TrueCrypt skončil, co bude dál?

Vývoj oblíbeného šifrovacího nástroje TrueCrypt sice po deseti letech oficiálně skončil, ale můžete ho přesto normálně používat dál stejně jako Windows XP.

Dne 28. 5. 2014 se na webu projektu TrueCrypt, což je i stejnojmenný název pro SW umožňující vytvářet šifrované oddíly a disky, objevila zpráva, že projekt končí, a že je doporučeno přejít na BitLocker, který je součástí operačního systému Microsoft Windows, a to včetně poměrně detailního návodu, jak to udělat.

Štítky:
celý článek

OpenSSL obsahuje kritickou zranitelnost Heartbleed

Byla objevena kritická zranitelnost v OpenSSL, v ohrožení jsou všichni uživatelé internetu.

Společnost Codenomicon objevila kritickou zranitelnost v OpenSSL heartbeat reguestu (odtud chyba krvácejícího srdce), který slouží k udržování spojení, když se nepřenáší žádná data, vizte RFC 6520. Tato závažná chyba, která se v OpenSSL nachází již dva roky, umožňuje útočníkovi číst obsah paměti serveru, a získat tak např. privátní klíč, který je v jeho paměti uložen.

Štítky:
celý článek

Základy kryptografie pro manažery: PBKDF2

Kryptografická funkce PBKDF2 je ideální pro použití v autentizačním schématu, neboť použitá sůl zabraňuje slovníkovému útoku a stretching zase útoku hrubou silou.

PBKDF2  (Password Based Key Derivation Function) je kryptografická funkce, která generuje klíč (derived key, zkr. DK) o požadované délce (derived key length, zkr. dkLen) z hesla (Password, zkr. P) zadaného uživatelem a soli (salt, zkr. S) libovolné délky a to opakováným voláním (iteration count, zkr. c) pseudonáhodné funce (pseudo random function, zkr. PRF), jejímž výstupem je hash o určité délce (hash length, hLen).

Štítky:
celý článek

Steganografie

Cílem steganografie je předat tajnou zprávu příjemci takovým způsobem, aby nikdo nepojal podezření, že nějaká utajená komunikace mezi dvěma subjekty vůbec probíhá.

To se provede tak, že se tajná zpráva ukryje do jiné informace, kterou může být naprosto nevinný text, obrázek, zvuk nebo video, který se nazývá krycí objekt. Příjemce zprávy musí samozřejmě vědět, jakým způsobem z krycího objektu tajnou zprávu získat. Jedná se samozřejmě o security by obscurity přístup, nicméně, nikde není řečeno, že tajná zpráva nemůže být ještě šifrována.

Štítky: ,
celý článek

Proč tak často dochází k únikům hesel?

V poslední době došlo k několika velkým únikům hashů hesel a k jejich následnému prolomení. Proč k tomu došlo? Dalo se tomu zabránit? Na tyto a další otázky se pokouší odpovědět tento rozhovor.

Většina provozovatelů webů buď spoléhá na to, že uživatelé budou používat bezpečná hesla a nebo jim je to úplně jedno. Pravda je taková, že uživatelé již po několik desítek let používají slabá hesla, která lze snadno uhádnout, a nic nenasvědčuje tomu, že by tomu mělo být do budoucna jinak. Kromě toho nelze očekávat, že by v dohledné době byla hesla zcela nahrazena nějakou jinou autentizační metodou. Musíme se tedy chtě nechtě smířit s tím, že hesla se budou i nadále v rámci autentizace používat a usilovat o minimalizaci rizik s tím spojených.

Štítky: , , ,
celý článek

Je komunikace přes HTTPS bezpečná?

Thai Duong a Juliano Rizzo prohlásili, že jsou schopni pomocí JavaScriptu dešifrovat data mezi uživatelem a serverem přenášená přes HTTPS. Přičemž začlenění takového škodlivého JavaScript kódu do stránky může být provedeno mnoha různými způsoby. Jedním z nich může být ostatně i malvertising, o kterém jsme nedávno psali.

Štítky:
celý článek

Základy kryptografie pro manažery: HMAC

HMAC (Keyed-hash Message Authentication Code) je typ autentizačního kódu zprávy (Message Authentication Code, zkr. MAC) spočteného s použitím hashovací funkce a tajného šifrovacího klíče, který slouží k ověření integrity a autenticity zprávy. Funkce, která se pro výpočet tohoto kódu používá, očekává na svém vstupu sdílené tajemství (secret shared key) a text libovolné délky. Výstupem této funkce je pak kód, který má délku odpovídající použité hashovací funkci.

Štítky:
celý článek

Základy kryptografie pro manažery: certifikační autorita

Certifikační autoritou může být kdokoliv, kdo přijímá žádosti o certifikát, ověřuje, vydává, obnovuje, zneplatňuje a zveřejňuje seznam zneplatněných certifikátů.

Ale ne každý musí takovéto certifikační autoritě (Certification Authority, zkr. CA) důvěřovat. Nejde jen o politiku dané certifikační autority, resp. jak důkladně prověřuje žadatele o certifikát, ale i jakým způsobem chrání svůj soukromý klíč.

Štítky: ,
celý článek

Základy kryptografie pro manažery: elektronický podpis

V tomto příspěvku se dozvíte, co to znamená opatřit dokument nebo zprávu elektronickým podpisem.

Pokud má dojít k podepsání zprávy, obvykle se nepodepisuje celá zpráva, ale pouze její hash. To proto, že při podepisování se používají algoritmy, které jsou výpočetně mnohem náročnější než algoritmy, které používají hashovací funkce, se kterými jste měli možnost se seznámit v prvním díle našeho seriálu.

Štítky: ,
celý článek

Základy kryptografie pro manažery: RSA

Šifra RSA patří v současné době mezi nejpoužívanější a nejoblíbenější asymetrické šifry. V tomto příspěvku se dozvíte, jak tento šifrovací algoritmus funguje.

Verejným kľúčom je dvojica čísel n (modulus), e (verejný exponent). Ako privátny kľúč sa používa dvojica čísel n (modulus) a d (privátny exponent). Voľbu čísel n, e, d si popíšeme v časti Generovanie kľúča. Teraz sa pozrieme na šifrovanie a dešifrovanie v RSA pomocou verejného kľúča (n, e) a privátneho kľúča (n, d). Predpokladajme najskôr, že Bob chce Alici poslať tajné celé číslo m také, že 0≤m<n (číslo m musí byť v tomto rozsahu!).

Štítky: ,
celý článek