Hei alle,
Jeg fant dette svært interessant artikkel om Kina Kryptering import / eksport / Innenriks Forskrift gjort av Baker & McKenzie i USA.
Det er sterkt næringsliv og regulatoriske orientert gi en meget godt utført syn på hvordan Kina regelverket fungerer og hvordan den kan oppføre seg i fremtiden.
Les her Dekryptering Kina Kryptering forskrift (skjema Bakernet hjemmeside).
I '90, lukket kildekode og proprietær kryptografi var herskende verden.
Det er før åpen kildekode og vitenskapelig godkjente krypterte teknologier gikk ut som beste praksis for å gjøre crypto ting.
Jeg ønsker å minne når, i 1992, USA sammen med Israel var, sammen med Sveits, som gir backdoored (proprietære og hemmelige) teknologi for å iranske regjeringen å tappe deres kommunikasjon, lurer dem til å tro at den brukte løsningen var sikker, gjør også noe vederlaget på denne dag i 2010.
Det kalles The Crypto AG saken , en historisk faktum som involverer USA National Security Agency sammen med Signal Intelligence Division of Israel forsvarsdepartementet som er sterkt mistenkt for å hadde gjort en avtale med det sveitsiske kryptografi produsent selskap Crypto AG .
I utgangspunktet disse enhetene plassert en bakdør i den sikre crypto utstyr som de ga til Iran for å fange iranske kommunikasjon.
Deres crypto var basert på hemmelige og proprietær krypteringsalgoritmer utviklet av Crypto AG og etter hvert tilpasset for iranske regjeringen.
Du kan lese noen andre fakta om krypto AG backdoor relaterte problemstillinger:
Bortfallet av global telekommunikasjon sikkerhet
Breaking koder:? En umulig oppgave Av BBC
Der Spiegel Crypto AG (tysk) artikkel
Nå, i 2010, vi alle vet og forstår at hemmelig og proprietært crypto ikke fungerer.
Bare noen referanse av topp over hele verden kryptografiske eksperter nedenfor:
Hemmelighold, Sikkerhet, dystert med Bruce Schneier
Bare si nei til proprietære kryptografiske algoritmer av Network Computing (Mike Fratto)
Sikkerhet gjennom obskuritet av Ceria Purdue University
Låse opp hemmeligheter i Crypto: Kryptografi, Kryptering og Cryptology forklares ved Symantec
Tid forandre måten ting blir kontaktet.
Jeg liker veldig godt den berømte Philip Zimmermann påstand:
"Kryptografi pleide å være en obskur vitenskap, av liten relevans til hverdagen. Historisk, hadde det alltid en spesiell rolle i militære og diplomatiske kommunikasjon. Men i Information Age, er kryptografi om politisk makt, og særlig om maktforholdet mellom en regjering og dets folk. Det handler om retten til privatliv, ytringsfrihet, frihet til politisk forening, pressefrihet, frihet fra urimelige ransaking og beslag, frihet til å stå alene. "
Enhver forsker i dag godta og godkjenne Kerckhoffs "prinsippet som i 1883 i Cryptographie Militaire papiret uttalte:
Sikkerheten til en kryptosystem bør ikke avhenge holde algoritmen hemmelig, men bare på å holde talltasten hemmelig.
Det er helt klart at beste praksis for å gjøre kryptografi i dag obbly enhver seriøs person å gjøre åpen kryptografi, underlagt offentlig gjennomsyn og at følger Kerckhoff prinsippet.
Så, hva vi bør tenke på lukket kildekode, proprietær kryptografi som er basert på sikkerhetsmessige trough obskuritet begreper?
Jeg var ekstremt overrasket når IDAG, i 2010, i en alder av informasjonssamfunnet leste jeg noe papir på Crypto AG nettside.
