas!), szóval tisztázzunk néhány dolgot (ahogy…

echo 'keysym XF86Back=Backspace' > ~/.Xmodmap# A lelki békém érdekében...Akik közelebbről ismernek tudják, hogy - bár nem vagyok kellően okos hozzá - a kriptográfia a szívem csücske, a mostani MS frissítés pedig egy remek kriptográfiai témájú sebezhetőséget is napvilágra…

A német SySS GmbH munkatársai több, NIST 140-2 Level 2 minősítéssel rendelkező pendrive-ot érintő problémát tettek közzé, amely lehetőséget biztosít az eszközökön tárolt titkosított adatok visszaállítására. A fenti minősítéssel rendelkező adathordozókat alkalmazzák az…

Azt mondja az Index:A katonai szintű titkosító technológiákat fejlesztő izraeli cég provokálja a hackereket, és aranyrudakat ajánl annak, aki feltöri az algoritmusát. Az előző versenyükön nem volt győztes.A hírt kb. két hete olvastam valahol, és már akkor is azt gondoltam, hogy…

Egyelőre kommentár nélkül, a most megjelent tanulmány bevezetője: 2008-ban Beck és Tews közzétett egy gyakorlati támadást a WPA ellen. Ez a támadás (melyet Beck-Tews támadásnak neveznek) vissza képes állítani a nyílt szöveget egy titkosított rövid üzenetből, majd…

Új kriptoanalízis eredményeket jelentettek be az AES titkosítási eljárással kapcsoaltban. A támadások 256 bites megvalósítás csökkentett körszámú változataival szemben hatásosak, és igen alacsony lépésszámban képesek visszaállítani az eredeti kulcsokat. Az AES-256 szabvány…

Ausztrál kutatók egy 2^52 lépésszámú, ütközéses SHA-1 támadás részleteit tették közzé. A módszer lehetővé teszi, hogy két azonos lenyomattal rendelkező bithalmazt generáljunk. Mindez 268.435.456-szoros javulás a 160 bites lenyomat alapján elvárt, születésnap paradoxonnal…

Mától rendezik meg a Leuveni Katolikus Egyetemen a NIST kriptográfiai hash függvények számára kiírt versenyét. Az esemény során első alkalommal mutatkoznak be a nagy nyilvánosság számára a Secure Hash Algorithm 3 (SHA-3) címre pályázó üzenetpecsét-algoritmusok.A megmérettetés…

Annak idején bejárta a sajtót a Princeton egyetem kutatóinak "felfedezése", melynek segítségével a titkosított partíciók kulcsa kinyerhető volt a kikapcsolt gépek RAM-jából némi folyékony nitrogén vagy fagyasztóspray segítségével.Egy nem rég indult blog nagyjából…

Úgy tűnik, az MD5 valóban végnapjait éli: Didier Stevens megmutatta, hogy Peter Selinger 2007-ben bemutatott, bináris fájlokra is alkalmazható ütköztetési módszerével át lehet verni a Microsoft Authenticode ellenőrző mechanizmusát.Az Authenticode lényegében egy digitális…

Bár a heise-online sokáig kiemelt helyen szerepeltette az AES-el reklámozott, de valójában primitív XOR-t használó merevlemezekről szóló cikkét, úgy tűnik még mindig vannak olyan gyártók, akik a silány minőségű Innmax 7206-os vezérlőt építik be biztonságosnak szánt…

Megérkezett a válasz az Adobe-tól az ElcomSoft közleményére, mely szerint az Acrobat 9 jelszavait százszor könnyebb feltörni, mint az előző változatokét. A cég elismerte, hogy az új verzióban használt AES-256 algoritmus megvalósítása gyorsabb a régebbi, AES-128-asénál, ez…

A GPU-n gyorsított "jelszóvisszaállító" megoldásairól híres ElcomSoft bejelentése szerint olyan hibát találtak az Adobe Acrobat legújabb, 9-es verziójának jelszavas védelmében, melyet kihasználva akár százszor gyorsabban feltörhetők a PDF dokumentumok védelmét…

Azt hiszem ennek is jár egy poszt, HUP-on van tovább:Tegnapelőtt este napvilágot látott az idei 11. FreeBSD biztonsági figyelmeztetés. Ezúttal a kernelbeli arc4random nevű rutin inicializálási problémája borzolja a kedélyeket. A hiba minden támogatott FreeBSD-verzió kernelében…

Nagy-Britannia Nemzeti infrastruktúravédelmi Központjának kutatói egy nehezen kihasználható hibát fedeztek fel az SSH protokollban, amely lehetővé teszi a kommunikáció egyes részeinek megfejtését.Még mielőtt valaki pánikba esne: a probléma kizárólag a cipher-block-chaining (CBC)…

 A múlt héten beharangozott, WPA támadásról szóló leírás ma végre megjelent. A bevezető:Ez a leírás két támadást mutat be az IEEE 802.11-es szabványt követő vezeték nélküli LAN-ok ellen. Az első támadás egy továbbfejlesztett, kulcs-visszaállításra alkalmas módszer…