Billede: Gustavo Molina, freeimages.com

"Let's Encrypt"-initiativet har nu søsat deres betaprogram, hvilket betyder at det er blevet en del nemmere og billigere for serveradministratorer at anskaffe og installere SSL-certifikater.

Af projektets hjemmeside fremgår flg. fordele:

Ingen validerings-mails, ingen kompliceret redigering af konfiguration, ingen udløbne certifikater der ødelægger websitet og ingen grund til at arrangere betaling, idet Let's Encrypt leverer certifikaterne gratis.

Både Mozilla, Akami Cisco og EFF er blandt projektets sponsorer, og certifikatet er nemt at installere via Apache og Nginx-servere, idet det blot kræver én simpel kommando at få installeret.

Alle de forskellige kommandoer for diverse situationer kan ses på Version 2 - klik på kilden øverst, eller klik her.

Redaktør: jakobdam   |   Indsendt af: thimon   |   4   |   1953

Billede: Davide Mauro, freeimages.com

Den italienske justitsminister Andrea Orlando, har afsløret at den italienske regering agter at bruge EUR 150 millioner på nyt udstyr og teknikker til at monitorere krypterede kommunikationsformer - inklusive Sony PlayStation 4'erens chatprotokol.

Orlando efterlyser desuden et centralt "Bureau of Anti-terrorism" i Europa under EUs autoritet.

Redaktør: jakobdam   |   Indsendt af: thimon   |   2   |   1863

Billede: Jason Morrison, FreeImages.com

En række store firmaer såsom AT&T, Netflix, GoPro, Yahoo! og Macy's er blevet sagsøgt af CryptoPeak Solutions, der ejer US Patent 6202150, der lyder som flg.:

1. A method and apparatus for generating public keys and a proof that the keys were generated by a specific algorithm comprising the steps of:
the user's system generating a random string of bits based on system parameters;
the user running a key generation algorithm to get a secret key and public key using the random string and public parameters;
the user constructing a proof being a string of bits whose public availability does not compromise the secret key and wherein said constructing of said proof requires access to said secret key, but at the same time said proof provides confidence to at least one of a plurality of other entities that said public key was generated properly by the specified algorithm, and wherein said confidence is gained without having access to any portion of said secret key.

Anklageskriftet skriver at firmaerne ved brug af HTTPS/SSL anvender Elliptic curve cryptography. Dog synes det ovenstående krav 1 ikke at omhandle Elliptic curve cryptography. 

CryptoPeak Solutions mener derfor, at alle, som bruger HTTPS/SSL, bryder deres patent. Patentet er oprindeligt blevet ansøgt af Dr. Adam Young og Dr Marcel Yung i 1997 og udstedt i 2001. Patentet udløber i starten af 2017. Det er siden blevet overtaget af CryptoPeak Solutions. 

Det 7 sider lange anklageskrift kan læses her. Ironisk nok fører dette link til en https-destination.

Redaktør: thimon   |   Indsendt af: thimon   |   0   |   1728

Billede: Flavio Takemoto, FreeImages.com

En ekstremt detaljeret 77-siders rapport udført af Fraunhofer Institute for Secure Information Technology, gennemgår detaljeret TrueCrypt sårbarhederne, herunder de 2 tidligere ukendte TrueCrypt-sårbarheder som blev afsløret af Googles Project Zero sikkerhedsteam.

På trods af sårbarhederne konkluderes det at TrueCrypt fortsat er sikker at bruge, så længe man bruger den til at kryptere lagrede data (dvs. modsat hvis man bruger det til at kryptere data i computerens midlertidige hukommelse eller på et mountet drev).

Redaktør: jakobdam   |   Indsendt af: thimon   |   1   |   1850

Billede: wikipedia

I et interview med The Intercept, har Edward Snowden bl.a. udtalt at reklameblokeringssoftware såsom AdBlock Plus, er en pligt at bruge snarere end blot en anbefaling.

Årsagen er ganske enkelt sikkerhed, idet Flash og JavaScript reklamer kan udgøre en sikkerhedstrussel.

Derudover anbefaler han brug af krypterede kommunikationsveje, browseren Tor samt søge kun at besøge websider der benytter HTTPS-protokollen.

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1733

Billede: Google

Google vil over de næste par måneder implementere en ny funktion i Gmail, der advarer brugere om e-mails der har passeret en ukrypteret forbindelse på vej fra afsender til Gmail-serverne.

Årsagen er at selvom flere e-mails til stadighed sendes via krypterede forbindelser, sker det indimellem at nogle har været rundt om en ukrypteret og dermed sårbar forbindelse, hvilket åbner op for at e-mail'en kan være overvåget.

Redaktør: jakobdam   |   Indsendt af: thimon   |   4   |   1688

Billede: Flavio Takemoto, FreeImages.com

Black Hat Europe sikkerhedskonferencen i Amsterdam er i øjeblikket i gang, og her har Daniel Boteanu og Kevvie Fowler fra KPMG Canada demonstreret 3 data recovery metoder mod laptos der benytter selvkrypterende harddiske (SEDs).

Selvkrypterende harddiske udfører kryptering og dekryptering via en dedikeret cryptoprocessor som er en del af drevets controller. Det giver dem en række performancerelaterede fordele ift. softwarebaserede kryptering, der benytter CPU'en.

Sikkerhedsmæssigt set er fordelen at krypteringsnøglen ikke gemmes i OS'ets hukommelse, men på selve disken, hvilket gør den mindre sårbar overfor tyveri. Men visse angreb der bruges mod softwarebaseret kryptering, påvirker også SEDs ifølge forskerne - inklusive "evil maid"-angreb, og dem der bypasser Windows autentificering.

» Læs mere   |   Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1749

Billede: Google

Visse enheder med Android 6.0 Marshmallow får fuld kryptering af Androidenheder samt sikker bootsekvens.

Google forsøgte første gang dette med Android 5.0 Lollipop, men måtte opgive pga. performance problemer.

Med 6.0 Marshmallow kommer Google dermed tættere på at være lige så sikker som Apple iOS, der allerede krypterer alle brugerdata på en måde som hverken Apple eller statslige bureauer kan dekryptere.

Om enheder med Android 6.0 får fuld kryptering eller ej, betinges bl.a. hvor meget RAM enheden er udstyret med. Hvis den ikke er et "low memory device" med under 512 MB RAM, skal der sikres kryptering af både applikationsdata og delte partitioner.

Derudover skal fuld drevkryptering aktiveres, hvis enheden derudover har en AES kryptografisk performance på 50 MB/s eller højere.

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1736

Billede: Apple

Det amerikanske NSA (National Security Agency) og visse andre statsansatte, prøver at få gennemført et krav om at den teknologiske sektor skal give retshåndhæverne en nøgle, så de kan tilgå consumer produkters data.

FBIs direktør James Comey, annoncerede for 2 uger siden at regeringen ikke længere ville forsøge at skabe flertal for dette krav, men i stedet fortsætte samtalerne med industrien om emnet.

Apples Tim Cook udtaler bl.a. at Apple mener, at privatliv vil betyde mere og mere for folk. i takt med at de indser hvor mange detaljer af deres privatliv der allerede er ude, og som bruges til alle mulige ting. Derfor tror Apple på at kryptering er en nødvendighed. Tim Cook er overbevist om, at det er i alle folks fælles interesse, at alle er udelukket fra at kunne læse hinandens data.

Derudover argumenterede Cook for at det ikke er muligt kun at lave en bagdør til "de gode".

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1782

Billede: granitephone.com

Franske Archos er gået sammen med sikkerhedsfirmaet Sikur, om at skabe en ny smartphone ved navn GranitePhone.

GranitePhone krypterer både ind- og udgående opkald, beskeder, kontakter mv. - og der er ingen skjulte bagdøre i telefonen. Dette gøres via Sikurs eget fuldt krypterede GraniteOS, som er baseret på Android.

GranitePhone specifikationer:

5" skærm, 1920x1080 pixels
16 MPixels kamera for bagkamera, 8 MPixels kamera for frontkamera
Qualcomm Snapdragon 215 processor
2 GB RAM
16 GB indbygget hukommelse
Batteri: 2700 mAh

Prisen bliver ca. $ 850 dollars.

Se mere på http://www.granitephone.com 

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1622

Billede: Jason Morrison, FreeImages.com

Det Hvide Hus udtalte lørdag 10/10 2015, at staten har opgivet lovforslaget, der skulle give adgang til al krypteret information.

Udtalelelsen bekræftes af FBI-chef James Comey, og det markerer enden på den lange debat, hvor mange store IT-virksomheder har udtalt sig og nægtet at svække deres kryptering for at akkomodere politiet og efterretningstjenesternes forespørgsler.

Et af de store argumenter fra branchen og eksperter, har været at lovforslaget også vil åbne op for massive sårbarheder overfor kriminelle hackere.

Redaktør: jakobdam   |   Indsendt af: thimon   |   1   |   1686

Billede: Flavio Takemoto, FreeImages.com

National Institute of Standard and Technology (NIST), har nu frigivet den endelige udgave af Secure Hash Algorithm-3 (SHA-3), der er efterfølger til SHA-2.

SHA-3 afløser ikke SHA-2 ifølge Shu-jen Chang fra NIST, men tilbyder i stedet en backup. SHA-2 har ikke udvist problemer, men skulle den gøre det har man altså nu SHA-3 som en backupløsning.

SHA-3 blev til via en offentlig konkurrence, hvor algoritmen Keccak vandt i 2012. Der var 64 projekter tilmeldt konkurrencen, hvoraf et af dem bestod af et hold med 4 danskere fra DTU samt 3 østrigere. De nåede til finalen som en af de 5 finalister, men blev slået af Keccak.

Redaktør: jakobdam   |   Indsendt af: vandborg   |   3   |   2013