Rozszerzenia

Google dołącza do Mozilli i przestaje ufać dwóm dużym urzędom certyfikacji

Po tym jak kilka dni temu Mozilla poinformowała o utracie zaufania dla WoSigna i StartCom podobne oświadczenie wydało Google. Nowe certyfikaty SSL wydawane już od 21 października przez dwa powyższe urzędy certyfikacji nie będą uznawane za  zaufane w Chrome. Zmiany będą widoczne od wersji 56. Decyzja ogłoszona przez Google (a…

Identyfikacja pochodzenia kluczy RSA

Czy wyłącznie na podstawie klucza publicznego RSA możliwa jest identyfikacja generatora użytego do jego wygenerowania? Na to pytanie odpowiedzieli w swojej pracy (tutaj jej rozszerzona wersja) pracownicy czeskiego uniwersytetu Masaryka (czes. Masarykova univerzita). Na potrzeby badań, naukowcy wygenerowali ponad 60 milionów pary kluczy RSA przy użyciu 38 różnych generatorów wśród…

Zbiór technicznych standardów eIDAS

Europejski Instytut Norm Telekomunikacyjnych ETSI (ang. European Telecommunications Standards Institute) opublikował właśnie standardy (a właściwie zebrał w jednym miejscu wcześniej publikowane dokumenty) opisujące szereg technicznych aspektów mających zastosowanie dla rozporządzenia eIDAS. Wśród nich znajdziecie np. wymagania dotyczące struktury certyfikatów czy akceptowalnych algorytmów kryptograficznych. Wszystkie dokumenty można pobrać tutaj.

Google eksperymentuje z kryptografią odporną na komputery kwantowe

Nie od dziś wiadomo, że komputery kwantowe mogą w przyszłości stać się zagrożeniem dla bezpieczeństwa szeroko wykorzystywanej obecnie kryptografii klucza publicznego (znanej także pod nazwą kryptografii asymetrycznej). Specyfika komputerów kwantowych pozwala bowiem na wykonywanie pewnych obliczeń o wiele szybciej niż potrafią to robić dzisiejsze komputery co pozwalało będzie na praktyczne…

Sekurak/Offline #2

Wczoraj ukazał się drugi numer Sekurak/Offline – magazynu w którym znajdziecie 9 artykułów dotyczących bezpieczeństwa aplikacji WWW. Czytelnikom Kryptosfery tym razem szczególnie polecam tekst o HTTP Public Key Pinning. Jeżeli nie czytałeś jeszcze pierwszego numeru, zachęcam.

Trywialny błąd pozwalał na nieuprawione pozyskanie certyfikatu SSL [Aktualizacja]

Niepoprawna walidacja danych wejściowych w formularzu urzędu certyfikacji StartSSL umożliwiała pozyskanie certyfikatu SSL typu Domain Validation dla domeny nad którą w rzeczywistości nie mieliśmy kontroli. Niewłaściwe sprawdzanie danych dotyczyło adresów email (możliwa była jego podmiana) na które wysyłane są kody autoryzacyjne pozwalające na potwierdzenie dostępu do danej domeny. Podatność została…