Ahoj všem,
Našel jsem velmi zajímavou knihu o šifrování Číně Import / Export / tuzemsko řádu provedené Baker & McKenzie v USA.
Je to silně obchodní a regulační orientované dávat velmi dobře odvedenou pohled na to, jak Čína předpisy funguje a jak se může chovat v budoucnu.
Přečtěte si zde Dešifrování Čína šifrování s předpisy (formulář Bakernet webové stránky).
V '90, uzavřený zdroj a proprietární kryptografie byla vládnoucí světu.
To je dříve, než open source a vědecky schválené šifrované technologií vyšel jako nejlepší praxe dělat crypto věci.
Chtěl bych připomenout, když v roce 1992, USA spolu s Izraelem byl, spolu se Švýcarskem, které poskytují backdoored (majetková a tajné) technologie pro íránskou vládu, aby klepněte na jejich komunikaci, podvádění, aby si mysleli, že použité řešení je bezpečný, takže i některé protiplnění, na to dnes v roce 2010.
Tomu se říká Crypto AG případ , historická skutečnost se Spojenými státy Národní bezpečnostní agentury společně s Signal Intelligence odboru izraelského ministerstva obrany , které jsou silně podezření, že uzavřel dohodu se švýcarskou společností kryptografie výrobce Crypto AG .
V podstatě tyto subjekty umístil backdoor v bezpečném zařízení, crypto, že pokud do Íránu zachytit íránské komunikace.
Jejich crypto byla založena na tajných a proprietární šifrovací algoritmy vyvinuté Crypto AG a nakonec přizpůsobené pro íránskou vládou.
Můžete si přečíst i další fakta o kryptografických backdoor otázek souvisejících AG:
Demise globální telekomunikační bezpečnosti
Vypínací kódy:? Nemožný úkol podle BBC
Der Spiegel Crypto AG (německy) článek
Nyní, v roce 2010, všichni víme, a pochopit, že tajemství a proprietární šifrovací nefunguje.
To jsou jen některé Odkaz předních světových odborníků kryptografických níže:
Tajemství, bezpečnosti, nesrozumitelnosti od Bruce Schneier
Stačí říct ne hromadně kryptografických algoritmů podle Computing Network (Mike Fratto)
Bezpečnost přes neznámo od Ceria Purdue University
Odkrývání tajemství Crypto: Kryptografie, šifrování a kryptologie vysvětlit od společnosti Symantec
Čas změnit způsob, jakým se věci přiblížil.
Líbí se mi moc slavný Philip Zimmermann tvrzení:
"Šifrování bývala temná věda, malý význam pro každodenní život. Historicky, to vždycky zvláštní roli ve vojenských a diplomatických komunikací. Ale v informačním věku, kryptografie je o politickou moc, a zejména o síle vztahu mezi vládou a jejími obyvateli. Jde o právo na soukromí, svobodu projevu, svobodu sdružování, svobodu tisku, svobodu od zbytečného hledání a zabavení, svoboda být sám. "
Každý vědec dnes přijmout a schválit princip Kerckhoffs států , které v roce 1883 v Cryptographie Militare kniha uvádí:
Bezpečnost na kryptografický systém by neměl záviset na udržení algoritmu v tajnosti, ale jen na udržení číselné tlačítko tajemství.
Je naprosto jasné, že nejlepší praxe pro to šifrování dnes obbly nějakou vážnou osobou pro otevřenou kryptografii, s výhradou veřejného přezkumu a že následovat Kerckhoff princip.
Takže, co bychom měli přemýšlet o uzavřený zdroj, vlastní šifrování, který je založen na minimálních bezpečnostních koncepcí neznáme?
Byl jsem extrémně překvapen, když dnes, v roce 2010, ve věku informační společnosti jsem četl nějaký článek o Crypto AG internetových stránkách.
