Криптографический алгоритм RSA уничтожен? Такими заголовками пестрит сегодня крипто-твиттер

Пользователь zorinaq опубликовал твиттер-тред, чем может обернуться теоретическая работа Клауса Питера Шнорра:

https://twitter.com/zorinaq/status/1367227971912704001

Немного теории:
RSA (аббревиатура от фамилий Rivest, Shamir и Adleman) — криптографический алгоритм с открытым ключом, основывающийся на вычислительной сложности задачи факторизации больших целых чисел.

Криптосистема RSA стала первой системой, пригодной и для шифрования, и для цифровой подписи. Алгоритм используется в большом числе криптографических приложений, включая PGP, S/MIME, TLS/SSL, IPSEC/IKE и других.

«Если это правда, это открытие сломало бы большинство криптосистем. RSA распространен во многих отраслях: безопасное подключение к (многим) веб-сайтам, подпись кода, чипы кредитных карт и т. д.

Подобные открытия происходят не чаще, чем раз в 2-3 десятилетия.

Шнорр утверждает, что 400-битное число может быть разложено на множители с помощью существующих алгоритмов (QS) за 1,415 × 10 ^ 17 арифметических операций.

Его новая атака довела его до 4,2 × 10 ^ 9 операций.

Что в 34 миллиона раз быстрее

Работа по подбору, которая раньше занимала 92000 лет, теперь может быть выполнена за 1 день!

Улучшение факторизации числа, вдвое большего (800-битного), еще больше:

Существующий алгоритм (NFS): 2,81 × 10 ^ 23 операций
Новая атака Шнорра: 8,4 × 10 ^ 10 операций

Так что в 3300 миллиардов раз быстрее

Неясно, как атака масштабируется с типичным модулем RSA (2048 или 4096 бит).

Как было сказано, вполне вероятно(IMHO) что у атаки есть пробелы или изъяны:

- Шнорр не реализовал алгоритм. Пример факторизованного числа не приводится. Это все теоретически.»

По словам big brain девелопера Антона Букова из 1инч - данное теоретическое исследование не затрагивает разделы эллиптической криптографии, к которым относятся BTC, ETH и т д.

*Эллиптическая криптография — раздел криптографии, который изучает асимметричные криптосистемы, основанные на эллиптических кривых над конечными полями. Основное преимущество эллиптической криптографии заключается в том, что на сегодняшний день не известно существование субэкспоненциальных алгоритмов решения задачи дискретного логарифмирования.

ЦОД OVH в Страсбурге горит

https://efsol.ru/articles/1s-kvm-esxi-hyper-v.html

Есть вопросы к конфигурации стендов. Но общие цифры похожи на правду. Если подтюнить систему виртуализации, то разница с железом должна получиться очень небольшой.

Если у вас есть такой опыт - добро пожаловать в комменты

В чатике пишут, что обновления KB5000802 и KB5000808 убивают полвинды. Если быть точнее, то ломается печать на HP и Kyocera, а ещё при запуске 1С вылетает BSOD.

Спасибо РКН, что порезал скорость до microsofT.COm и дал нам возможность оттянуть установку этого добра /sarcasm mode off

А если серьезно: будьте внимательны!

Интересное пятничное видео от подкаста "Больше всех надо" на тему: "Информационный концлагерь или информационная утопия." Он посвящен информационной безопасности.

Гостями выпуска были Артур Хачуян- специалист по анализу данных Артур Хачуян и эксперт в области цифровой трансформации и Руслан Юсуфов - эксперт в области информационной безопасности.

Казалось бы как это связано с автоматизацией, но кульминацией выпуска стало именна мысль высказанная Русланом, что человек должен всегда держать руку на пульсе и постоянно развиваться. То, чему мы стараемся следовать на нашем канале.

Приятного просмотра.

Круто, пошел(ла) смотреть! - 🔥
Уже видел!-✌️
Та ну, давай про автоматизацию! - 🧐
Мне не интересно! - 😏

Хотите обсудить? Айда в чат - https://news.1rj.ru/str/automate_devnet

Больше ресурсов вы можете найти по хэштегу:
#friday #fun

28-й сайт с задачками по программированию https://exercism.io

#программирование #задачи #coding

Спасибо Сергею за ссылку

Практический видеокурс «Ceph» от Слёрм. Для тех, кому важна отказоустойчивость.

На курсе разберём:
Можно ли запускать на Ceph базу данных под высокой нагрузкой?
Как настроить Ceph, чтобы не переживать за сохранность данных?
Для каких задач Ceph подходит, а для каких нет?
И многое другое.

❗️Если ты уже владеешь Ceph, сможешь разобраться ещё лучше.
❓Если ты ещё не знаком с Ceph, то освоишь всё: от базовых понятий и терминов, до полноценной настройки, установки и управления Ceph.

Спикеры курса:
🎙Виталий Филиппов | Разработчик-эксперт в компании CUSTIS
🎙 Александр Чистяков | DevOps с 7-летним опытом и сооснователь Санкт-Петербургского сообщества DevOps-инженеров
🎙 Александр Руденко | Ведущий инженер в группе разработки Облака КРОК

В видеокурс также входит: стенды для практики, Git-репозиторий, техподдержка и обратная связь.

Полная стоимость курса — 60 000 рублей.
В рассрочку на 4 месяца — 15 000 рублей/месяц.

Посмотреть программу и записаться: http://slurm.club/3vkgiYl

Название первой статьи хорошо описывает исход событий когда забываешь про сертификаты в k8s. Ну а сами статьи говорят что делать, когда кластера уже нет, а тыква есть.

Ну а чтобы такого не случалось настраивайте мониторинг. Ведь гораздо приятнее получить аларм о заканчивающемся через месяц сертификате и неспешно его продлить, чем подпрыгивать в свой выходной/отпуск

https://habr.com/ru/company/southbridge/blog/465733/

https://docs.wire.com/how-to/administrate/kubernetes/certificate-renewal/scenario-1_k8s-v1.14-kubespray.html

#k8s #cert

Terratest - фреймворк для тестирования IaC
Terratest это такой TestInfra для:
- Terraform
- Packer
- Docker
- AWS
- Azure
- GCP
- Kubernetes
- Helm

А если Testinfra для вас звучит как магия, то знайте, что это фреймворк для тестирования Ansible плэйбуков. Чтобы при ошибках в коде ронять не прод, а тестовую среду. То же самое с Terratest: написал Dockerfile - прогнал его тестами. И прод не лежит и тебе приятно

#IaC #testing

#nginx #security

Частые ошибки в настройках Nginx, из-за которых веб-сервер становится уязвимым
https://habr.com/ru/company/cloud4y/blog/547164/

У Яндекса есть анализатор конфигов Nginx
Nginx configuration static analyzer
https://github.com/yandex/gixy

Извините за хайповость, но я не могу пройти мимо травли Ричарда Столлмана. Толерантные мудаки во главе с корпорациями хотят отстранить отца опенсорса - человека, действительно радеющего за OPEN Source - от того, для чего он подходит лучше кого-либо ещё. От управления опенсорс сообществом.

Если вы против этого идиотизма с толерантностью, если вы за OpenSource, если Столлман не оскорбляет вас - проголосуйте здесь пожалуйста. Это несложно, инструкция внутри

В чатике сообщают, что про кубернетес теперь можно читать на великом и могучем

https://kubernetes.io/ru/

Столлман душка

Одна из вещей за которую в том числе травили обижались на Сталлмана это сообщение в почтовую группу kabuki-west (для организации ужинов и посиделок в одном из районов Сан Франциско). Сообщение это к слову 93 года.

Я вряд ли смогу передать всю элегантность слога RMS, но все же попробую:

Народ, не могли бы вы, пожалуйста, не использовать эту рассылку для объявлений, которые не представляют особого интереса для читающих ее людей? Ежедневно рождаются сотни тысяч детей. Несмотря на то, чем грозит нам это явление в будущем, каждое отдельное деторождение не заслуживает внимания. Роды не являются каким-либо достижением -- рожать под силу даже некоторым рыбам. (А вот если вы морской конек, было бы куда интерснее, так как родил бы самец.)

Следуя вашему примеру я мог бы отправлять сюда анонс каждый раз когда написана новая программа GNU. Это происходит куда реже, чем рождение детей, а пользы от события куда больше, так как в этом действии присутствуют сознательное творчесто и тяжкий труд, а кто-то из читателей даже может счесть эту информацию полезной. Тем не менее, я считаю, что большинство читателей признали бы это выходящим за рамки и не соответствующим цели данной рассылки. Очевидно, то же относится и к детям.

Конечно, у нас есть отдельное место для анонсов новых GNU программ, и если кому-то нравится читать объявления о появлении на свет детей, возможно, вам стоит завести для этого подходящую новостную группу. Может быть rec.births? (А чтобы два раза не ходить, заведите еще и rec.deaths для некрологов -- обычно их читать куда интереснее.)

Ещё эти объявления о рождении распространяют миф о том, что ребенок - повод для гордости, который укрепляет позиции наталистов, что в свою очередь ведет к загрязнению окружающей среды, исчезновению дикой природы, нищете и в конце концов к массовому голоду.

Возможно, решившим не иметь детей людям следует также с гордостью заявлять о себе, подавая более хороший пример. Я мог бы начать. Уверен, что все участники рассылки будут рады узнать, что я не планирую размножаться.

Это тот интернет, который мы сейчас теряем. Это тот интернет который одновременно и соединял и объединял и позволял отправить Fuck you кому угодно информации и мнениям плыть без каких-либо ограничений. Нет ничего хорошего в личных нападках и травле. Но никакие запреты никогда не искоренят саму идею того что пытаются запретить.

p.s. спасибо, @toukonotes за корректорскую работу

Хорошо ли вы знаете GNU утилиты?

Вот задачка для разминки мозга:
Есть kubernetes кластер. Часть нод в нем с метками type=runner. Нужно посчитать общее количество процессорных ядер на всех нодах с этой меткой.

Можно использовать любые вспомогательные технологии: ansible, python, всё, что вам кажется правильным.

У меня есть несколько способов решения. Напишу о них до конца недели

Жду ваших решений в комментах

#задача #bash

Лайфхак: войти в айти еще в школе

IT — сфера, где кипит жизнь и много денег. И много специфических проблем. Предлагаем школьникам попробовать айти на вкус: понравится ли придумывать алгоритмы, писать и отлаживать код, работать в команде? Стоит ли развиваться в эту сторону, или лучше выбрать другую профессию? Слёрм Юниверс — это обучение, максимально приближенное к обычной работе программиста. Каким оно будет, и почему мы строим именно такое будущее: https://slurm.club/39rt9P4

#реклама

Наконец-то стекируемый свитч от Mikrotik

Иногда ответы на Stackoverflow лучше любого курса, поста или ман страницы. И это именно такой случай. Зачем нужны кавычки в bash скриптах? Не спешите закрывать пост, если не пишете баш скрипты. Тут подробно описано к чему (а главное, как) может привести несерьезное отношение к экранированию входных данных.

И в дополнение анализатор шелл скриптов. С веб версией, плагином к любимому редактору и примерами плохого кода прямо в репе

Ну и в догонку пачка полезных советов

#shell #bash #security

​Делать Infrastructure-as-code (IaC) сейчас модно, главное предварительно ознакомиться с лучшими практиками и не забыть подумать о безопасности. Для последнего существует несколько бесплатных утилит, как для конкретного решения, так и комплексных (например [checkov](https://github.com/bridgecrewio/checkov)).

Компания Checkmarx, многим известная своим SAST решением для анализа исходного кода, тоже решила сделать вклад в комьюнити и выпустила собственное opensource решение для статического анализа конфигураций — Keeping Infrastructure as Code Secure (KICS).

Поддерживает: Terraform, Kubernetes, Docker, Ansible, Helm и AWS CloudFormation.

А еще есть неплохая документация и запланированный на 15 апреля вебинар, где обещают рассказать о решении подробнее.

KICS > https://www.checkmarx.com/opensource/kics/
Docs > https://docs.kics.io
Git > https://github.com/Checkmarx/kics
Webinar > https://register.gotowebinar.com/register/3720624616764432144