#crypto #essay #reflection #math
Криптографическая защита информации берёт своё начало ещё до нашей эры. Такие средства как скитала, диск Энея, линейка Энея и многие другие успешно использовались нашими предками с целью сокрытия важной информации. Подобные средства реализуют защиту информации с помощью физических свойств самих объектов. Криптостойкость подобных физических методов не отличается высокими значениями и с развитием математики и вычислительной техники начинают применяться математические методы криптографической защиты информации.
Говоря о математике, в голове сразу возникают такие понятия, как строгость, красота, искусство. Законы математики и математические выводы не зависят от твоего социального статуса, материального положения или политических взглядов. Максимальная абстракция и рационализм. Подобная непредвзятость и есть ключевое звено в защите информации. Значительная часть всех угроз для информационных систем исходят от людей, поэтому попытка перенести ответственность от плеч персонала на алгоритм выглядит оправданной.
Широко известное в узких кругах выражение “Ни одна система не является абсолютно защищенной” находит свои корни и в системах криптографической защиты информации. Криптоанализ развивается параллельно с криптографией и появляются всё новые методы атак на криптографические алгоритмы. Несмотря на то, что лучшие математические умы с огромным усилием подходят к разработке алгоритмов и гарантированно заявляют, что протокол будет являться криптостойким следующие 50 лет, атаки всё-таки появляются и эксплуатируются.
Отказ от устаревшего - это тяжелый процесс, особенно в терминах информационных систем. Замена на новое оборудование не всегда проходит прозрачно, а былые реализации могут перестать работать. Но процесс этот неизбежен. Старые системы будут эксплуатироваться, будут появляться новые уязвимости.
В чем же мотивация перехода к новым реализациям? Требования регулятора? Материальные или репутационные потери? Желание быть в тренде? У меня нет ответа на этот вопрос. От системы к системе мотивирующий фактор разнится. Но чаще всего разработчикам всё равно, так как подобные атаки случаются очень редко. В целом атаки случаются редко. Я считаю этот аргумент некорректным и безответственным. Если и браться за разработку/администрирование системы, то нужно либо следовать принципу Шухарда-Деминга, постоянно улучшая и проверяя систему, либо честно признать, что система устарела и пытаться привнести новую.
Мысли после прочтения: https://www.securitylab.ru/news/517997.php
Криптографическая защита информации берёт своё начало ещё до нашей эры. Такие средства как скитала, диск Энея, линейка Энея и многие другие успешно использовались нашими предками с целью сокрытия важной информации. Подобные средства реализуют защиту информации с помощью физических свойств самих объектов. Криптостойкость подобных физических методов не отличается высокими значениями и с развитием математики и вычислительной техники начинают применяться математические методы криптографической защиты информации.
Говоря о математике, в голове сразу возникают такие понятия, как строгость, красота, искусство. Законы математики и математические выводы не зависят от твоего социального статуса, материального положения или политических взглядов. Максимальная абстракция и рационализм. Подобная непредвзятость и есть ключевое звено в защите информации. Значительная часть всех угроз для информационных систем исходят от людей, поэтому попытка перенести ответственность от плеч персонала на алгоритм выглядит оправданной.
Широко известное в узких кругах выражение “Ни одна система не является абсолютно защищенной” находит свои корни и в системах криптографической защиты информации. Криптоанализ развивается параллельно с криптографией и появляются всё новые методы атак на криптографические алгоритмы. Несмотря на то, что лучшие математические умы с огромным усилием подходят к разработке алгоритмов и гарантированно заявляют, что протокол будет являться криптостойким следующие 50 лет, атаки всё-таки появляются и эксплуатируются.
Отказ от устаревшего - это тяжелый процесс, особенно в терминах информационных систем. Замена на новое оборудование не всегда проходит прозрачно, а былые реализации могут перестать работать. Но процесс этот неизбежен. Старые системы будут эксплуатироваться, будут появляться новые уязвимости.
В чем же мотивация перехода к новым реализациям? Требования регулятора? Материальные или репутационные потери? Желание быть в тренде? У меня нет ответа на этот вопрос. От системы к системе мотивирующий фактор разнится. Но чаще всего разработчикам всё равно, так как подобные атаки случаются очень редко. В целом атаки случаются редко. Я считаю этот аргумент некорректным и безответственным. Если и браться за разработку/администрирование системы, то нужно либо следовать принципу Шухарда-Деминга, постоянно улучшая и проверяя систему, либо честно признать, что система устарела и пытаться привнести новую.
Мысли после прочтения: https://www.securitylab.ru/news/517997.php
SecurityLab.ru
Ubiquiti подтвердила компрометацию IT-систем, но не утечку данных
На фоне сообщений о том, что компания могла преуменьшить масштаб взлома, стоимость акций Ubiquiti существенно упала.
#security #risks #article #habr #theatre
Цепляющая за живое статья о "театре безопасности" в РЖД.
Очень советую к прочтению.
Цепляющая за живое статья о "театре безопасности" в РЖД.
Очень советую к прочтению.
Хабр
О театре или почему всем плевать
На волне хайпа про РЖД я заметил, что много людей, даже из тех, кто "в теме", имеют странное представление о ситуации. А большая часть тех, кто с безопасностью не связан вообще, высказывает...
#zerotrust #habr
Интересная и краткая статья об основах Zero Trust Security - нулевое доверие.
Нулевое доверие к ресурсам, к пользователям и к сетям для обеспечения безопасности звучит логично. Доверяй, но проверяй каждое обращение. Избыточный мониторинг и анализ требует избыточных затрат. Вообще говоря, безопасность - это вечный торг между уровнем защищенности и удобством использования. Однако при правильно выстроенной архитектуре и культуре можно найти баланс.
Интересная и краткая статья об основах Zero Trust Security - нулевое доверие.
Нулевое доверие к ресурсам, к пользователям и к сетям для обеспечения безопасности звучит логично. Доверяй, но проверяй каждое обращение. Избыточный мониторинг и анализ требует избыточных затрат. Вообще говоря, безопасность - это вечный торг между уровнем защищенности и удобством использования. Однако при правильно выстроенной архитектуре и культуре можно найти баланс.
Хабр
Что такое Zero Trust? Модель безопасности
Zero Trust («нулевое доверие») – это модель безопасности, разработанная бывшим аналитиком Forrester Джоном Киндервагом в 2010 году. С тех пор модель «нулевого...
#announce
Добавил комментарии к каналу. Задавайте ваши ответы!
PS. Жалко, что к предыдущим постам комментарии оставить нельзя :(
Добавил комментарии к каналу. Задавайте ваши ответы!
PS. Жалко, что к предыдущим постам комментарии оставить нельзя :(
#crypto #rsa #ecdsa #habr
Занимательный факт: наибольшее известное простое число 2^82589933 -1
Искал музыкальную группу, а наткнулся на статью в википедии. Здесь также приводится информация о теореме Эвклида про бесконечность списка простых чисел.
Напомню, что криптостойкость алгоритма RSA держится на задачи факторизации произведения двух больших случайных простых чисел p и q. Чем дальше в лес, тем больше помидоры, кхм, то есть тем больше расстояние между простыми числами.
Именно с этим связан переход с RSA на ECDSA в TLS 1.3. Увеличение битности ключа RSA в два раза не приводит к увеличению криптостойкости в два раза.
В связи с этим: "ХВАТИТ ИСПОЛЬЗОВАТЬ RSA!"
Занимательный факт: наибольшее известное простое число 2^82589933 -1
Искал музыкальную группу, а наткнулся на статью в википедии. Здесь также приводится информация о теореме Эвклида про бесконечность списка простых чисел.
Напомню, что криптостойкость алгоритма RSA держится на задачи факторизации произведения двух больших случайных простых чисел p и q. Чем дальше в лес, тем больше помидоры, кхм, то есть тем больше расстояние между простыми числами.
Именно с этим связан переход с RSA на ECDSA в TLS 1.3. Увеличение битности ключа RSA в два раза не приводит к увеличению криптостойкости в два раза.
В связи с этим: "ХВАТИТ ИСПОЛЬЗОВАТЬ RSA!"
#network #encryption
Шифрование локальной сети значительно усложнит задачу внутреннему нарушителю. Во-первых, это касается угроз конфиденциальности информации (перехват чувствительной информации внутри сети), а также аутентификации (пакет был отправлен именно этим устройством).
Шифрование локальной сети - это не тривиальный процесс. Есть свои нюансы и подводные. На эту тему глава из интересной книжки.
Интересуюсь этой темой последние несколько дней. Почему-то стандартом считается l2tp/ipsec. Интересно, можно ли использовать что-то более высокоуровневое, например, wireguard?
PS: нарыл слайды по IPsec
PSS: на микротик вики интересный гайд по ipsec
Шифрование локальной сети значительно усложнит задачу внутреннему нарушителю. Во-первых, это касается угроз конфиденциальности информации (перехват чувствительной информации внутри сети), а также аутентификации (пакет был отправлен именно этим устройством).
Шифрование локальной сети - это не тривиальный процесс. Есть свои нюансы и подводные. На эту тему глава из интересной книжки.
Интересуюсь этой темой последние несколько дней. Почему-то стандартом считается l2tp/ipsec. Интересно, можно ли использовать что-то более высокоуровневое, например, wireguard?
PS: нарыл слайды по IPsec
PSS: на микротик вики интересный гайд по ipsec
#thinkpad
На днях установил на свой синкпад классическую клавиатуру от x220.
Не сказать, что современная является плохой. Однако классическая мне нравится больше и по визуальной и по тактильной составляющей. Для установки классической клавиатуры я взял отдельно palmrest (пластина под клавиатурой) от x220 с отсеком под отпечаток пальца. Не думаю, что буду им активно пользоватьчя, но хочу взять ради прикола.
Всю установку проводил с помощью thinkpadwiki. На одном из фото видно, как я изолировал некоторые контакты на коннекторе клавиатуры. На вики сказано, что они коротят друг на друга.
Также мой старый palmrest имел термопластины. На новом их нет. Разницы я пока не заметил. И, кажется, я не до конца вставил клавиатуру, так как есть небольшой зазор и неровность на переходе между корпусом и palmrest
В целом ощущения от "новой" клавиатуры очень хорошие. Плавный ход, лёгкость нажатия и выпуклость клавиш ощущаются сразу. Немного не хватает подсветки клавиш, но думаю, что привыкну, так как печатаю вслепую.
На днях установил на свой синкпад классическую клавиатуру от x220.
Не сказать, что современная является плохой. Однако классическая мне нравится больше и по визуальной и по тактильной составляющей. Для установки классической клавиатуры я взял отдельно palmrest (пластина под клавиатурой) от x220 с отсеком под отпечаток пальца. Не думаю, что буду им активно пользоватьчя, но хочу взять ради прикола.
Всю установку проводил с помощью thinkpadwiki. На одном из фото видно, как я изолировал некоторые контакты на коннекторе клавиатуры. На вики сказано, что они коротят друг на друга.
Также мой старый palmrest имел термопластины. На новом их нет. Разницы я пока не заметил. И, кажется, я не до конца вставил клавиатуру, так как есть небольшой зазор и неровность на переходе между корпусом и palmrest
В целом ощущения от "новой" клавиатуры очень хорошие. Плавный ход, лёгкость нажатия и выпуклость клавиш ощущаются сразу. Немного не хватает подсветки клавиш, но думаю, что привыкну, так как печатаю вслепую.
🥰1
#zkp #crypto #fun
Я ДУМАЛ ЭТО ШУТКА! Токсические отходы
Эндрю Миллер (Andrew Miller) и Райан Пирс (Ryan Pierce), создатели криптовалюты Zcash, использовали чернобыльские радиоактивные отходы для сохранения анонимности участников в сети. Об этом сообщает издание Motherboard.
Для обеспечения работы zk-SNARK должны задаваться начальные параметры через генерацию случайных чисел. Они называются участниками сети «токсичными отходами», поскольку должны быть уничтожены после использования в целях обеспечения безопасности. Если кто-то разгадает алгоритм их генерации, он сможет создавать ложные доказательства. Чтобы этого избежать была запущена церемония Powers of Tau, в ходе которой каждый участник сети генерирует случайные числа, что затрудняет потенциальному злоумышленнику взломать Zcash.
В качестве генератора случайных чисел Миллер и Пирс использовали небольшое количество радиоактивного материала — кусок графитового замедлителя из Чернобыльской АЭС. Он является источником гамма- и бета-лучей из-за распада цезия-137 и стронция-90. С помощью счетчика Гейгера они измеряли ионизирующее излучение, получая электрические импульсы, продолжительность промежутков между которыми была случайной. Чтобы гарантировать невозможность вмешательства в процедуру третьих лиц, разработчики проводили измерения в частном самолете на высоте 900 метров.
- Зачем мы это делаем?
- Потому что это весело!
src: https://lenta.ru/news/2018/02/15/radioactive/
src: https://www.fintechru.org/upload/iblock/4bf/ZKP_16122020_FIN4.pdf (страница 10)
src: https://www.vice.com/en/article/gy8yn7/power-tau-zcash-radioactive-toxic-waste
Я ДУМАЛ ЭТО ШУТКА! Токсические отходы
Эндрю Миллер (Andrew Miller) и Райан Пирс (Ryan Pierce), создатели криптовалюты Zcash, использовали чернобыльские радиоактивные отходы для сохранения анонимности участников в сети. Об этом сообщает издание Motherboard.
Для обеспечения работы zk-SNARK должны задаваться начальные параметры через генерацию случайных чисел. Они называются участниками сети «токсичными отходами», поскольку должны быть уничтожены после использования в целях обеспечения безопасности. Если кто-то разгадает алгоритм их генерации, он сможет создавать ложные доказательства. Чтобы этого избежать была запущена церемония Powers of Tau, в ходе которой каждый участник сети генерирует случайные числа, что затрудняет потенциальному злоумышленнику взломать Zcash.
В качестве генератора случайных чисел Миллер и Пирс использовали небольшое количество радиоактивного материала — кусок графитового замедлителя из Чернобыльской АЭС. Он является источником гамма- и бета-лучей из-за распада цезия-137 и стронция-90. С помощью счетчика Гейгера они измеряли ионизирующее излучение, получая электрические импульсы, продолжительность промежутков между которыми была случайной. Чтобы гарантировать невозможность вмешательства в процедуру третьих лиц, разработчики проводили измерения в частном самолете на высоте 900 метров.
- Зачем мы это делаем?
- Потому что это весело!
src: https://lenta.ru/news/2018/02/15/radioactive/
src: https://www.fintechru.org/upload/iblock/4bf/ZKP_16122020_FIN4.pdf (страница 10)
src: https://www.vice.com/en/article/gy8yn7/power-tau-zcash-radioactive-toxic-waste
lenta.ru
Найдено неожиданное применение радиоактивным отходам из Чернобыля
Эндрю Миллер и Райан Пирс, создатели криптовалюты Zcash, использовали чернобыльские радиоактивные отходы для сохранения анонимности участников в сети. Материал, который является источником ионизирующего излучения, применялся в качестве генератора случайных…
Path Secure
#pentest #cheatsheet #security #manual #redteam HackTricks - качественная подборка мануалов и статей о пентесте. Включает в себя как описания некоторых базовых техник по проведению пентеста на разных платформах (linux, windows, mobile), разных протоколов…
#recommendation #binary #exploitation #reverse
Перерождение канала о бинарной эксплуатации. К предыдущему был утрачен доступ. Поэтому, если вы интересуетесь безопасностью низкого уровня, реверсом архитектурами , то зацените канал :)
@cha1ned_channel
UPD: Канал старого знакомого :)
Перерождение канала о бинарной эксплуатации. К предыдущему был утрачен доступ. Поэтому, если вы интересуетесь безопасностью низкого уровня, реверсом архитектурами , то зацените канал :)
@cha1ned_channel
UPD: Канал старого знакомого :)
#crypto #papers #recommendation #zkp #awesome
Один товарищ поделился ссылкой на awesome-list[1] с научными работами по криптографии. В данном случае меня интересуют именно материалы по zero-knowledge-proof. В моем списке собранных работ гораздо больше, но в списке представлены самые основные.
В списке есть также следующие темы:
Hashing - important bits on modern and classic hashes.
Secret key cryptography - all things symmetric encryption.
Cryptoanalysis - attacking cryptosystems.
Public key cryptography: General and DLP - RSA, DH and other classic techniques.
Public key cryptography: Elliptic-curve crypto - ECC, with focus on pratcial cryptosystems.
Zero Knowledge Proofs - Proofs of knowledge and other non-revealing cryptosystems.
Math - useful math materials in cryptographic context.
Post-quantum cryptography - Cryptography in post-quantum period.
[1] awesome-list - сборник лучших материалов по какой-то теме. Существует большое количество awesome-репозиториев. Настолько большое, что энтузиасты составляют awesome-list для awesome-list.
К примеру:
* Awesome IT Films
* Awesome Zero knowledge Proofs
* Основный awesome-list со многими темами
Один товарищ поделился ссылкой на awesome-list[1] с научными работами по криптографии. В данном случае меня интересуют именно материалы по zero-knowledge-proof. В моем списке собранных работ гораздо больше, но в списке представлены самые основные.
В списке есть также следующие темы:
Hashing - important bits on modern and classic hashes.
Secret key cryptography - all things symmetric encryption.
Cryptoanalysis - attacking cryptosystems.
Public key cryptography: General and DLP - RSA, DH and other classic techniques.
Public key cryptography: Elliptic-curve crypto - ECC, with focus on pratcial cryptosystems.
Zero Knowledge Proofs - Proofs of knowledge and other non-revealing cryptosystems.
Math - useful math materials in cryptographic context.
Post-quantum cryptography - Cryptography in post-quantum period.
[1] awesome-list - сборник лучших материалов по какой-то теме. Существует большое количество awesome-репозиториев. Настолько большое, что энтузиасты составляют awesome-list для awesome-list.
К примеру:
* Awesome IT Films
* Awesome Zero knowledge Proofs
* Основный awesome-list со многими темами
GitHub
GitHub - pFarb/awesome-crypto-papers: A curated list of cryptography papers, articles, tutorials and howtos.
A curated list of cryptography papers, articles, tutorials and howtos. - pFarb/awesome-crypto-papers
#crypto #chaos #article #math
Слышали ли вы про теорию хаоса?
Эффект бабочки, например, самый известный парадокс. Взмах крыла бабочки на одно земном полушарии способен спровоцировать катастрофу на другом полушарии. Оказывается, что теория хаоса это отдельное математические направление.
Каким-то образом я вышел на статью, в которой описывается chaos based криптография. Криптография, основанная на теории хаоса. Это довольно современное направление. Интересно почитать о последних решениях в этой сфере :)
UPD: Здесь в референсах увидел - An authentication protocol based on chaos and zero knowledge proof
Слышали ли вы про теорию хаоса?
Эффект бабочки, например, самый известный парадокс. Взмах крыла бабочки на одно земном полушарии способен спровоцировать катастрофу на другом полушарии. Оказывается, что теория хаоса это отдельное математические направление.
Каким-то образом я вышел на статью, в которой описывается chaos based криптография. Криптография, основанная на теории хаоса. Это довольно современное направление. Интересно почитать о последних решениях в этой сфере :)
UPD: Здесь в референсах увидел - An authentication protocol based on chaos and zero knowledge proof
N + 1 — главное издание о науке, технике и технологиях
Теория хаоса простыми словами: как связаны аттрактор Лоренца и взмах крыльев бабочки, который может вызвать торнадо
Что такое «странные аттракторы» и как они помогают синоптикам
👍1
Венбо_Мао_Современная_криптография_Теория_и_практика.pdf
96.2 MB
#crypto #book
Очень хорошо!
Спасибо Украинскому Государственному Университету Телекоммуникаций за пдфку с очень годной книжкой по криптографии.
В данной книге есть буквально всё. Начиная с основам математики, заканчивая нулевым разглашением и криптографическими протоколами. Сам возьму отсюда информацию и обязательно прочитаю полностью. Рекомендую
Очень хорошо!
Спасибо Украинскому Государственному Университету Телекоммуникаций за пдфку с очень годной книжкой по криптографии.
В данной книге есть буквально всё. Начиная с основам математики, заканчивая нулевым разглашением и криптографическими протоколами. Сам возьму отсюда информацию и обязательно прочитаю полностью. Рекомендую
🔥3
Path Secure
#offtop #zkp Админ канала успешно защитил диплом по специальности защита информации! Как ни странно, тема была связана с аутентификацией и нулевым разглашением. В целом получилось неплохо, но могло быть и лучше. Не обещаю, что опубликую работу, но какие…
Настало время разгребать отложенные на потом проекты и статьи 🔥