Jeg inviterer alle til å lese Crypto AG sikkerheten papir kalt Sofistikert Security Architecture designet av Crypto AG som du kan få en betydelig utdrag nedenfor:
Utformingen av denne arkitektur gjør Crypto AG for å gi en hemmelig proprietær algoritme som kan spesifiseres for hver kunde for å sikre perfekte grad av kryptografisk sikkerhet og optimal støtte for kundens sikkerhetspolitikk. I sin tur gir Security Architecture du innflytelse må du være helt uavhengig i forhold til din kryptering løsningen. Du kan bestemme alle områder som omfattes av kryptografi og verifisere hvordan algoritmen fungerer. Den opprinnelige hemmelig proprietært algoritme av Crypto AG er grunnlaget for Security Architecture.
Jeg må si at deres arkitektur er absolutt godt fra TLC synspunkt. Også de har gjort en meget god jobb i å gjøre utformingen av overordnet arkitektur for å lage en tamper-proof motstandsdyktig crypto system ved hjelp av dedikert crypto prosessor .
Men det er fortsatt noe som mangler:
T han samlet kryptografisk konseptet er misvisende, basert på gale kryptering konsepter.
Du tror kanskje at jeg er et troll som forteller dette, men gitt historien til Crypto AG og gitt det faktum at alle vitenskapelige og sikkerhet samfunn ikke godkjenner sikkerhet trough dystert konsepter, ville det legitimt å spørre oss selv:
Hei, jeg tror at de har svært inngående kunnskap om telekommunikasjon og sikkerhet, men gitt at vitenskapen forteller oss om ikke å følge hemmelighold av algoritmer, jeg må virkelig alvorlig tvil om hvorfor de fortsatt gir proprietær kryptering og ikke flytter til standardløsninger (eventuelt med noen form for tilpasset ekstrautstyr).
Cyber konfliktene virkelig nådd et punkt der krig og cyberwar flette sammen.
NATO-landene har rett til å bruke makt mot angrep på datanettverk .
Du bør vite at Israel er et land der hvis et selskap trenger for å utvikle krypteringen produktet de må godkjennes av regjeringen.
Regjeringen ønsker ikke at selskaper som driver kryptografi kan gjøre noe galt med dem og hva de kan gjøre bra for regjeringen, så de må først bli godkjent.
Bedrifter gir oppfanging og encryptio nm Ust gjelder for en lisens fordi Israel lov på dette er så restriktiv å ligne på Kina lov .
Det er fordi de slags teknologier anses grunnleggende for etterretnings-og spionasje mulighetene i Israel land.
For å gi noen eksempel på "lisensiert av Israel Ministry of Defense" selskaper:
GSM krypteringsprodukter "lisensiert av Israel Ministry of Defense» - Gull-lås
Avskjæring av kommunikasjonsprodukter "lisensiert av Israel Ministry of Defense» - Verint
HF kryptert Radio "Licensed by Israel Ministry of Defense» - Kavit
Overvåkingstjenester og utstyr "Licensed by Israel Ministry of Defense» - Multi Tier Solutions
For eksempel hvordan man søke om "License ved Israel Ministry of Defense" hvis du gjør krypteringsteknologier i Israel?
Sørg for å være et israelsk selskap, klikk her og fyll formene.
Noen vil kontakte deg fra encryption-control@mod.gov.il og vil diskutere med deg om å gi deg eller ikke lisens til å selge.
Hva det amerikanske forsvarsdepartementet vil kreve fra et israelsk selskap for å gi dem fullmakt til å lage og selge avskjæring og kryptering produkter?
Vel, hva de ønsker og hva de egentlig spør ingen som vet.
Det er en hemmelighet handler om Israel forsvarsdepartementet med hver "lisensierte" selskap.
Hva vi vet sikkert er at Verint, en "Lisensiert av Israel Ministry of Defense", plasserte en bakdør for å avskjære selskaper og regjeringer i USA og Nederland inn oppfanging systemene de solgte.
CIA officier rapporterte at Israel forsvarsdepartementet var kjent for å betale Verint en refusjon på 50% av sine kostnader for å ha fra Verint spionasje tjenester gjennom sitt kommersielle virksomhet på å selge "backdoored" avskjæring utstyr for å spionere utenlandske brukere.
Det kan være en legitim tvil om at samarbeidet i det israelske forsvarsdepartementet kan være problematisk for et israelsk selskap som ønsker å selge avskjæring og kryptering produktet i utlandet.
Disse selskapene kan bli tvunget til å gjøre interessene til Israels Forsvarsdepartementet og ikke interessene til kundene (som Verint skandale er en real-world eksempel).
Så, hvordan ville en "Lisensiert av Israel Ministry of Defense" være en god ting for å fremme?
Det representerer risikoen for at «Israel Ministry of Defense", som er offentlig kjent at det allerede har gjort med Verint, vil forstyrre med hva selskapet gjør.
Det representerer risikoen for at «Israel Ministry of Defense" kan rimeligvis gi "refusjon" av kostnader betalende selskapet og få det de vil trolig ønsker å få.
Så, hva betyr egentlig "Israel Ministry of Defense" ønsker fra Israel selskaper som driver kryptering og avskjæring teknologi?
Bør vi spørre oss selv om israelske selskaper som driver kryptering og avskjæring bedrifter er mer interessert i å gjøre forretninger eller for å gjøre «outsourcet spionasje tjenester" for deres alltid betalende kunde, den "Israel Ministry of Defense".
For sikker, i en alder av finanskrisen, er det Israel Ministry of Defense en betalende kunde som ikke har budsjett problem ...
Streng kontroll, strenge regler, sterk regjering strategisk og militært samarbeid.
Vær forsiktig.
Hvis du vil lese mer om dette spiller noen rolle, om hvordan teknologi fra visse land er vanligvis forurenset med sine regjeringer militære og hemmelige tjenester strategier følg så jeg forbereder et innlegg om dette.
Du vil mye bedre forstå om at forsøkspersoner på "Licensed by Israel Ministry of Defense".
Dette innlegget er å snakke om "urettferdig" markedsføring tilnærming av Gold-Lock, en israelsk selskap som gjør mobiltelefoni kryptering godkjent av israelske Forsvarsdepartementet.
Etter en kunngjøring sett på Linkedin "Information Security Community" gruppe:
GoldLock tilbyr US $ 100.000 og en jobb for en unencryption
GoldLock, en israelsk kryptering og sikkerhet selskap tilbyr US $ 100.000 og en jobb til alle i stand til å dekryptere en mobil samtale i en fil forutsatt i sitt område ( https://www.gold-lock.com/app/en/? wicket: grensesnitt =: 8 ::::).
Transkripsjon må sendes tilbake til GoldLock til 1. februar 2010.
Konkurransen er åpen for alle og noe verktøy eller teknologi kan brukes.
Lykke til alle!
Jeg kommenterte:
Ikke å ha en offentlig protokoll spesifikasjonen er ikke engang vitenskapelig alvorlig å foreta en markedsføring triks som dette.
Jeg vil si til gull-lås, la oss slippe kildekoden og la hvem som helst kompilere den kryptografiske motoren hvis du stoler ikke å ha noe stygt inni ... ;)
Toni Koivunen fra F-Secure sier:
Så ... De vil betale $ 100k hvis du får gjennom AES og stresset med nøkler.
Hvis noen skulle klare det ville de sikkert gjøre en truckload mer penger andre steder. Pluss at de ville beholde rettighetene til koden / teknologi som de skapte, som ikke er tilfelle hvis de går for $ 100k siden License ganske klart sier at:
# Et oppdrag brev til Gold Line, i en form tilfredsstillende å Gullinjen av teknologi og arbeidsplanen (den "Technology"). Slik overdragelse skjema skal sette Gullinjen å overføre rettighetene på teknologien til Gold Line, inkludert retten til å registrere patenter og alle andre rettigheter.
# En utgivelse og frafallelse form, i en form tilfredsstillende til Gold Line, undertegnet av deg og alle andre deltakeren eventuelle rettigheter til teknologien.
Pluss selvfølgelig Gold Line forbeholder seg retten til å endre spillereglene med forhåndsvarsel. Eller behov for å varsle etterpå heller.
Høres rettferdig :)
Michel Scovetta fra Computer Associates sa:
Det høres ut som hensikten med dette er å få noen billige tester ut av det, og å kunne si noe sånt som "De beste krypto ekspertene i verden prøvde å bryte den, og var ikke i stand til."
