Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: kryptografia

GoFetch – atak typu side channel na procesory od Apple

29 marca 2024, 11:18 | W biegu | 1 komentarz
GoFetch – atak typu side channel na procesory od Apple

Nowoczesne procesory mają wbudowane mechanizmy pozwalające na optymalizację wydajności. Niektóre z funkcji optymalizacyjnych opierają się na wykorzystaniu dodatkowej, niewielkiej ale szybkiej pamięci cache, która w przypadku prawidłowego przewidzenia wykonania programu, znacznie obniża czas oczekiwania na dane pobierane z wolniejszych nośników. Przewidywać można nie tylko fragmenty pamięci, które mogą być zaraz…

Czytaj dalej »

Dlaczego nie powinieneś tworzyć własnej kryptografii – prawdziwy przypadek z testów penetracyjnych.

26 września 2023, 12:19 | Teksty | komentarzy 10
Dlaczego nie powinieneś tworzyć własnej kryptografii – prawdziwy przypadek z testów penetracyjnych.

W świecie IT pojawiła się powszechna praktyka, w której kryptografia jest opracowywana przez grupę badaczy posiadających silne zaplecze matematyczne, podczas gdy programiści wdrażają gotowe rozwiązania i zapewniają, że są one aktualne i spełniają najlepsze praktyki bezpieczeństwa. Biorąc to pod uwagę i dodając fakt, że testowanie aplikacji desktopowych jest często przeprowadzane…

Czytaj dalej »

Odzyskanie klucza prywatnego do RSA-512. Klucz publiczny + 4 dni + ten poradnik = klucz prywatny.

11 lutego 2022, 13:39 | W biegu | komentarzy 8
Odzyskanie klucza prywatnego do RSA-512. Klucz publiczny + 4 dni + ten poradnik = klucz prywatny.

Niby dużo osób wie że RSA-512 (chodzi o 512 bitów) już dawno temu został złamany, a chyba najlepszym publicznym wynikiem jest złamanie RSA-829. Gadu, gadu, ale jak konkretnie na podstawie tylko klucza publicznego odzyskać klucz prywatny? Jakich narzędzi użyć? Poradnik krok po kroku dostępny jest tutaj. Autor zaczyna po prostu…

Czytaj dalej »

Działanie algorytmu sha256 wyjaśnione krok po kroku

08 lutego 2022, 09:58 | W biegu | komentarzy 16
Działanie algorytmu sha256 wyjaśnione krok po kroku

O tutaj. Prosty serwis umożliwia prześledzenie hashowania przykładowego ciągu krok po kroku, w wybranym przez siebie tempie. Całość oczywiście zawiera stosowne objaśnienia: Przyznam szczerze, że ten króciutki wpis, powstał również po to, aby mieć pretekst o zapytanie Was o inne tego typu interaktywne, edukacyjne serwisy. Niekoniecznie związane z ITsecurity. Podrzucicie…

Czytaj dalej »

Fałszowanie certyfikatów COVID w Wietnamie. Czyli kryptografia używana na kolanie ;)

14 grudnia 2021, 14:30 | W biegu | komentarzy 6
Fałszowanie certyfikatów COVID w Wietnamie. Czyli kryptografia używana na kolanie ;)

Ciekawym opisem podzielił się zespół badaczy, który zaprezentował słabości klucza służącego do generowania certyfikatów COVID w postaci kodów QR w Wietnamie. Wykorzystując tę podatność, można było samodzielnie utworzyć certyfikat. Sam kod takiego dokumentu zawiera dość ciekawe dane, np.: typ pojazdu, numer rejestracyjny, liczba foteli, ID obywatela czy okres ważności certyfikatu. …

Czytaj dalej »

cybercrypt@gov – polska policja rozpisuje przetarg na narzędzie do łamania zabezpieczeń kryptograficznych. A my mamy do niego dokumentację ;-)

20 lipca 2018, 18:32 | W biegu | komentarzy 5

Informacje o projekcie mamy tutaj, gdzie czytamy m.in.: Przewiduje się, że projektowany system powinien pozwalać na przełamywanie haseł opartych m.in. o MD4, MD5, SHA1, SHA-224, SHA-256, SHA384, SHA-512, SHA-3 (Keccak), NetNTLMv1, NetNTLMv1+ESS, NetNTLMv2, sha256crypt, sha512crypt a także próbę przełamania zabezpieczeń programów m.in, office 2007,2010,2013, PDF, KeePass, 7-zip, Rar oraz powszechnie stosowanych…

Czytaj dalej »

Kilka słów o wdrożeniu SSL i TLS – cz. II

29 marca 2017, 19:11 | Teksty | komentarzy 7
Kilka słów o wdrożeniu SSL i TLS – cz. II

W poprzedniej części poznaliśmy teoretyczne przesłanki, na które należy zwrócić uwagę podczas przygotowania się do wdrożenia mechanizmów szyfrowania SSL/TLS. W tej części postaramy się skupić na konfiguracji, która gwarantuje nam poprawne prezentowanie odwiedzającym naszą stronę stosowanych zabezpieczeń i szyfrów kryptograficznych.

Czytaj dalej »

Google pokazuje kolizję na SHA-1. Wielki zderzacz SHA-1 wykonał 9 trylionów obliczeń…

23 lutego 2017, 18:19 | Aktualności | komentarzy 12
Google pokazuje kolizję na SHA-1. Wielki zderzacz SHA-1 wykonał 9 trylionów obliczeń…

Kolizje funkcji hashującej to zazwyczaj koszmar kryptografów – a  szczególnie dotknięty jest w tym przypadku podpis cyfrowy. Podpis, jak pewnie wiecie, zazwyczaj jest dość krótki (nawet dużego, wielomegabajtowego dokumentu). Dlaczego? Bo robiony jest najczęściej nie z całego dokumentu, tylko np. tak: signature = RSA_SIG(SHA-1(dokument)). Co zatem jeśli znajdę dwa różne dokumenty o…

Czytaj dalej »

Koszmar wirtualizacji – pokazano praktyczny atak umożliwiający zmianę bitów pamięci pomiędzy VMs

01 września 2016, 15:06 | W biegu | 1 komentarz

Jakiś czas temu pisaliśmy o podatności Rowhammer, ale wiele badaczy stwierdziło że ataku się nie da przeprowadzić w kontrolowany  sposób w praktyce. Okazuje się jednak, że praktyczne ataki tego typu jak najbardziej są możliwe i wykorzystuje też opisywany przez nas swego czasu atak kryptograficzny Bit-Flipping: We introduce Flip Feng Shui (FFS), a…

Czytaj dalej »

Poczytali sekuraka i złamali AES-256 w popularnej platformie dla graczy – Steam

01 maja 2016, 07:53 | W biegu | komentarze 2

Jeśli komunikacja jest szyfrowana za pomocą algorytmu AES-256 (ze złożonym kluczem) – to nie da się jej zdeszyfrować, prawda? No niekoniecznie, jak pokazaliśmy w ostatnim tekście na sekuraku, atak Padding Oracle umożliwia deszyfrację takiego ruchu, a w artykule Breaking Steam Client Cryptografy, pokazano jak taki atak wykonać na konkretnej implementacji. –ms

Czytaj dalej »