Ahogy az várható volt, az RSA körüli "vihar" gyorsan elcsendesült. Az RSA Conference rendben lezajlott, a szakma láthatóan könnyen túllépett azon, ha a világ egyik legnagyobb biztonsági cége lefekszik az NSA-nek - egy kis ingyen pia kérdése volt az egész. Szerencsére azért nem…

A kriptográfiát fejlesztői, tesztelői, kódelemzői szemmel nézve fontos ismerni azokat az ökölszabályokat, amelyek alapján a függvényeket biztonságosan meg lehet hívni, a jó prímeket ki lehet választani. Pontosan ezen ökölszabályok kerülnek bemutatásra az RSA algoritmus esetén…

A Reuters Snowden dokumentumokra hivatkozva arról számolt be, hogy az NSA 10 millió dollárt fizetett a jelenleg az EMC részeként működő RSA Security társaságnak, hogy azok Bsafe nevű kriptográfiai könyvtárában a minden bizonnyal hátsó kaput tartalmazó Dual_EC_DRBG…

A nap agyolvasztó kutatása: a GnuPG által használt RSA kulcsok megszerezhetők, ha a támadó meghallgatja (szó szerint: mikrofonnal) egy meghatározott kriptoszövegeket éppen fejtő gép hangját. A számítógépek feszültségszabályzójának elektronikus alkatrészei rezegnek, ami nem…

Áron bácsi felvetésére belevágtunk egy új rendezvénysorozatba, melynek célja, hogy a snowden-i szivárogtatások fényében újra felmérjük, megismerjük a rendelkezésre álló kriptogtráfiai módszereket; számba vegyük a rendelkezésre álló eszközöket, szükség esetén…

Update: The english counterpart of this post by synapse can be found here. Az utóbbi napokban több ismerős is belefutott a MySecureZone nevű, katonai szintű e-mail titkosítást ígérő IndieGoGo kampányba, ami nem érdemelne külön posztot, ha nem honfitársaink (akik 10 másodperc alatt…

Első sorban kódelemzések alkalmával előforduló tipikus probléma, hogy különböző kriptográfiai funkciók - legyen szó akár egyszer használatos jelszavakról, munkamenet-azonosítókról vagy ne adj' isten kulcsgenerálásról - ellátására a programozók nem kriptográfiailag…

A lehallgatási botrány árnyékában kisebb pánikot okozott, mikor kiderült, hogy az Android fejlesztőknek szánt API-ja a 2.3-as verziótól kezdve a hírhetden gyenge RC4-MD5 algoritmus-kombinációt részesíti előnyben SSL kapcsolatok kiépítésekor. Ez azt jelenti, hogy az API-t naívan…

A legújabb hírek az NSA-el kapcsolatban sajnos még mindig nagyon kevés konkrétumot tartalmaznak (ideje lenne, hogy valaki végre tényleg kiszivárogtassa a kiszivárgott dokumentumokat...), de talán egy lépéssel közelebb visznek a megfejtéshez NSA és a TLS viszonyában. A legutóbbi, a…

Az NSA-féle lehallgatási botrány még mindig pörög, a média (nagyon helyesen) nem hajlandó ejteni a témát, és Snowden anyagai még bőven tartogatnak izgalmakat az egyszeri nethasználó számára. A kiszivárgott dokumentumok azonban koránt sem tartalmaznak minden részletet az NSA vagy…

A nagyjából 1 millió forintos BitCoin lenyúlást követően először ismerte el Google alkalmazott az Android kriptográfiailag biztonságos véletlengenerátorának (CSPRNG) hibáját. Alex Klyubin blogposztjában kifejti, hogy az Android SecureRandom implementációja ugyan a jó…

A BitCoin.com-on megjelent figyelmeztető szerint az Android biztonságos véletlengenerátorának hibája miatt elcsenhető a készülékeken generált címekről azok tartalma. A HackerNews kommentelői szerint - és ezt a BitCoin Talk fórumbejegyzései is alátámasztják - a problémát az…