Ifølge noen av de docs på Gold Lock hjemmeside, de bruker ECC-256 og en "modifisert DH nøkkel utveksling" (som kribler mine Spidey sanser), SHA-256, og deretter XOR for selve datakryptering. De bruker nesten blasfemisk språk som, "Hver komponent av Gold Lock Enterprise løsningen er testet og bevist sikre mot enhver tenkelig angrep."
* Bevist * sikker? * Enhver tenkelig * angrep? Yikes!
I en annen doc på nettstedet deres, de snakker om sin første lag å stole på 1024-bit RSA. GoDaddy ikke engang tillater 1024-bits nøkler som skal brukes lenger ved generering kr 20 SSL-sertifikater. De siterer 300 milliarder MIPS-år å bryte, men hvis min matte er riktig, kommer det ned til ca 52 dager i øverste superdatamaskin akkurat nå. Ikke trivielt, men dette er en offline angrep, så tiden er på siden av angriperen.
Beskrivelsen snakker da om enheten genererer 16K tastene når du registrere enheten. Dersom protokollen er "sikker", så det bør være "sikker" med bare en enkelt tast. Hvis det ikke er sikkert med en enkelt tast, og deretter generere 16K tastene kunne bare gjøre det 16K ganger sikrere, noe som er langt borte fra et bevis på sikkerhet.
Jeg er enig med Fabio - en rettferdig konkurranse ville være å inkludere kildekode og kryptografisk spesifikasjonen. Også, som andre konkurranser har vist (f.eks SecureWebMail), er det svakeste punktet ikke vanligvis kryptografi. Det er alle de andre ting, og det ser ikke ut som noe av det blir avslørt for konkurransen.
Mike
Jeg vil si at alle disse hensyn fra sikkerhetseksperter fra kjente og etablerte sikkerhetsselskaper bringe oss å tenke at:
Voice sikkerhet er et fornuftig forhold og mangler åpenhet og statlige forhold for kryptografiske valg vanligvis ikke gir noe godt ...
Tenk på det ...
I 2005 og 2007 i Brasil millioner av mennesker ble målrettet med en blackout.
I begynnelsen virket som en ulykke.
Nå er det kjent som ble forårsaket av en cyberangrep mot elektrisitet kontrollsystemer.
Det var bare en forhåndsvisning av hva en cyberangrep i en cyberwar midler.
I nær fremtid vil vi sannsynligvis se noe sånt som "virtuelle tilpassede lokaler 'på internett grenser, definere hva får inn og hva får ut som flere" ikke så demokratisk "land gjør.
Har cyberwar vil påvirke digitale rettigheter? Sannsynligvis ja, selv om jeg håper ikke det.
Russland er et veldig vakkert sted for noen engasjerte datakriminalitet bedriftseier.
FBI og Mcafee prøver å gjøre noe , gjør de noen gang vil lykkes?
Jeg tror ikke det, er det et politisk spørsmål som Russland ikke kommer til å utlevere noen cybercriminal og kommer ikke til å gi sterke internasjonale samarbeid.
Husk alltid at i Russland Business Network har vært sterkt mistenkt for å har gjort samarbeid med russiske myndigheter som leveraged i annen anledning deres makt og ferdigheter.
Er russiske politikere mer interessert i å beskytte sine cyber-krigere ferdigheter og aktiviteter eller til å gi internasjonalt samarbeid?
Ganske lett å svare ...
Hei alle,
i de siste årene så jeg en utrolig økning i mengden av "offentlig" nyheter om spionasje mot ulike vestlige land og som regel kommer fra langt øst, typisk Kina.
Kina vil være den største økonomiske makten innen 2020, og det er etter en vokse sats på 8% per år. Deres "kontrollert" kapitalisme uten ineffektiviteten av demokrati er det noe som er å slå de vestlige landene, mindre effektiv fordi demokratisk.
Kina, for å raskt vokse det FoU-kapasitet gjør en utstrakt bruk av spionasje, er det anslått at kinesiske myndigheter har mer enn 1.000.000 etterretningsagenter hele verden.