Zvu všechny, aby si přečíst Crypto AG bezpečnostní papír s názvem Důmyslný bezpečnostní architektura navržená Crypto AG , které můžete získat významnou ukázku níže:
Design této architektury dovolí Crypto AG poskytnout tajné patentovaného algoritmu, který může být určen pro každého zákazníka, aby byla zajištěna perfektní stupeň kryptografické bezpečnosti a optimální podpoře zákazníka bezpečnostní politiky. Na druhé straně, bezpečnostní architektura dává vliv, musíte být zcela nezávislý, pokud jde o šifrovacím řešení. Můžete určit všechny oblasti, které jsou popsány kryptografie a ověřit, jak algoritmus funguje. Původní tajemství vlastní algoritmus Crypto AG je základem bezpečnostní architektury.
Musím říct, že jejich architektura je absolutně dobrý z pohledu TLC pohledu. Také oni odvedli velmi dobrou práci, dělat design celkové architektury, aby si znemožnění nedovolené odolný šifrovací systém, pomocí vyhrazené kryptografický procesor .
Je zde však ještě něco chybí:
T se celková koncepce je kryptografický zavádějící, na základě špatných šifrování konceptů.
Můžete si myslet, že jsem řekl troll, ale vzhledem k tomu, historie Crypto AG a vzhledem k tomu, že všechny vědecké a bezpečnostní komunita neschválí bezpečnostní koncepty koryto nejasnosti, bylo by to legitimní ptát sami sebe:
Ahoj, myslím, že oni mají velmi hluboké znalosti o telekomunikační a bezpečnosti, ale vzhledem k tomu, že věda nám nemůže následovat utajení algoritmu, opravdu mají vážné pochybnosti o tom, proč jsou stále poskytuje vlastní šifrování a nepohybuje se na standardní řešení (případně s nějakou vlastní příslušenství).
Cyber konflikty jsou opravdu dosáhl bodu, kdy válka a kybernetická válka spojit dohromady.
Země NATO mají právo používat sílu proti útokům na počítačové sítě .
Měli byste vědět, že Izrael je země, kde v případě společnosti je třeba vyvinout šifrovací produkt musí být schváleny vládou.
Vláda nechce, aby podniky dělají kryptografie může udělat něco špatného s nimi a co mohou udělat dobrého pro vládu, takže musí být nejprve schválena.
Společnosti poskytující zachycování a encryptio nm Ust vztahují licence, protože Izrael právo na to je tak omezující, že podobná porcelánu práva .
To proto, že ty druhy technologií jsou považovány za zásadní pro zpravodajské a špionážní schopnosti státu Izrael.
Dát nějaký příklad "Licenční Izraelem Ministerstva obrany" společností:
GSM šifrování "Licencované výrobky Izraelem Ministerstva obrany" - Gold-lock
Zachycování komunikačních produktů "Licenční Izraelem Ministerstva obrany" - Verint
HF šifrované Radio "licencí Izraelem Ministerstva obrany" - Kavit
Kontrolní služby a zařízení "licencí Izraelem Ministerstva obrany" - Multifunkční Tier řešení
Například jak zažádat o "licenci od ministerstva obrany Izrael" pokud si šifrovací technologie v Izraeli?
Ujistěte se, že izraelská společnost, klikněte zde a vyplňte formuláře.
Někdo z Vás bude kontaktovat encryption-control@mod.gov.il~~pobj a bude s vámi, zda se vám nebo ne licenci k prodeji.
Co ministerstvo obrany bude vyžadovat od izraelské společnosti s cílem poskytnout jim povolení, aby odposlouchávací a prodávat výrobky a šifrování?
No, co chtějí a co skutečně ptát nikdo neví.
Je to tajná jednání Izraele ministerstva obrany s každým "licence" společnosti.
Co víme jistě je, že Verint, "Licencované Izraelem Ministerstva obrany", umístěný backdoor zachytit společností a vlád v USA a Holandsku do odposlechu systémech, které se prodávají.
CIA Officier hlásil, že Izrael Ministerstvo obrany bylo známo, že zaplatí Verint na vrácení 50% ze svých nákladů, aby měli z Verint žlabu špionážní služby svoji obchodní činnost na prodej "backdoored" odposlechu zařízení špehovat zahraniční uživatele.
To může být důvodné pochybnosti, že spolupráce v rámci izraelského ministerstva obrany mohou být problematické pro izraelské společnosti, které chtějí prodat odposlechu a šifrování produkt v zahraničí.
Tyto společnosti mohou být nuceni, aby se zájmy Izraele Ministerstva obrany a ne na zájmy zákazníků (jako Verint skandálu je v reálném světě příklad).
Tak, jak by se "licencí Izraelem Ministerstva obrany" Buď dobré věci na podporu?
Představovat riziko, že "Izrael ministerstvo obrany", jako je veřejně známo, že již udělal s Verint, bude zasahovat s tím, co firma udělat.
Představovat riziko, že "Izrael ministerstvo obrany" rozumně poskytnout "náhradu" nákladů platících společnost a dostat to, co by pravděpodobně bychom se rádi dostali.
Takže, co se opravdu "Izrael Ministerstvo obrany" chtějí od firem Izrael dělá šifrování a odposlouchávací technologie?
Měli bychom se ptát sami sebe, zda izraelské společnosti dělají šifrování a odposlouchávací podniky, mají větší zájem podnikat nebo dělat "outsourcované služby špionáž" pro jejich stále platícího zákazníka a "Izrael Ministerstvo obrany".
Jisté je, že v době finanční krize, Izrael Ministerstvo obrany je platící zákazník, který nemá rozpočet problém ...
Přísná kontrola, přísná pravidla, silná vláda strategické a vojenské spolupráce.
Buďte opatrní.
Pokud si chcete přečíst více o této záležitosti, o tom, jak technologie z některých zemí je obvykle znečištěn s jejich vládami a vojenské tajné služby strategie zůstaňte naladěni jako já připravuje příspěvek o tom.
Budete mnohem lépe pochopit, o které subjektů na "licencí Izraelem Ministerstva obrany".
Tento příspěvek je mluvit o "nespravedlivé" marketingového přístupu Gold-Lock, izraelské společnosti dělají mobilní hlasové šifrování povolené izraelského ministerstva obrany.
V návaznosti na oznámení vidět na LinkedIn "Společenství informační bezpečnosti" skupina:
GoldLock nabízí US $ 100.000 a práci pro unencryption
GoldLock, izraelská šifrování a bezpečnostní agentura nabízí US $ 100.000 a práci každému, kdo je schopen dešifrovat mobilní konverzaci obsažené v souboru poskytované na jejich stránkách ( https://www.gold-lock.com/app/en/? branka: rozhraní =: 8 ::::).
Přepis, musí být poslán zpět do GoldLock až do 1. února 2010.
Soutěž je otevřená pro všechny a žádné přístroje nebo technologie mohou být použity.
Hodně štěstí všem!
I řekl:
Nemít veřejné specifikovat protokol není ani vědecky závažná, aby marketingové triky, jako je tento.
Řekl bych, že se zlato-zámek, pojďme se uvolnit zdrojový kód a zkompilovat, aby někdo šifrovací stroj, pokud důvěřujete, aby se něco ošklivé uvnitř ... ;)
Toni Koivunen z F-Secure , řekl:
Takže ... Oni budou platit $ 100k, pokud se dostanete přes AES a starosti s tlačítky.
Pokud by někdo vytáhnout ho, že by jistě náklaďák více peněz jinde. Navíc by zachování práva na kód nebo technologie, jež sami vytvořili, což není tento případ, pokud jdou za $ 100k, protože licence docela jasně říká, že:
# Přiřazení dopis Gold Line, ve formě vyhovující GOLD LINE vaší techniky a pracovního plánu "technologie"). Takové zadání umožní Zlatou linku převést práva na technologii, na Gold Line, včetně práva na registraci patentů a všechna ostatní práva.
# Propuštění a upuštění formě, ve formě uspokojivé Gold Line, řádně provedený vámi a jiným účastníkem veškerých práv k technologii.
Plus samozřejmě Gold Line si vyhrazuje právo změnit pravidla hry s předchozího upozornění. Nebo by bylo třeba informovat později jeden.
Zní to spravedlivé :)
Michel Scovetta od Computer Associates , řekl:
Zní to jako účelem je získat nějaké levné zkoušky z něj, a aby bylo možné říci něco jako: "Nejlepší šifrovací odborníci na světě se snažil rozbít to, a byl neschopný."
Podle některých dokumentech na internetových stránkách Gold Lock, oni používají ECC-256 a "upravený DH výměnu klíčů" (což Spidey brnění mé smysly), SHA-256, a pak XOR pro vlastní šifrování dat. Oni používají prakticky rouhačské jazyk jako: "Každá součást Enterprise Gold Lock řešení je testována a prokázána bezpečné proti libovolnému útoku."
* Osvědčený * bezpečné? * Všechny myslitelné * útok? Yikes!
V jiném dokumentu na svých stránkách, mluví o své první vrstvě spoléhat na 1024 bit RSA. GoDaddy není dokonce umožňují 1024-bitové klíče použít již při generování $ 20 SSL certifikáty. Oni citují 300 miliard MIPS let zlomit, ale když je moje matematika je správné, že přijde až o 52 dní na horní superpočítače právě teď. Není triviální, ale to je v režimu offline útok, takže čas je na straně útočníka.
Popis pak hovoří o zařízení generující 16K klíče při registraci zařízení. Pokud protokol je "bezpečný", pak by to mělo být "bezpečné" pouze jednoho tlačítka. Pokud to není bezpečný s jedním klíčem, pak generování klíčů 16K mohl jen dělat to 16K krát bezpečnější, což je daleko od dokladu o bezpečnosti.
Souhlasím s Fabio - veletrh soutěž bude zahrnovat zdrojový kód a šifrovací specifikaci. Také, jako jiné soutěže prokázaly (např. SecureWebMail), nejslabší místo není obvykle kryptografie. Je to všechno z dalších věcí, a to nevypadá jako nic z toho se do soutěže zveřejněny.
Mikrofon
Řekl bych, že všechny tyto úvahy z bezpečnostních odborníků ze známé bezpečnostní společnosti a založil přivést nás k závěru, že:
Hlas bezpečnost je rozumné otázky a postrádá transparentnost a vládní vztah pro kryptografické volby obvykle nenabízí nic dobrého ...
Přemýšlejte o tom ...
V letech 2005 a 2007 v Brazílii milionů lidí bylo cílené od výpadku proudu.
Zpočátku to vypadalo jako nehoda.
Nyní je známo , že byl způsoben kybernetickým útokem proti systémy řízení elektrické energie.
To byla jen ukázka toho, co kybernetický útok v kybernetického prostředky.
V blízké budoucnosti budeme pravděpodobně vidět něco jako "virtuální celních úřadech států na internetových hranice, která definuje, co dostanete a co dostat ven jako několik" ne tak demokratických "zemích dělají.
Má kybernetická válka bude mít vliv digitálních práv? Pravděpodobně ano, i já doufám, že ne.
Rusko je velmi krásné místo pro všechny majitele počítačové trestné činnosti spáchané podnikání.
FBI a McAfee se snaží něco dělat , se jim někdy podaří?
Já si to nemyslím, je to politická otázka, jak Rusko se nehodlá vydat jakékoli cybercriminal a nebude představovat silnou mezinárodní spolupráci.
Vždy pamatujte, že v Rusku Business Network je silně podezřelý udělal spoluprací s ruskou vládou, která v různých spekulativní příležitosti jejich výkonu a dovednosti.
Jsou ruští politici větší zájem na ochranu svých počítačů v bojovníky dovednosti a činnosti, nebo na mezinárodní spolupráci?
Poměrně snadno odpovědět ...
Ahoj všem,
v posledních několika letech jsem viděl neuvěřitelný nárůst množství "veřejnost" zprávy o špionáži proti různým západních zemích a obvykle přicházejí z dalekého východu, obvykle porcelánu.
Čína chce být největší ekonomickou mocností v roce 2020 a to v návaznosti na pěstební výši 8% ročně. Jejich "řízené" kapitalismus bez neúčinnosti demokracie je něco, co porazil západních zemích, méně efektivní, protože demokratický.
Čína, aby rychle roste je to R & D kapacity dělat rozsáhlé užití ze špionáže, se odhaduje, že čínská vláda má více než 1.000.000 zpravodajskými agenty po celém světě.
A vědí, jak na špionáž, jejich "špionážní" nestojí, že podobně jako špion západních zemí, méně záruk a menší platby.
Také oni využívají počítačové špionáže jako důležitý zdroj informací a konkurenceschopnosti vůči západním zemím společností a vládních výsledků výzkumu a vývoje. Čína je tak ne-družstvo, které nyní i západní země špionážní sebe, nebo dokonce ruské, čínské internetové použít prostor jako "Start" pro základnu svých internetových založené zpravodajské činnosti.
Věděl jsem, že z phisher USA, které pro stavbu svůj vlastní doména s čínskou verzi Windows XP s čínskou verzi Microsoft Visual Studio vývojové sady. Proč? Pro informace podvodu, aby k vyladění forenzní úsilí o analytik FBI a nechat si myslím, že vlastní útoků přichází z Číny!
Jakékoliv vyšetřovatelé, které vidí útok přichází z Číny, že typicky "Do prdele, to přijde z Číny, jsme ztraceni", a nyní dokonce i počítačové trestné činnosti používají Čínu jako daleko-západ, nedotknutelné základna pro útoky z internetu.
Zpět sledování útoky přicházející z Číny je to jako snažit se zjistit, co je uvnitř černé díry , je to jednosměrka a žádné informace vrátí.
Aby lépe představu o tom, co jsem mluvil jen o tom si následující seznam odkazu:
Německo obviňuje Čínu z průmyslové špionáže
Čínský žák se dostal před soud za špionáž francouzský průmysl obává
USA ohrožená čínským Cyber špionáž
Cyber špionážní síť i cílení Finsko
Jak se bránit sám sebe západní země?
To je hezký bodů hovoří o, protože neexistuje žádný jednoduchý způsob, jak se bránit proti špionáži, než s ohledem na to jako vážné a konkrétní hrozbu.
Vlády by měly mít možnost získat více pochopení, že jejich přístup k Informations systémy a informační bezpečnostní politiky musí být nejen existuje na papíře, ale rovněž použít všude, aby bylo efektivní. Vlády jsou komplexní organizace, a jen málo z nich je natolik chytrý, aby mohli rychle a efektivně, aby bezpečnostní politika skutečně realizovány celé organizace. Ale oni se snaží, zejména těch konkurenčních, jako je USA, Velké Británii a Německu.
Firmy místo by si měli osvojit povědomí o tomto problému, který je přítomen, k dispozici, beton jako beton, je šance, že někdo vstoupí do kanceláří ukrást dobře (ne pro špionáž). Z tohoto důvodu je místo systémy společnosti alarm, kontroly přístupu s odznakem, systémy kamerové sledování.
Ale špionáž neznamená bojovat a chránit před zloději, ale místo toho chudých proti složitější, ať už technicky a sociálně, útočníka, který může používat staré techniky školní inteligence vždy efektivní. Získání zaměstnání a krást informace při práci. Simulovat být zákazníkům vytvořit odkaz důvěru v prodejce a pak najít důvod, aby nechal jej spustit nějaký škodlivý software "Hele, ale můj modellization software demostrate, že váš model používá k měření výkonnosti vašeho produktu není to ten, který inzeroval. Koukni na to, naleznete v sebe se softwarem jsme použili! ". Co si myslíte, že prodejce bude dělat, aby se chytit potenciálních zákazníků?
Jen povědomí, znalosti o problematice může takové riziko je třeba zvážit vážně.
Vlády by měly poskytovat finanční prostředky na průmyslové asociace, Komora commerces a podobných agentur, aby takové národního uvědomění široké a nechte podnikatele se stala vědomá a stal ochoten uznat, identifikovat a zastavit špionážní činnosti.
Zákon perspektiva
Vlády by měly posilovat své zákony, aby mohli mít požadované nástroje k prosazování práva na ochranu před špionáže.
Podívejte se na analýzy provedené mé inteligentní bratranec Angelo Pietrosanti o špionáži "Je evropský VaV Stejně tak chráněn před špionáží, jak v americkém výzkumu a vývoje?"
| Země | Civilní sankce proti ohrožení obchodního tajemství | Trestní postih proti ohrožení obchodního tajemství | Rok poslední modificationg |
|---|---|---|---|
| Spojené státy americké | 5 mil. $ | až 10 (pro domenistic) nebo 15 (pro cizince) let vězení | 1996 ( hospodářská špionáž zákon ) |
| Německo | ANO | až 3 roky vězení | 1986 |
| Francie | 0,03 mil $ | až 2 roky vězení | 1992 |
| Spojené království | ANO | NE | 1984 |
| Itálie | ANO | až 2 roky vězení | 1942 |
| Švýcarsko | ANO | až 3 roky vězení | 1986 |
| Finsko | ANO | až 3 roky vězení | 1990 |
| Švédsko | ANO | až 6 let vězení | 1990 |
| Nizozemsko | ANO | až 4 roky vězení | 1992 |
Co tato tabulka show?
Možná, že některé evropské politiky o tom mohl pomoci.
Na závěr
Jsme v ekonomické válce, kde vítěz není ten, že má více síly, ale z nich je více technologicky pokročilé a ekonomicky chytré.
Číňané se prokáže být dost agresivní a chytří, budou západní země byla schopna reagovat jak na obranu a útok v této válce?
Inteligence síla roste všude ... také ve Švýcarsku, který měl známý ochraně soukromí přístup!
Přečtěte si článek WikiLeaks
Pěkný pokus umístit zadní vrátka v zařízení BlackBerry.
Zdá se, že SAE vláda chtěla něco udělat, ošklivé uvádějí backdoor aktualizace softwaru v rovnovážném stavu Etilsat v místní mobilní operátor) zařízení BlackBerry, samozřejmě ve spolupráci s mobilním operátorem sám.
Naštěstí síla bezpečnostní komunity objevil a odhalil fakta. Check it out.
Etisat náplast určená pro dohled
Wired Magazine: Blackberry vyzvědači
Bezpečnost existuje pouze s průhledností.
Je to úžasné.
Čínský chlap se zabývá v rámci špionážní činnost pro lidové republiky Číny nákup a export šifrovacích výstroje, rádio a další bezpečný hardware na eBay.
Je to unbelivable, číst tam , Chi Tong Kuok nalézt na eBay:
Je důležité zdůraznit, že dobré crypto by neměly vyžadovat "tajné metody", jak metod zabezpečení by měla být bezpečná, i když odhalila, stejně jako ostatní šifrovací technologie.
Ale Číňané pravděpodobně pochopil, že to není přístup, že NSA preferujete vlastní, self-made s vlastním analyzovány šifrovacích technologií, které jsou zřejmě mnohem slabší než dnes kryptografických standardů.
Takže, proč ne koupit nějaké vývozu omezen vojenské bezpečnou technologii na eBay?
Udělám nějaké důkladné články o tom, jak hlas šifrování opravdu funguje ve vládních prostředí.
The open standards and open source still have to reach the military and government environments for what's related to secure speech.
To give you an idea of the complexity and kind of particular issues that exists, look at the USA 3G Wireless Security: A Government Perspective and the A Waveform Architecture to Support Security and Interoperability in Multi-National Wireless Networks for Tactical Communication .
They are using so-custom protocols like Secure Communications Interoperability Protocol that require the use of patented MELPe ultra-narrowband codec that there's not a real market of application and equipment using this. Only a small elite of government controlled companies from few countries manage this de-facto lobby.
Should we change this bringing open standards also to government sectors?
It seems that in UK the management became illuminated, they discovered that the most efficient way to fight a cyber war is to hire soldier that play in the battlefield everyday, only for passion.
UK Employs 'Naughty Boys' to Battle Other Hackers UK Employs 'Naughty Boys' to Battle Other Hackers
 |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |
 |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |