Tag: kryptografia

Nowoczesne procesory mają wbudowane mechanizmy pozwalające na optymalizację wydajności. Niektóre z funkcji optymalizacyjnych opierają się na wykorzystaniu dodatkowej, niewielkiej ale szybkiej pamięci cache, która w przypadku prawidłowego przewidzenia wykonania programu, znacznie obniża czas oczekiwania na dane pobierane z wolniejszych nośników. Przewidywać można nie tylko fragmenty pamięci, które mogą być zaraz…

W świecie IT pojawiła się powszechna praktyka, w której kryptografia jest opracowywana przez grupę badaczy posiadających silne zaplecze matematyczne, podczas gdy programiści wdrażają gotowe rozwiązania i zapewniają, że są one aktualne i spełniają najlepsze praktyki bezpieczeństwa. Biorąc to pod uwagę i dodając fakt, że testowanie aplikacji desktopowych jest często przeprowadzane…

Ciekawostka w formie 50-centówki: 50 000 sztuk monet zostało wypuszczonych z okazji 75-lecia agencji ASD, zajmującej się m.in cyberbezpieczeństwem na potrzeby rządu/wywiadu. Jest to też przy okazji ciekawa kampania rekrutacyjna do służb: ~ms

Niby dużo osób wie że RSA-512 (chodzi o 512 bitów) już dawno temu został złamany, a chyba najlepszym publicznym wynikiem jest złamanie RSA-829. Gadu, gadu, ale jak konkretnie na podstawie tylko klucza publicznego odzyskać klucz prywatny? Jakich narzędzi użyć? Poradnik krok po kroku dostępny jest tutaj. Autor zaczyna po prostu…

O tutaj. Prosty serwis umożliwia prześledzenie hashowania przykładowego ciągu krok po kroku, w wybranym przez siebie tempie. Całość oczywiście zawiera stosowne objaśnienia: Przyznam szczerze, że ten króciutki wpis, powstał również po to, aby mieć pretekst o zapytanie Was o inne tego typu interaktywne, edukacyjne serwisy. Niekoniecznie związane z ITsecurity. Podrzucicie…

Ciekawym opisem podzielił się zespół badaczy, który zaprezentował słabości klucza służącego do generowania certyfikatów COVID w postaci kodów QR w Wietnamie. Wykorzystując tę podatność, można było samodzielnie utworzyć certyfikat. Sam kod takiego dokumentu zawiera dość ciekawe dane, np.: typ pojazdu, numer rejestracyjny, liczba foteli, ID obywatela czy okres ważności certyfikatu. …

Kto chce miło spędzić całe popołudnie – zapraszam tutaj (“SHA-1 is a Shambles. First Chosen-Prefix Collision on SHA-1 and Application to the PGP Web of Trust”). Kto chce mieć esencję z cytowanego badania, niech czyta dalej ;) O kolizjach w SHA-1 pisaliśmy już w 2017 roku (dość mocne wyniki zaprezentował Google, choć wymagało…

Informacje o projekcie mamy tutaj, gdzie czytamy m.in.: Przewiduje się, że projektowany system powinien pozwalać na przełamywanie haseł opartych m.in. o MD4, MD5, SHA1, SHA-224, SHA-256, SHA384, SHA-512, SHA-3 (Keccak), NetNTLMv1, NetNTLMv1+ESS, NetNTLMv2, sha256crypt, sha512crypt a także próbę przełamania zabezpieczeń programów m.in, office 2007,2010,2013, PDF, KeePass, 7-zip, Rar oraz powszechnie stosowanych…

W poprzedniej części poznaliśmy teoretyczne przesłanki, na które należy zwrócić uwagę podczas przygotowania się do wdrożenia mechanizmów szyfrowania SSL/TLS. W tej części postaramy się skupić na konfiguracji, która gwarantuje nam poprawne prezentowanie odwiedzającym naszą stronę stosowanych zabezpieczeń i szyfrów kryptograficznych.

Kolizje funkcji hashującej to zazwyczaj koszmar kryptografów – a  szczególnie dotknięty jest w tym przypadku podpis cyfrowy. Podpis, jak pewnie wiecie, zazwyczaj jest dość krótki (nawet dużego, wielomegabajtowego dokumentu). Dlaczego? Bo robiony jest najczęściej nie z całego dokumentu, tylko np. tak: signature = RSA_SIG(SHA-1(dokument)). Co zatem jeśli znajdę dwa różne dokumenty o…

Trzecia i ostatnia część z serii o deserializacji w Javie i problemów za tym idących. Tym razem dowiemy się jakie mamy strategie zabezpieczenia się przed atakami.

Jakiś czas temu pisaliśmy o podatności Rowhammer, ale wiele badaczy stwierdziło że ataku się nie da przeprowadzić w kontrolowany  sposób w praktyce. Okazuje się jednak, że praktyczne ataki tego typu jak najbardziej są możliwe i wykorzystuje też opisywany przez nas swego czasu atak kryptograficzny Bit-Flipping: We introduce Flip Feng Shui (FFS), a…

Bit-Flipping jest popularnym atakiem na blokowe algorytmy szyfrowania w trybie CBC (ang. Cipher Block Chaining), wiązania bloków zaszyfrowanych. W wielu przypadkach prowadzi do przejęcia kont innych użytkowników (często administracyjnych), a w skrajnych przypadkach – nawet do zdalnego wykonywania kodu.

Jeśli komunikacja jest szyfrowana za pomocą algorytmu AES-256 (ze złożonym kluczem) – to nie da się jej zdeszyfrować, prawda? No niekoniecznie, jak pokazaliśmy w ostatnim tekście na sekuraku, atak Padding Oracle umożliwia deszyfrację takiego ruchu, a w artykule Breaking Steam Client Cryptografy, pokazano jak taki atak wykonać na konkretnej implementacji. –ms

Szczególnie przydatne jeśli chcecie sprawdzić czy bez bólu można odszyfrować Wasze dane: –ms