Elkezdődött a BlackHat, és bár a politika idén talán kissé hangsúlyosabb a rendezvényen a szokásosnál, azért ebben az évben is megkapjuk a már jól megszokott TLS támadásunkat, melyet ezúttal BREACH névvel illetnek. A módszer lényegében a CRIME újragondolása, vagy talán azt…

A napokban elég rendes sajtóvisszhangja volt a Bluebox bejelentésének, mely szerint egy 900 millió Android készüléket érintő sérülékenységet készülnek demózni a vegasi Black Hat konferencián. Az ilyen bejelentésekkel az a baj, hogy ugyan semmilyen konkrétumot nem tartalmaznak, de…

A PRISM botrány kapcsán ismét sorra születnek az átlagemberek számára elérhető titkosítási lehetőségeket bemutató cikkek és blogposztok, melyek szinte állandó szereplője a Cryptocat csevegőalkalmazás. Be kell vallanom, hogy az ilyen cikkekkel kapcsolatban erősek az…

A CrySys labor idén is csapatot szervezett a 2013-as iCTF versenyre, ami a Santa Barbarai Egyetem éves Capture the Flag játéka. A kihívásból én is kivettem a részem, az alábbiakban a Pesticides pálya (vélt) megoldása következik (nem mindenre emlékszem 100%-ig az esetleges…

Rég volt szó minden online tranzakciók védőszentjéről, a TLS-ről, pedig történt pár dolog az elmúlt hónapokban - ezer bocs, mostanában viszonylag kevés időm/energiám van kriptó pépöröket értelmezni. Mindenek előtt egy kis múltidézés: Kb. másfél éve jött ki Rizzo-Duong…

Az amerikai National Institute of Standards and Technology hat év után kiválasztotta a legújabb hivatalos kriptográfiai üzenetpecsét-szabvány, az SHA-3 algoritmusát. Az új szabvány kiválasztására indított nyílt pályázatra összesen 64 beadvány érkezett, melyek közül az utolsó…

A jelszó hash-elés a kriptográfiának az a területe, amivel az átleg programozó a legtöbbször találkozik munkája során. Sajnos azonban a kriptográfia nem egyszerű tudomány, elég csak végignéznünk az elmúlt évek adatszivárgási botrányait, hogy lássuk: még mindig a sótlan MD5…

A BlackHat után lement a DefCon is, melynek egyik legnagyobb hatású előadását Moxie Marlinspike és és David Hulton tartották a PPTP VPN-ekhez és a vállalati szintű WPA2 infrastruktúrák kiépítéséhez előszeretettel használt MS-CHAPv2 protokoll gyengeségeiről. Az MS-CHAPv2…

Megjelent egy érdekes írás Nick Falkvinge jóvoltából a brit törvénykezés egy figyelemre méltó szeletéről. A kifogásolt paragrafus lényege az, hogy ha van valamilyen titkosított adat, amit a hatóságok látni akarnak, akkor nem csak azért lehet börtönbe kerülni, ha az ember nem…

Ha az "RSA" és a "feltörés" kifejezések egy mondatban szerepelnek, az általában masszív hírfolyamot generál, nem történt ez másként a Project-Team Prosecco legújabb, hardver tokeneket és biztonsági kártyákat vizsgáló kutatásának esetében sem. Az persze általában kimarad az…

Hajnalban robbant a hír, hogy a sKyKWper/Flamer kártevő microsoftos aláírást használ egyes komponensei megbízhatóságának igazolásához. Az SRD posztja szerint minderre a Terminal Server Licencing Service gyengesége miatt volt lehetőség, ami gyenge kriptográfiai algoritmust (tipp:…

A Diablo III megjelenésével ismét csúcsra lettek járatva a Blizzard szerverei, melynek eredményeként néhány hibára is fény derült. Ehhez a képernyőképhez nincs sok mindent hozzáfűzni azon kívül, hogy remélhetőleg kamu: (via @lo0_ro) A másik érdekesség, hogy a Battle.net…

Kepten megoldotta a Hackito Ergo Sum idei első kriptó feladványát, és arra is vette a fáradtságot, hogy készítsen belőle egy szép összefoglalót. Fogadjátok szeretettel! Ha kedvet kaptatok, már neki lehet esni a második szintnek is. Kellemes egghuntingot mindenkinek! :)