Один из способов увеличения стойкости шифра – установление неопределенности в ходе шифровании данных. Как таковая идея может быть реализуема путём введения данных наугад, преобразующихся в сообщение. Операции преобразования имеют вероятностный характер, таким образом, вычислительная стойкость криптосистемы повышается; данное происходит из-за «подмешивания» случайных данных к шифруемой информации.

Рассмотрим на примере.

Имеем где b = r + p, где Е (b-битовая функция шифрования), Р (p-битовый блок открытого текста) и R (r-битовый случайный блок). На вход шифрующей функции блока В (B = R | P) подаётся знак «|», обозначающий конкатенацию двоичных векторов R и P:

P -> B = R | P -> C = E( B, K ), где К – ключ шифрования.

Автоматическая аутентификация чрезвычайно важна в современных компьютерных системах.

Используемые сегодня в компьютерах пароли и другие механизмы аутентификации охватывают широкий диапазон методик и технологий. Разработчикам Web-серверов, постановщикам задач в области электронной торговли и другим системным разработчикам приходится выбирать среди многочисленных продук¬тов и принимать многочисленные решения о конфигурации каждого из этих продуктов. Системы, подобные Windows NT и Windows 2000. имеют несколько альтернатив паролевого доступа, чтобы обеспечить взаимодействие с другими продуктами. Некоторым организациям требуется дополнительная защита в виде смарт-карт или аутентификацконных опознавательных знаков систем типа Safe-word или SecurlD. Главный мотив, стоящий за так иазываемой "инфраструктурой открытого ключа", в том, чтобы со временем революционизировать, упрочнить и упростить процесс выполнения индивидуальной аутентификации. Но, как в случае любой развивающейся технологии, трудно предсказать, в какой степени будут выполнены выдаваемые обещания.

Breitbart, ссылаясь на AFP, сообщает, что хакеры, по словам специалистов в области безопасности, добрались до уязвимости, позволяющей контролировать трафик в интернете.

Лучшие специалисты ломали голову над решением проблемы долгое время. В итоге была создано актуальное программно обеспечение, «заплатка». Пользователям отвели месяц для защиты своих компьютеров от кибератак.

«Нас ждет множество неприятностей», - уточняет специалист по безопасности IOActive Дэн Камински. Напомним, что полгода назад именно он наткнулся на уязвимое место в системе доменных имен (DNS), сообщив об этом гигантам компьютерной отрасли, чтобы совместными усилиями решить проблему. «Эта атака будет мощной. Каждому нужна заплатка. Пожалуйста, защитите себя», - призывает Камински.

Лаборатория Касперского сообщает, что обнаружен вирус, который заражает аудиофайлы *. WMA. Заражённый файл вызывает загрузку троянской программы, которая позволяет злоумышленнику устанавливать удалённый контроль над компьютером жертвы.

Worm.Win32.GetCodec.а. – наименование новоявленного червя. Он конвертирует mp3-файлы в формат WMA, однако при этом сохраняется расширение mp3. В тоже время добавляется маркер, который содержит ссылку на заражённую web-страницу.

Активация происходит автоматически во время прослушивания заражённого файла, что приводит к запуску браузера Internet Explorer. Пользователя перекидывает на заражённый сайт, где пользователю предлагается установить программу, который позиционирует себя как кодекс. После того как пользователь соглашается на установку вредоносного ПО, на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp. С помощью трояна, «установленного самим пользователем», злоумышленник получает контроль над компьютером.

Криптопровайдер Signal-COM CSP v2 будет обеспечен поддержкой электронных ключей eToken компаниями «Aladdin» и «Сигнал-КОМ».

Aladdin, российский разработчик и поставщик средств аутентификации, продуктов и решений по информационной безопасности в сотрудничестве с «Сигнал-КОМ», разработчик сертифицированной криптографической защиты информации (СКЗИ), 17 июля нынешнего года заявили о поддержке смарт-карт и электронных ключей eToken.

Партнёрские отношения между компаниями длятся с 1996 года. Их логическим продолжением является разработка системы аутентификации с новой платформой eToken Java. В последней на данный момент версии криптопровайдера Signal-COM CSP v2 присутствуют вышеописанные разработки двух компаний.

Стало известно, что PayPal, платёжная система, планирует запретить доступ к сервису браузерам, которые не используют технологию автоматического блокирования поддельных сайтов, а в том числе не поддерживают сертификаты EV SSL. Как ни странно к числу потенциально запрещённых браузеров могут отнести Safari, в котором поддержка сертификата EV SSL не реализована.

PayPal является главной целью фишинга. Проведение радикальных мер с её стороны можно понять. По словам представителей PayPal выясняется, что «если разрешить браузеры без антифишинговой технологии, то это равносильно тому, как если бы производители автомобилей разрешили пользователям покупать машины без ремней безопасности». Разрешая таким пользователям пользоваться сервисом – PayPal расширяет аудиторию жертв.

PC World пишет, Крис Касперски, российский хакер, в процессоре Intel обнаружил уязвимость. Найденная брешь позволяет совершать удалённый взлом системы, используя JavaScript или же сформированный пакет протокола TCP/IP независимо от ОС. Издание также ссылается на анонс презентации, подготовленной Касперски.

На конференции «Hack In The Box», которая в октябре будет проведена в малазийском Куала-Лумпуре, хакер намерен продемонстрировать метод взлома процессора Intel. Касперски отмечет, что желает разработать код и открыть общий доступ к нему. «Ошибки в микропроцессорах становятся все более серьезной угрозой, так как уже пишутся использующие их зловредные программы», - добавил хакер.

OFFSystem (Owner-Free File System) — это распределённая файловая система, которая кусочки файлов случайным образом хранит на разных компьютерах, и ни один пользователь не имеет определённый файл целиком. Эта система была создана по необходимости, хакерской группой The Big Hack, которая борется с цифровым копирайтом.

Во время использования OFFSystem на компьютерах пользователей сети хранятся не цельные файлы с нелегальным содержимым, а всего лишь абстрактные блоки данных, не считающиеся объектами которые охраняются авторскими правами. Получить такой файл, становится возможным, только имея специальную ссылку. Суть этого подхода в том, что абсолютно любой файл, который защищён авторским правом, является определённым набором битов и может быть получен из абсолютно другого набора бит, а на него копирайт уже не распространяется. Рассмотрим пример: двоичный файл с легкостью можно представить в виде числа; если кто-то имеет права на число 15, то числа 5 и 10 мы можем использовать свободно.

Брюс Шнайер, стоящий во главе исследователей, изучает TrueCrypt. Напомним, что TrueCrypt – известное программное обеспечение для шифрования данных.

Исследователи проверяли программу на соответствие стандарту Deniable File System (DFS). Известно, что DFS присутствует в TrueCrypt в виде создаваемого скрытого тома.

В ходе исследования использовалась версия продукта 5.1a. В версии 6.0 некоторые проблемы уже устранены. TrueCrypt не оставляет «следов», однако сторонние приложения могут оставлять информацию о манипуляциях на скрытом томе.

Ситуация: если пользователь Windows Vista монтирует на данной ОС том, то вносятся данные в реестр, которые в свою очередь сообщат о данной операции.

Google Desktop, к примеру, не поддерживает криптографию, а индексация документов реализуется только после того как том станет доступным к чтению. Автосохранение в Word способствует восстановлению документа, если даже он был открыт со спрятанного тома.

Уточним, OOXML (Office Open XML) – серия форматов файлов для хранения электронных документов пакетов офисных приложений — в частности, Microsoft Office.

Международная организация по стандартам (ISO) и Международная Электротехническая Комиссия (IEC) рекомендует отклонить апелляция от Бразилии, Индии, ЮАР и Венесуэлы в отношении формата OOXML.

Бразилия, Индия, ЮАР и Венесуэла негодовали форматом OOXML, который позиционирует себя как международный стандарт. Страны ссылаются на очевидные минуса и процедурные ошибки формата OOXML, настаивают на пересмотре решений и обращают своё внимание на ошибки при голосовании за данный формат.

iPhone Dev Team, хакерская группа, сообщила об успешном взломе прошивки версии 2.0 для Apple iPhone/iPod touch. Выяснилось, что работа над взломом длилась с тех пор как вышла бета версия iPhone 2.0, что позволило найти уязвимости до официального её выхода.

Pwnage – программное обеспечение, которое вскоре намеревается выпустить iPhone Dev Team. Программа «отвязывает» iPhone 2.0 от операторов, с которыми заключено соглашение со стороны Apple. Помимо прочего на взломанном девайсе вполне реально запустить сторонние приложения.

На протяжении месяца хакеры исследовали первую версию, после чего также нашли способ взлома. Apple выпустила прошивку, как ответные меры. С другой стороны факт взлома, скорее всего, способствовал расширению ареала продаж iPhone. Однако практика присвоение конкретного оператора так и не учитывается в Apple.

Криптоанализ изучает варианты вскрытия различных шифров. Методы, применяемые в криптоанализе, не столь эффективны по причине требования мощных компьютеров, высококвалифицированных специалистов в данной области, но и всё это ещё не гарантирует успех. Вернее результат будет, но это может занять очень длительное время.

Метод терморектального криптоанализа применяется успешно на практике. Последний не требует дорогого оборудования, однако значительно эффективен.

Теорема терморектального криптоанализа выражается во времени, которое необходимо в целях дешифрования вне зависимости от алгоритма шифрования.

Как это работает? Представим себе ситуацию: пароль состоит из латинских букв, а если к нему прибавить ещё одну букву, то его дешифровка станет немного сложнее. Ранее традиционный методы криптоанализа предоставляли возможность дешифровки за короткое время – сутки, но сейчас ситуация изменилась кардинально – требует порядка целого месяца. Естественно, что «бизнес ждать не может» и необходима стабильность.

ЭЦП - известная аббревиатура в среде ит-комюнити и не только. Однако, несмотря на познания, далеко не все знают, как правильно применять ЭЦП, а некоторые не применяют и вовсе на практике

Поясним, ЭЦП - электронно-цифровая подпись. Данная статья – небольшое размышление в тематическом направлении. Итак, поехали.

В законодательстве фигурируют тематические сведения, а именно «Об электронной цифровой подписи» изданный в 2002 году. Однако этого оказывается недостаточно. Те, кто сталкивался с решением спорных вопросов, обращал внимание, что в законодательстве наличествуют формулировки «в соответствии с действующим законодательством», но не четкость конкретных вопросов.

Недавно корпорация Microsoft сообщила о том, что существует опасность, которая связана с возможным доступом хакеров к программному обеспечению Microsoft Word. Была выявлена новая уязвимость, которая относится к обработочным файлам формата .doc.

На данный момент доказано присутствие уязвимости в Word 2002 Service Pack 3. Хакеры специально генерируют документ и при его помощи переполняют память и вызывают ошибку. Это делает систему бессильной. По итогу хакеру доступно выполнение произвольных команд в системе.

Сайт TechNet призывает обратить Ваше внимание на то, что использование антивирусов не гарантирует вам полной безопасности. Помните о том, что не следует принимать файлы в формате .doc от не известных вам людей.

По плану, 12 августа выйдет патч, но в случае интенсивной эксплуатации уязвимости, патч придётся выпустить раньше.