Hola a tots,
He trobat aquest article molt interessant sobre la Xina de xifrat d'Importació / Exportació / Regulacions nacionals realitzats per Baker & Mckenzie als EUA.
És molt comercial i reglamentari orientat a donar una visió molt ben fet sobre com les regulacions de la Xina funciona i com es pot comportar en el futur.
Llegeixi aquí desxifrat el Reglament de xifrat de la Xina (forma Bakernet lloc web).
En els anys 90, de codi tancat i criptografia propietària estava governant el món.
Això és abans de codi obert i tecnologies científicament aprovats xifrats va sortir com una bona pràctica per fer coses de xifrat.
M'agradaria recordar quan, el 1992, EUA, juntament amb Israel, juntament amb Suïssa, proporcionant tecnologies de porta del darrere (de propietat i secret) al govern de l'Iran per aprofitar les seves comunicacions, enganyant a pensar que la solució utilitzada era segur, de manera que també alguns compte en aquest dia d'avui el 2010.
Això es diu El cas de Crypto AG , un fet històric la participació dels Estats Units Agència de Seguretat Nacional , juntament amb la Divisió d'Intel · ligència de Senyal del Ministeri de Defensa d'Israel que se sospita fortament que havia arribat a un acord amb l'empresa productora suïssa criptografia de Crypto AG .
Bàsicament, les entitats col · locar una porta del darrere en l'equip de seguretat de xifrat que proporcionen a l'Iran per interceptar les comunicacions iranianes.
El seu xifrat es basa en algorismes de xifrat secretes i propietari desenvolupat per Crypto AG i amb el temps a mida per al govern iranià.
Vostè pot llegir algunes altres dades sobre qüestions relacionades amb Crypto AG porta del darrere:
La desaparició de la seguretat mundial de telecomunicacions
Trencant els codis: una tasca impossible per la BBC
Der Spiegel Crypto AG (Alemanya) de l'article
Ara, el 2010, tots sabem i entenem que en secret i de propietat de xifrat no funciona.
Només una mica de referència pels principals experts de tot el món per sota de xifrat:
El secret, la seguretat, la foscor per Bruce Schneier
Simplement digui no a les especialitats algorismes criptogràfics per Network Computing (Mike Fratto)
La seguretat per foscor per Audi Universitat de Purdue
Obrint els Secrets de Crypto: criptografia, xifrat i criptografia explica per Symantec
Temps de canviar les coses se li acosta.
M'agrada molt el famós Philip Zimmermann afirmació:
"Criptografia solia ser una ciència fosca, de poca rellevància per a la vida quotidiana. Històricament, sempre ha tingut un paper especial en les comunicacions militars i diplomàtiques. Però en l'era de la informació, la criptografia és sobre el poder polític, i, en particular, sobre la relació de poder entre un govern i la seva gent. Es tracta del dret a la intimitat, la llibertat d'expressió, llibertat d'associació política, la llibertat de premsa, la llibertat de la recerca i confiscació irraonable, la llibertat d'estar sol. "
Qualsevol científic d'avui acceptar i aprovar els principi de Kerckhoffs que el 1883 en el Cryptographie Militar periòdic va declarar:
La seguretat d'un sistema criptogràfic no ha de dependre de mantenir en secret l'algorisme, però només en mantenir en secret la clau numèrica.
És absolutament clar que la millor pràctica per fer la criptografia actual obbly qualsevol persona seriosa per fer la criptografia obert, subjecte a la revisió pública i que segueixen el principi Kerckhoff.
Llavors, què hem de pensar de codi tancat, la criptografia patentada que es basa en els conceptes de seguretat mínimes foscor?
Em va sorprendre molt quan AVUI, el 2010, en l'era de la societat de la informació que he llegit una mica de paper de Crypto AG lloc web.
Convido a tots a llegir el paper de seguretat Crypto AG anomenada arquitectura de seguretat avançada, dissenyada per Crypto AG de les quals es pot obtenir un extracte significatiu a continuació:
El disseny d'aquesta arquitectura permet a Crypto AG per proporcionar un algorisme secret de propietat que es pot especificar per a cada client per assegurar el perfecte grau de seguretat criptogràfica i un suport òptim per a la política de seguretat del client. Al seu torn, l'arquitectura de seguretat li dóna la influència que necessita per ser totalment independent pel que fa a la seva solució de xifrat. Vostè pot determinar totes les àrees que estan cobertes per la criptografia i comprovar com funciona l'algorisme. L'algorisme original secreta de propietat de Crypto AG és el fonament de l'arquitectura de seguretat.
He de dir que la seva arquitectura és absolutament bo des del punt de vista TLC. També han fet una feina molt bona a fer el disseny de l'arquitectura global per tal de fer una prova de falsificacions resistent sistema de xifrat mitjançant dedicada processador criptogràfic .
No obstant això encara hi ha alguna cosa que falta:
E l concepte de criptografia en general és enganyós, basat en els conceptes d'encriptació equivocades.
Vostè pot pensar que sóc un troll dient això, però donada la història de Crypto AG i donat el fet que tota la comunitat científica i la seguretat no aprova conceptes de seguretat mínimes foscor, seria legítim que ens preguntem:
Escolta, crec que tenen un coneixement molt profund sobre les telecomunicacions i la seguretat, però com que la ciència ens diuen que no segueixi el secret dels algoritmes, realment tinc seriosos dubtes sobre per què se segueix proporcionant encriptació propietari i no es mou a les solucions estàndard (eventualment amb algun tipus de millora a mida).
Els conflictes cibernètics estan realment arribant a un punt on la guerra i la guerra cibernètica es fusionen.
Països de l'OTAN tenen el dret a usar la força contra els atacs a xarxes informàtiques .
Vostè ha de saber que Israel és un país en què si una empresa necessita per desenvolupar producte de xifrat que ha de ser autoritzat pel govern.
El govern no vol que les empreses que la criptografia es pot fer res dolent a ells i el que poden fer de bo per al govern, per la qual cosa ha de primer ser autoritzada.
Les empreses proveïdores de la intercepció i encryptio nm UST s'apliquen a una llicència perquè la llei d'Israel sobre aquest tema és tan restrictiu que és similar a la llei xinesa .
Això és perquè aquest tipus de tecnologies es consideren fonamentals per a les capacitats d'intel · ligència i espionatge del país, Israel.
Per donar algun exemple de "llicència per part d'Israel Ministeri de Defensa," les empreses:
Productes de xifrat GSM "atorgat pel Ministeri de Defensa d'Israel" - Or-bloqueig
La intercepció de productes de comunicació "atorgat pel Ministeri de Defensa d'Israel" - Verint
HF xifrat Ràdio "Autoritzat pel Ministeri de Defensa d'Israel" - Kavit
Els serveis de vigilància i equips de "Autoritzat pel Ministeri de Defensa d'Israel" - solucions Multi-Nivell
Per exemple, com sol · licitar una "llicència per part d'Israel Ministeri de Defensa" si fas les tecnologies de xifratge a Israel?
Assegureu-vos de ser una empresa israeliana, feu clic aquí i omplir els formularis.
Algú es comunicarà amb vostè de encryption-control@mod.gov.il i discutirà amb vostè si li concedeix o no la llicència per vendre.
Què fa el Departament de Defensa requerirà d'una companyia israeliana per tal de donar-los l'autorització per fabricar i vendre productes d'intercepció i el xifrat?
Bé, el que volen i el que en realitat ningú ho sap fer.
És un secret tractant d'Israel Ministeri de Defensa amb cada un "amb llicència" empresa.
El que sabem amb certesa és que Verint, una "llicència per part d'Israel Ministeri de Defensa", va col · locar una porta del darrere per interceptar les empreses i els governs dels EUA i els Països Baixos en els sistemes d'intercepció que s'estava venent.
Officier CIA va informar que Israel Ministeri de Defensa es va saber de pagar Verint un reemborsament del 50% dels seus costos per tal que els serveis d'espionatge de Verint través de la seva activitat comercial en la venda de "porta del darrere" equips d'intercepció per espiar els usuaris estrangers.
Pot ser un dubte legítima que la cooperació al Ministeri de Defensa d'Israel pot ser problemàtic per a una companyia israeliana que vol vendre la intercepció i el producte de xifrat a l'estranger.
Les empreses poden veure obligades a fer que els interessos d'Israel Ministeri de Defensa i no els interessos dels clients (com l'escàndol de Verint és un exemple del món real).
Així que, com un "Autoritzat pel Ministeri de Defensa d'Israel" sigui un parell de coses bones per promoure?
Es representen el risc que el "Ministeri de Defensa d'Israel", com és de coneixement públic que ja ha fet amb Verint, va a interferir amb el que l'empresa ho fan.
Es representen el risc que el "Ministeri de Defensa d'Israel" raonablement pot proporcionar el "reemborsament" de pagament de les despeses de l'empresa i obtenir el que és probable que li agradaria obtenir.
Així que, què significa realment "Ministeri de Defensa d'Israel" volen fer de les companyies d'Israel tecnologies de xifrat i d'intercepció?
En cas que ens preguntem si les empreses israelianes que realitzen el xifrat i les empreses d'intercepció estan més interessats en fer negocis o per fer els serveis d'espionatge "externalitzats" per al seu client sempre paga, el "Ministeri de Defensa d'Israel".
Per cert, en l'època de crisi financera, el Ministeri de Defensa d'Israel és un client que paga que no té problema de pressupost ...
El control estricte, les normes estrictes, la cooperació govern fort estratègica i militar.
Aneu amb compte.
Per llegir més sobre aquestes qüestions, sobre com les tecnologies d'alguns països sol ser contaminat amb els seus governs, les estratègies dels serveis militars i secret estigueu atents ja que estic preparant un post sobre això.
És molt més s'acosta a comprendre millor que els temes de la "llicència per part d'Israel Ministeri de Defensa".
Aquest post és per parlar sobre l'enfocament de "injusta" la comercialització d'Or-Lock, una companyia israeliana fent el xifrat de veu mòbil autoritzada pel Ministeri de Defensa d'Israel.
Arran d'un anunci vist a Linkedin "Seguretat de la Informació de la Comunitat" del grup:
GoldLock està oferint 100.000 $ EUA i un treball per a un unencryption
GoldLock, un xifrat d'Israel i empresa de seguretat està oferint 100.000 $ EUA i un treball a qualsevol persona capaç de desxifrar una conversa cel · lular continguda en un arxiu sempre al seu lloc ( https://www.gold-lock.com/app/en/? Wicket: interface =: 8 ::::).
La transcripció ha de ser enviat de tornada a GoldLock fins al 01 de febrer 2010.
El concurs és obert a tothom i qualsevol eina o tecnologia pot ser utilitzada.
Bona sort a tots!
Li vaig comentar:
El no tenir una especificació de protocol públic no és fins i tot científicament seriosa per fer un parell de trucs de màrqueting d'aquest tipus.
Jo diria que a l'or de bloqueig, anem a alliberar el codi font i deixeu que ningú compilar el motor criptogràfic si confia en no tenir alguna cosa desagradable a l'interior ... ;)
Toni Koivunen de F-Secure , va dir:
Així que ... Ells pagaran $ 100 mil si s'obté a través de la AES i la molèstia amb les tecles.
Si algú ho tregui sens dubte faria un camió carregat de diners en altres llocs. A més de que es retenen els drets sobre el codi de / la tecnologia que ells van crear, que no és el cas si es van dels $ 100 mil ja que la llicència molt clarament diu que:
# Una assignació de lletres a la Línia d'Or, en una forma satisfactòria per a la Línia Daurada de la tecnologia i el Pla de Treball (la "Tecnologia"). La forma d'assignació que ha de permetre la Línia Daurada de transferir els drets sobre la tecnologia de Línia d'Or, inclòs el dret al registre de patents i altres drets.
# Un comunicat de la forma i la renúncia, en una forma satisfactòria per a la Línia Daurada, degudament signat per vostè i qualsevol altre participant de qualsevol dret a la tecnologia.
A més, per descomptat Gold Line es reserva el dret de canviar les regles del joc, amb previ avís. O la necessitat de notificar després, tampoc.
Sona just :)
Michel Scovetta de Computer Associates , va dir:
Sembla que el propòsit d'això és aconseguir algunes proves barata fora d'ell, i ser capaç de dir alguna cosa com, "Els millors experts en criptografia en el món va tractar de trencar, i no van poder."
D'acord amb alguns dels documents al lloc web de Gold Lock, utilitzen ECC-256 i una "modificació DH d'intercanvi de claus" (que brunzeix meus sentits Spidey), SHA-256, a continuació, XOR per al xifrat de dades real. Utilitzen un llenguatge gairebé blasfema com: "Cada component de la solució d'Or Empresa de bloqueig s'ha provat i demostrat fora de perill de qualsevol atac imaginable."
* Comprovat * segur? * Qualsevol atac * concebible? Caram!
En un altre document al seu lloc, parlen de la seva primera capa basant-se en RSA de 1024 bits. GoDaddy ni tan sols permet claus de 1024 bits que s'usa més quan es genera $ 20 certificats SSL. Citen a 300 milions de MIPS anys de trencar, però si els meus matemàtiques són correctes, que es redueix a prop de 52 dies a la supercomputadora ara mateix. No és trivial, però això és un atac en línia, així que el temps és al costat de l'atacant.
La descripció a continuació, parla sobre el dispositiu que genera claus de 16k en registrar el dispositiu. Si el protocol és "segur", llavors hauria de ser "segur" amb una sola tecla. Si no sabeu amb una sola tecla, llavors la generació de claus 16k només podria fer 16k vegades més segur, el qual està molt lluny d'una prova de seguretat.
Estic d'acord amb Fabio - una competició justa seria la d'incloure el codi font i l'especificació de xifrat. A més, com han demostrat altres concursos (per exemple, SecureWebMail), el punt més feble no sol ser la criptografia. És tota la resta, i no s'assembla a res d'això s'ha revelat per al concurs.
Micro
Jo diria que totes aquestes consideracions dels experts en seguretat de les companyies de seguretat ben coneguts i establerts portar-nos a considerar que:
Seguretat de veu és una matèria sensible i manca de transparència i la relació del govern per les opcions de xifrat en general no ofereix res de bo ...
Pensa en això ...
El 2005 i 2007 al Brasil, milions de persones va ser blanc dels d'una apagada.
Inicialment es va presentar com un accident.
Ara se sap que va ser causat per un atac cibernètic contra els sistemes de control de l'electricitat.
Això va ser només un avançament del que un atac cibernètic en un mitjà per a la ciberguerra.
En un futur proper probablement veurem alguna cosa com 'oficines virtuals personalitzats d'Internet a les fronteres, la definició del que entra i el que surti igual que molts "no tan democràtiques" estan fent els països.
La guerra cibernètica afecta els drets digitals? Probablement sí, encara que espero que no.
Rússia és un lloc molt bonic per a qualsevol propietari de negoci de la ciberdelinqüència compromès.
FBI i McAfee estan tractant de fer alguna cosa , alguna vegada tindrà èxit?
Jo no ho crec, és una qüestió política que Rússia no va a extradir cap delinqüent i no es va a proporcionar forts cooperacions internacionals.
Sempre recorda que en Rússia, Xarxa de Negocis ha estat fortament sospita que havia fet col · laboracions amb el govern rus que aprofitava en diferents ocasions el seu poder i habilitats.
Són els polítics russos més interessats en protegir els seus guerrers cibernètics habilitats i activitats o per proporcionar la cooperació internacional?
Molt fàcil de respondre ...
Hola a tots,
en els últims anys he vist un increïble augment en la quantitat de "públic" notícies sobre espionatge en contra de diferents països occidentals i en general procedents de l'Extrem Orient, en general Xina.
Xina vol ser la major potència econòmica el 2020 i que està seguint un ritme de cultiu de 8% anual. El seu "controlat" el capitalisme sense la ineficàcia de la democràcia és una cosa que està copejant als països occidentals, menys eficient perquè democràtic.
Xina, amb la finalitat d'augmentar ràpidament la seva capacitat d'R + D crea un ampli ús d'espionatge, s'estima que el govern xinès té més de 1.000.000 d'agents d'intel · ligència a tot el món.
I saben com fer espionatge, la seva "espia" no costa tant com l'espionatge dels països occidentals, menys garanties, menys els pagaments.
També s'estan utilitzant d'espionatge cibernètic com una important font d'informació i de competitivitat enfront d'empreses dels països occidentals i els resultats de R + D del govern. Xina és tan poc cooperativa que ara també els països occidentals d'espionatge entre si, o fins i tot rus, utilitzar l'espai d'Internet a la Xina com la "base d'inici" per les seves activitats d'espionatge basades en Internet.
Jo sabia d'un phisher EUA que utilitza per construir el seu propi troià amb una versió xinesa de Windows XP amb una versió en xinès de Microsoft Visual Studio suite de desenvolupament. Per què? Per decepció d'informació, per tal d'ajustar l'esforç forense de l'analista de l'FBI i que ells pensen que els seus atacs propis venia de la Xina!
Tots els investigadors que veuen un atac procedent de la Xina solen pensar "Oh, merda, que ve de la Xina, estem perduts", i ara fins i tot la ciberdelinqüència utilitzar a Xina com un llunyà oest, la base intocable per als atacs cibernètics.
Tornar rastreig dels atacs procedents de la Xina, és com tractar d'esbrinar el que hi ha dins d'un forat negre , és un viatge d'anada i no hi ha informació torna.
Per donar una millor idea del que estic parlant acaba d'obtenir la llista de referència:
Alemanya acusa la Xina d'espionatge industrial
Xina alumne va a judici, com la indústria francesa d'espionatge temors
EUA vulnerable als ciber-espionatge xinès
Massive Network espionatge xinès
Xarxa Cibernètica espia també Finlàndia assignació d blancs
Com els països occidentals si mateixos defensen?
Això és alguns punts bons per parlar de perquè no hi ha manera senzilla de defensa contra l'espionatge que no sigui considerant-lo com una amenaça seriosa i concreta.
Els governs han de poder obtenir una major comprensió de que el seu enfocament als sistemes d'informacions i la política de seguretat de la informació ha no només existeix en el paper sinó que també s'aplica a tot arreu per tal de ser eficaç. Els governs són organitzacions complexes i només uns pocs són prou intel · ligent per ser capaç de fer amb rapidesa i eficàcia les polítiques de seguretat realment s'aplicarà en tota l'organització. Però estan intentant, sobretot els més competitius, com EUA, Regne Unit i Alemanya.
Empreses lloc ha d'adquirir consciència del problema que és present, disponible, el concret com el concret és la possibilitat que algú entri a les oficines per robar bé (no per l'espionatge). Perquè les empreses de la raó pràctica sistemes d'alarma, control d'accés amb l'escut, els sistemes de càmeres de vigilància.
Però l'espionatge no significa lluitar contra els lladres i protegir els pobres, sinó contra la més sofisticada, ja sigui tècnica i socialment, l'atacant que pot utilitzar les velles tècniques d'intel · ligència de l'escola sempre és eficaç. Aconseguir ocupació i el robatori d'informació mentre es treballa. Simular ser clients per establir un fideïcomís vincle amb un venedor i després trobar una raó perquè ho executessin algun tipus de programari maliciós "bé, però a mi una demostració de programari de modelització que el model utilitzat per mesurar el rendiment del seu producte no és la que s'anuncia. Mira-t'ho, consulti al seu acte amb el programari que utilitzen ". Què creus que el venedor farà per tal d'atrapar al client potencial?
Només la consciència, el coneixement sobre els problemes pot fer que aquest risc per ser considerat seriosament.
Els governs haurien de proporcionar finançament a les associacions industrials, cambres de comerços i organismes similars per tal de fer aquesta consciència nacional àmplia i deixar que els empresaris van prendre consciència i es va convertir preparat per reconèixer, identificar i detenir les activitats d'espionatge.
La perspectiva del dret
Els governs han d'enfortir les seves lleis per tal de poder comptar amb les eines necessàries per fer complir els drets de la protecció contra l'espionatge.
Mira l'anàlisi fet per la meva intel · ligent cosí Angelo Pietrosanti en matèria d'espionatge "És l'R + D europea igualment protegits d'espionatge a la R + D EUA?"
| País | Sanció civil contra l'amenaça de secret comercial | Sanció penal contra l'amenaça de secret comercial | Any d'última modificationg |
|---|---|---|---|
| EUA | 5.000.000 $ | fins 10 (de domenistic) o 15 (per a estrangers) anys de presó | 1996 ( Llei d'Espionatge Econòmic ) |
| Alemanya | SI | fins a 3 anys de presó | 1986 |
| França | 0.030.000 $ | fins a 2 anys de presó | 1992 |
| Regne Unit | SI | NO | 1984 |
| Itàlia | SI | fins a 2 anys de presó | 1942 |
| Suïssa | SI | fins a 3 anys de presó | 1986 |
| Finlàndia | SI | fins a 3 anys de presó | 1990 |
| Suècia | SI | fins a 6 anys de presó | 1990 |
| Els Països Baixos | SI | fins a 4 anys de presó | 1992 |
El que això mostra la taula?
Potser alguns la política europea sobre aquest punt podria ajudar.
En conclusió
Estem en una guerra econòmica, on el guanyador no és el que té més forces, però l'únic ésser tecnològicament més avançada, intel · ligent i econòmica.
Els xinesos estan demostrant ser prou agressiva i intel · ligent, que els països occidentals, ser capaç de reaccionar tant en la defensa i l'atac en aquesta guerra?
La força de la intel · ligència està augmentant a tot arreu ... també a Suïssa, que va tenir un enfocament de protecció de privacitat conegut!
Llegiu el article Wikileaks
Bonic intent de posar portes posteriors dins dels dispositius Blackberry.
Sembla que el govern dels Emirats Àrabs Units volia fer alguna cosa desagradable la col · locació de portes del darrere mínimes actualitzacions de programari en els dispositius BlackBerry (Etilsat vostre proveïdor pot local), òbviament amb la col · laboració de l'operador de telefonia mòbil en si.
Afortunadament, el poder de la comunitat de seguretat van descobrir i van donar a conèixer els fets. Mira-t'ho.
Pegat Etisat dissenyat per a la vigilància
La revista Wired: espies Blackberry
Seguretat només existeix amb la transparència.
És increïble.
Un home xinès s'ha dedicat a una activitat d'espionatge a favor de la República Popular de la Xina compra i exportació d'equips criptogràfics, la ràdio i altres equips de seguretat a eBay.
És increïble, llegir aquí , Chi Tong Kuok trobat a eBay:
És important subratllar que una bona criptografia no ha d'exigir "mètodes secrets", com els mètodes de seguretat ha de ser segura, fins i tot si es revela, com qualsevol tecnologia criptogràfica.
Però els xinesos probablement van entendre que aquest no és l'enfocament de la NSA que prefereixen utilitzar personalitzats, fets a si mateixos, autoanàlisi de tecnologies criptogràfiques que són probablement molt més feble que en l'actualitat les normes de xifrat.
Així que, per què no comprar una mica d'exportació restringida tecnologia de seguretat militar a eBay?
Faré una mica de profunditat en els articles sobre com realment funciona el xifrat de veu en entorns governamentals.
The open standards and open source still have to reach the military and government environments for what's related to secure speech.
To give you an idea of the complexity and kind of particular issues that exists, look at the USA 3G Wireless Security: A Government Perspective and the A Waveform Architecture to Support Security and Interoperability in Multi-National Wireless Networks for Tactical Communication .
They are using so-custom protocols like Secure Communications Interoperability Protocol that require the use of patented MELPe ultra-narrowband codec that there's not a real market of application and equipment using this. Only a small elite of government controlled companies from few countries manage this de-facto lobby.
Should we change this bringing open standards also to government sectors?
It seems that in UK the management became illuminated, they discovered that the most efficient way to fight a cyber war is to hire soldier that play in the battlefield everyday, only for passion.
UK Employs 'Naughty Boys' to Battle Other Hackers UK Employs 'Naughty Boys' to Battle Other Hackers
 |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |
 |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |