Bezpieczeństwo IT od 1998 roku

W3C opublikowało poprawkę do specyfikacji XML Signature naprawiając błąd, który w dosłownej implementacji metody HMAC umożliwiał poprawną weryfikację fałszywych podpisów.

Zespół z Politechniki w Lozannie (Szwajcaria) złamał krzywą eliptyczną opartą o problem logarytmów dyskretnych (ECDLP) o długosci 112 bitów.

Organizacja OASIS przyjęła nowy standard Identity Metasystem Interoperability Version 1.0. Jest to specyfikacja znana wcześniej jako InfoCard i zaimplementowana przez Microsoft w Windows CardSpace.

Nowy atak na szyfr AES-192 oraz AES-256 opublikowany przez Biryukova i Khovratovicha pozwala na zredukowanie złożoności łamania tego ostatniego do 2119 łatwiej niż najlepszy znany dotąd atak Biryukov-Khovratovich-Nikolić. Oba są atakami z użyciem kluczy pokrewnych (related key).

Firma RSA (a ściślej, obecnie Dział Bezpieczeństwa EMC) poinformowała o udostępnieniu biblioteki kryptograficznej BSAFE za darmo.

Kluczyk Yubikey o którym mowa nawet nie do końca wygląda jak urządzenie USB, bo jest to płaski, czarny kawałek plastiku z czterema złoconymi stykami i guziczkiem. Ale wtyka się to do portu USB, klucz jest po prostu pozbawiony typowego dla wtyczek USB ochronnego kołnierza z blachy.

Osobom znającym popularne narzędzie edukacyjne Cryptool powinien spodobać się projekt VSL - Virtual Steganographic Laboratory. Koncepcja jest bardzo zbliżona do drugiej wersji Cryptool2 (obecnie beta), w której buduje się systemy kryptograficzne wizualnie, z klocków.

Na SGH rozpoczął się nabór na trwające od listopada 2009 do maja 2010 Podyplomowe Studia Zarządzanie Bezpieczeństwem Informacji.

Po testowym głosowaniu przy pomocy systemu E-Glosowanie.org mam mieszane uczucia. Sam proces głosowania wydaje się być bardzo skomplikowany z punktu widzenia wyborcy nie będącego specjalistą IT.

Autorzy projektu Tarsnap opublikowali ciekawą analizę funkcji służących do tworzenia kluczy kryptograficznych z haseł, wraz z propozycją nowej funkcji tego typu zapewniającej długoterminową odporność nawet dla stosunkowo słabych haseł.

Wojciech Mazurczyk, Miłosz Smolarczyk i Krzysztof Szczypiorski z Politechniki Warszawskiej opublikowali interesującą pracę opisującą system steganograficzny oparty o retransmisje TCP (RSTEG).

W dniach 3-5 czerwca 2009 w Międzyzdrojach odbędzie się dziewiąta edycja międzynarodowej konferencji Europejskie Forum Podpisu Elektronicznego.

W połowie kwietnia 2009 roku ISOC-PL wystosował do ZUS wniosek o udostępnienie informacji publicznej na temat zasadności wprowadzenia certyfikatów atrybutów do KSI. Poniżej prezentujemy odpowiedź ZUS.

Na ePrincie ukazała się praca Nicolasa T. Courtois opisująca atak typu card-only na popularne karty MiFare Classic. Najskuteczniejszy znany obecnie atak z 2008 roku wymagał podsłuchania komunikacji karty z terminalem.

Grupa brytyskich badaczy opublikowała interesujący acz niekompletny opis interesującej podatności w protokole SSH-2, który do tej pory uchodził za całkowicie bezpieczny z kryptograficznego punktu widzenia. Dzięki umiejętnej manipulacji trybem CBC możliwia on odzyskanie 4 bajtów z zaszyfrowanego strumienia danych.