Og de vet hvordan du gjør spionasje, deres "spion" ikke koster så mye som vestlige lands spion, mindre garanti, mindre betalinger.
Også de bruker cyber spionasje som en viktig kilde til informasjon og konkurranseevne mot vestlige land selskaper og offentlige FoU-resultater. Kina er så un-kooperativ som nå også vestlige land spionerer hverandre, eller til og med russisk, bruker kinesisk internett plassen som "start base" for sine Internett-baserte spionasje aktiviteter.
Jeg visste om en USA phisher som brukes til å bygge sin egen trojaner med en kinesisk versjon av Windows XP med en kinesisk versjon av Microsoft Visual Studio utvikling suite. Hvorfor? For informasjon bedrag, for å justere etterforskning innsats av FBI analytiker og har dem tror at sine egne angrep kom fra Kina!
Eventuelle etterforskere som ser et angrep som kommer fra Kina vanligvis tenker "oh shit, kommer det fra Kina, vi mistet", og nå enda cybercrime bruke Kina som et langt vest, untouchable base for cyber-angrep.
Tilbake spore angrepene kommer fra Kina er det som å prøve å finne ut hva som er inni en svart hull , er det en enveis tur og ingen informasjon kommer tilbake.
For å gi bedre en ide om hva jeg snakker om bare få følgende liste over referanse:
Tyskland beskylder Kina for industrispionasje
Kinesisk trainee går på rettssaken som fransk industri frykter spionasje
USA sårbar for kinesisk Cyber Espionage
Massive kinesisk spionasje Network
Cyber Spy Network Også Targetting Finland
Hvordan forsvarer de vestlige landene gjør seg selv?
Det er en fin poeng å snakke om fordi det ikke finnes noen enkel måte å forsvare seg mot spionasje annet enn vurderer det som en alvorlig og konkret trussel.
Regjeringene bør kunne få mer forståelse for at deres tilnærming til informasjon systemer og informasjon sikkerhetspolitikk må ikke bare eksisterer på papiret, men også brukes overalt for å være effektive. Regjeringer er komplekse organisasjoner, og bare et fåtall er nok smart å være i stand til raskt og effektivt gjøre sikkerhetspolitikk virkelig bli gjennomført hele organisasjonen. Men de prøver å, spesielt de mest konkurransedyktige seg som USA, Storbritannia og Tyskland.
Bedrifter i stedet skal tilegne bevissthet om problemet som er til stede, tilgjengelig, betong som betong er sjansen for at noen gå inn i kontorene til å stjele god (ikke for spionasje). Derfor bedrifter sted alarmsystemer, adgangskontroll med skiltet, kamera overvåkingssystemer.
Men spionasje betyr ikke slåss og beskytter mot dårlige tyver men i stedet mot mer sofistikerte, enten teknisk og sosialt, angriper som kan bruke gamle skolen etterretning teknikker alltid effektive. Komme ansatt og stjele informasjon mens du arbeider. Simuler for å være kunder å etablere en kobling tillit med en selger, og deretter finne en grunn til å la ham kjøre noen ondsinnet programvare "hei, men min modellization programvare demostrate at modellen som brukes for å måle ytelsen til produktet det er ikke den du reklamerte. Sjekk det ut, se deg selv med programvaren vi brukte ". Hva tror du selger vil gjøre for å fange prospektet kunde?
Bare bevissthet, kunnskap om problemene kan gjøre slik risiko skal vurderes seriøst.
Myndighetene bør gi finansiering til industrielle foreninger, kammermusikk av commerces og lignende institusjoner for å gjøre en slik bevissthet nasjonale bredt og la entreprenører ble bevisst og ble forberedt på å gjenkjenne, identifisere og stoppe spionasje aktiviteter.
Loven perspektiv
Regjeringene bør styrke sine lover for å kunne ha de nødvendige rettigheter verktøy for å håndheve beskyttelsen fra spionasje.
Se på analysen gjort av min smarte kusine Angelo Pietrosanti på spionasje "Er det europeiske R & D Like beskyttet mot spionasje som i USA R & D?"
| Land | Civil Sanksjon mot forretningshemmelighet trussel | Strafferettslig reaksjon mot forretningshemmelighet trussel | Year of siste modificationg |
|---|---|---|---|
| USA | 5 MLN $ | opp til 10 (for domenistic) eller 15 (for utlendinger) Årelang Jail | 1996 ( Economic Espionage Act ) |
| Tyskland | JA | opp til 3 års fengsel | 1986 |
| Frankrike | 0.03 MLN $ | opptil 2 års fengsel | 1992 |
| Storbritannia | JA | NO | 1984 |
| Italia | JA | opptil 2 års fengsel | 1942 |
| Sveits | JA | opp til 3 års fengsel | 1986 |
| Finland | JA | opp til 3 års fengsel | 1990 |
| Sverige | JA | opptil 6 års fengsel | 1990 |
| Nederland | JA | inntil 4 år av fengsel | 1992 |
Hva denne tabellen show?
Kanskje noen europeisk politikk på dette kan hjelpe.
I konklusjonen
Vi er i en økonomisk krig der vinneren er ikke den som har flere styrker, men den ene er mer teknologisk avansert, og økonomisk smart.
Kinesisk demonstrerer å være nok aggressiv og smart, vil de vestlige landene kunne reagere både på forsvar og angrep i denne krigen?
Intelligens Styrken øker overalt ... også i Sveits som hadde en velkjent personvern tilnærming!
Nice forsøk på å plassere bakdører inne Blackberry-enheter.
Det virker som UAE regjeringen ønsket å gjøre noe stygt å plassere bakdører trough programvareoppgraderinger i Etilsat (lokal mobiloperatør) BlackBerry-enheter, selvsagt i samarbeid med mobiloperatøren selv.
Heldigvis oppdaget kraften i sikkerhetsmiljøet og avduket fakta. Sjekk det ut.
Etisat patch laget for overvåking
Wired magazine: Blackberry spioner
Sikkerhet eksisterer bare med åpenhet.
Det er utrolig.
En kinesisk mann har vært engasjert innenfor en spionasje aktivitet for Folkerepublikken Kina kjøpe og eksportere kryptografiske utstyr, radio og andre sikre maskinvare på eBay.
Det er unbelivable, lese det , Chi Tong Kuok funnet på eBay:
Det er viktig å understreke at god crypto ikke burde kreve "hemmelige metoder" som sikkerhet metodene skal være sikre, selv om avslørt, som enhver kryptografisk teknologi.
Men kinesiske nok forstått at dette ikke er den tilnærmingen til NSA som foretrekker å bruke tilpassede, selvlagde, selvstendig analysert kryptografiske teknologier som sannsynligvis er mye svakere enn i dag kryptografiske standarder.
Så, hvorfor ikke kjøpe noe eksport begrenset militær sikker teknologi på ebay?
Jeg vil gjøre noe i dybden artikler om hvordan stemmen kryptering egentlig fungerer i offentlige miljøer.
De åpne standarder og åpen kildekode har fortsatt å nå de militære og regjeringen miljøer for hva som er relatert til sikre tale.
For å gi deg en ide om kompleksiteten og typen særskilte forhold som eksisterer, se på USA 3G Wireless Security: En regjering perspektiv og en bølgeform Architecture å støtte Sikkerhet og Interoperabilitet i Multi-National trådløse nettverk for Tactical Communication .
De bruker såkalte tilpassede protokoller som Secure Communications Interoperability Protocol som krever bruk av patenterte MELPe ultra-Smalbånd kodek at det ikke er en reell marked av søknaden og utstyr som bruker denne. Bare en liten elite av statlige kontrollerte selskaper fra noen få land klarer dette de-facto lobbyen.
Bør vi endre dette bringe åpne standarder også til statlige sektorer?
Det virker som i Storbritannia ledelsen ble opplyst, oppdaget de at den mest effektive måten å bekjempe en cyberkrig er å leie soldat som spiller i slagmarken hverdagen, bare for lidenskap.
 |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |
 |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |