Sent som sider så börjar även Apple med tvåfaktorsautentisering. Facebook, Google och Dropbox erbjuder tvåfaktorsautentisering sedan en tid tillbaka och nu tar även Apple steget ut att erbjuda sina kunder säkrare inloggning.

Apple använder sig av engångskoder som skickas ut via SMS men fungerar enbart i USA, England, Australiem, Irland eller New Zeeland i dagsläget.

Läs här hur du går tillväga för att slå på tvåfaktorsautentisering på ditt AppleID:

• https://support.apple.com/kb/HT5570

Apple börjar med tvåfaktorsautentisering is a post from: Kryptering

Nyss så släpptes det en ny version av OpenSSH. Denna nya version innehåller en rad förbättringar såsom MAC över krypterade paketet istället för klartext:

Added support for encrypt-then-mac (EtM) MAC modes for SSH protocol 2. These modes alter the packet format and compute the MAC over the packet length and encrypted packet rather than over the plaintext data. These modes are considered more secure and are used by default when available.

Även så har OpenSSH implementerat stöd för GCM-AES:

GCM (Galios/Counter Mode) is a mode of operation that uses a universal hash function over a binary Galois field to provide authenticated encryption. The mode is defined in NIST’s SP 800-38D, and P1619. GCM is a high performance mode which offers both pipelining and parallelization

Se changelog här: openssh.com/txt/release-6.2

OpenSSH 6.2 is a post from: Kryptering

Landstingsrevisionen har genomfört en granskning av vårdgivarens informationssäkerhet vid Västerbottens Läns Landsting.

Granskningen genomfördes av företaget Ernst & Young och identifierade ett antal brister. Men det som var intressant var det kapitel som behandlar kryptering inom landstinget, här kommer en skärmdump från rapporten:

Läs rapporten i sin helhet här (pdf). Tipstack till Kim H på Twitter.

Inlägg sponsrat av SSL-certifikat

Kryptering inom sjukvården is a post from: Kryptering

Christopher Meyer och Jörg Schwenk har genomfört en sammanställning på samtliga allvarligare attacker mot SSL och TLS från de senaste 15 åren i en uppsats:

SSL/TLS allowed efficient fixes in order to counter the issues. This paper presents an overview on theoretical and practical attacks of the last 15 years, in chronological order and four categories: Attacks on the TLS Handshake protocol, on the TLS Record and Application Data Protocols, on the PKI infrastructure of TLS, and on various other attacks. We try to give a short ”Lessons Learned” at the end of each paragraph.

Några av de attacker som presenteras är:

• Bleichenbacher Attack on PKCS#1
• Cipher suite rollback
• ECC based timing attacks
• Chosen-Plain-text Attacks on SSL reloaded
• Attacks on non-browser based certificate validation
• Renegotiation flaw

Här kan du ladda hem dokumentet som PDF:

Sammanställning av attacker mot SSL/TLS is a post from: Kryptering

Den decentraliserade virtuella valutan Bitcoin når nu årshögsta med 20$ per Bitcoin. Spekulationer varför valutan nu går upp kan bl.a. bero på att företaget Avalon säljer mining-chip (ASIC):

Avalon contracted TSMC to make the chips at a 110nm process. The device mines at 66 Ghash/s and draws about 440 Watt, currently generating about $210/day (11 bitcoins/day).

Klicka på bilden för en större version:

Bitcoin når årshögsta is a post from: Kryptering

Lördag den 16:de Februari så går Stockholm Cryptoparty av stapeln. Vi har även skrivit om detta förut. Kolla in Wikin för uppdaterad information:

• http://cryptoparty.org/wiki/Stockholm

Nu finns en fin poster som du kan skriva ut och hänga upp på din arbetsplats, stan eller skola:

Stockholm Cryptoparty is a post from: Kryptering

Nedan listar vi fem verktyg för att generera ett lösenord för att exempelvis användas för onlinetjänster såsom Facebook, Twitter eller Gmail. Eller för att vara ännu säkrare så kan du även använda tvåfaktorsautentisering.

Random.org

PC Tools av Symantec

Strong Password Generator

Norton Lösenordsgenerator

Free Password Generator

Vi har ej kontrollerat huruvida ovan tjänster fungerar som utlovat eller ej. Men att använda en mjukvara för att generera lösenord direkt på din dator är troligtvis säkrare än att använda dessa tjänster.

Du kan även använda myndigheten PTS tjänst för att testa lösenord:

• https://testalosenord.pts.se

Som en extra rolig tjänst så kan vi rekommendera DinoPass som skapar lösenord anpassade för barn:

Så skapar du ett säkert lösenord is a post from: Kryptering

SDelete är ett raderings-verktyg utvecklat av Mark Russinovich på Sysinternals och ägs numera av Microsoft.

Verktyget gör standard en överskrivning av den fil du vill radera men kan göra det antal du bestämmer. Även så finns det möjlighet att bl.a. radera oanvänt utrymme.

Så använder du SDelete

Steg ett är att ladda hem SDelete.exe här:

• http://download.sysinternals.com/files/SDelete.zip

Sedan måste du starta cmd.exe och gå ut till kommandotolken och här kan du se vilka argument som går att använda med sdelete.exe:

Och för att skriva över filen debug1214.txt tre gånger så gör vi enligt följande:

Andra funktioner som SDelete har som vi skrev ovan är att radera oanvänt utrymme. Och det kan man göra enligt följande:

Vi rekommenderar så klart att du skriver över hela hårddisken med hjälp av DBAN som vi skrivit om tidigare eftersom det troligtvis är en säkrare metod än SDelete (som ej är öppen källkod).

Vidare läsning om säker radering

För mer information om SDelete och andra verktyg från Sysinternals såsom Process Explorer och Autoruns se här:

• http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx

   

Även så har .SE en Internetguide om Digitalt källskydd med ett kapitel vid namn Radera säkert som du kan läsa här.

Säker radering av filer med SDelete is a post from: Kryptering

.SE ger sedan några år ut publikationer vid namn Internetguider. Dessa guider behandlar olika ämnen såsom hur du kommer igång med IPv6 eller om hur Creative Commons fungerar.

En guide som är lite extra bra för oss som är intresserade av kryptering är den om Digitalt källskydd samt det extramaterial som publicerats vid namn ”Lär dig kryptering” med följande innehåll:

• Lär dig kryptering 2
• Kryptering och nycklar – vad är det? 3
• Kryptera meddelanden 3
• pc: hämta hem och installera gnupg 4
• Skapa nycklar 6
• Testa nycklarna 9
• Ta emot en krypterad fil 13
• kryptera ett meddelande till någon annan 14
• Mac: hämta hem och installera gnupg 15
• Skapa nycklar 18
• Testa nycklarna 21
• Ta emot en krypterad fil 22
• Kryptera ett meddelande till någon annan 23
• Dags för thunderbird 24
• Ställ in pop3 26
• Men när skulle vi börja kryptera…? 26
• Stäng av html 28
• skriv ett meddelande 29
• ta emot ett krypterat meddelande 30
• signera ett meddelande 30
• att kontrollera ett signerat meddelande 30
• stäng av förhandsgranskning 32
• signerade dokument 32
• kryptera datorn 32
• truecrypt 33
• bitlocker 37
• filevault 38

Här kan du läsa publikationen:

• https://www.iis.se/docs/lar-dig-kryptering.pdf

   

Lär dig kryptering is a post from: Kryptering

Sparvnästet hackerspace anordnar tillsammans med DFRI ”Föreningen för digitala fri- och rättigheter” ett CryptoParty i Stockholm.

Dagen  den 16:de Februari 2013 kommer att bli fullsmockad med intressanta föreläsningar och workshops och redan nu är ett antal fastställda:

• Digitalt Källskydd
• Finta Filtret
• Kom igång med Tor

När det gäller Tor-föreläsningen kommer Linus att hålla en grundkurs om Tor; en teknik för att vara anonym på nätet:

Vi börjar från början. Inga förkunskaper krävs. Workshopen inleds med en kort presentation av Tor; hur tekniken fungerar, vad olika termer betyder och vad man måste göra för att själv kunna använda Tor. Efter det testar vi att installera Tor Browser Bundle, det enklaste sättet att komma igång. Ta med din egen dator! Slutligen diskuterar vi några av de risker som finns med att använda Tor.

För mer information se CryptoParty.org. Observera att lokal ej är fastställd ännu.

Stockholm CryptoParty is a post from: Kryptering

Myndigheten för samhällsskydd och beredskap (MSB) har idag släppt en rapport vid namn Trendrapport – samhällets informationssäkerhet 2012. Rapporten är övergripande och omfattande och tar upp ett antal större händelser som inträffat under de senare åren såsom Anonymous, Stuxnet, E-legitimation och sociala medier.

Det vi finner är intressant är två kapitel som handlar om SSL-certifikat samt intrånget mot företaget RSA. Gällande angrepp mot bl.a. DigiNotar och SSL generellt så reflekterar MSB enligt följande:

- Att den teknik som används för att utfärda äkthetscertifikat till  webbplatser är känslig har varit känt under en längre tid. Det finns idag drygt 600 olika företag som agerar som centrala certifikatutfärdare, och det finns risker förknippade med en sådan mångfald av äkthetsintyg. Många tekniska bedömare betraktar redan den PKI-struktur (”public key infrastructure”) som används som otillförlitlig och en återvändsgränd. Skulle det visa sig att ytterligare falska  webbplatscertifikat inom kort kommer i omlopp så skulle det på sikt kunna minska tilltron till dataintegriteten hos ett stort antal webbtjänster i världen som förlitar sig på SSL. Det arbetas emellertid på lösningar. En av dem är att transportera certifikat via domänsystemet DNS, en metod som håller på att standardiseras av arbetsgruppen DANE inom internets standardiseringsorganisation IETF.

Klicka på rapporten nedan för att läsa den i sin helhet:

• MSB Trendrapport Samhallets informationssakerhet 2012 (PDF)

MSB Trendrapport – samhällets informationssäkerhet 2012 is a post from: Kryptering

Det är nu några dagar sedan som BitCoin fyllde fyra år. Det är således fyra år sedan som det första blocket skapades (se BlockExplorer). Det blocket skapades av uppfinnaren  Satoshi Nakamoto (alias).

Lite statistik:

• Coins mined: 10,751,200
• Number of transactions: 10,679,712
• Number of BTC transferred: 1,252,442,844
• Addresses seen: 8,778,013

Tyvärr så verkar det som om  7.8% av alla BitCoins har blivit stulna, förstörda eller borttappade (källa). Så håll hårt i era wallet.dat-filer.

Och vill du läsa orginalmailet som hen skickade ut på Cryptography mail-listan kan du göra det här:

BitCoin fyller fyra år is a post from: Kryptering

Ni som följt bloggen här ett tag vet att vi gillar Arne Beurling och boken Svenska kryptobedrifter som tar upp lite av Beurlings liv.

Nyss så fick vi även nys om denna dokumentär som ligger uppe på YouTube:

G som i hemlig – om svensken som knäckte tyskarnas kod is a post from: Kryptering

Om du enkelt och relativt snabbt vill radera information från din hårddisk så är DBAN verktyget du söker. Mjukvaran är fri att använda och fungerar med de felesta datorer.

Förkortningen DBAN står för Darik’s Boot och Nuke efter skaparen Darik Horn. Dock så kommer mjukvaran ej med några garantier, rapporter efter radering eller liknande. Men uppfyller de flesta behov när det gäller säker radering av information på hårddiskar.

Söker du efter en mjukvara med support och som kan leverera rapport för verifiering bör du titta lite mer på Blancco som erbjuder detta, dock ej gratis. Blancco riktar sig främst mot företag.

Men hur funkar radering med DBAN då? Jo, på följande sätt:

1. Ladda hem en ISO som du bränner till CD-R eller DVD-R skiva.

2. Boota upp på skivan

3. Om allt går som det ska så ska du få upp en blå  meny som är boot-loadern där du har några val:

4. Ovan så kan du trycka Enter så kommer du inom kort upp till nästa meny:

(ovan bild visar en redan startad radering)

På denna meny har du ett antal alternativ. Exempelvis vilken hårddisk du vill radera samt om eller vilken typ av slumptalsgenerator du vill använda för att skriva till hårddisken.

Du kan även välja antalet överskrivningar (rounds).

Följande metoder kan användas för överskrivning: Mersenne twister/ISAAC. The Gutmann method, Quick Erase, DoD Short (3 överskrivningar), and DoD 5220.22-M (7 överskrivningar).

Observera att raderingen kan ta flera dagar.

Här kan du ladda hem DBAN: http://dban.org/download

Radera data på din hårddisk med DBAN is a post from: Kryptering

Det ryska företaget ElcomSoft släpper en uppdatering till sin mjukvara Forensic Disk Decryptor som gör det möjligt att läsa ut nycklar ur ett datorminne.

För att läsa ut nycklarna ur datorminnet så kan antingen Windows hibernate-fil användas eller utläsning via FireWire-porten.

Sedan analyserar programmvaran minnesdumpen och söker efter nycklar till PGP, TrueCrypt eller BitLocker som används för hårddisk-kryptering.

Den nya produkten innehåller algoritmer som gör det möjligt för oss att analysera minnesdumpar av datorer, för att hitta områden som innehåller dekrypteringsnycklar. Ibland nycklarna upptäcks genom att analysera sekvenser av bytes, och ibland genom att undersöka kryptobehållares interna strukturer. När du söker efter PGP-nycklar kan användaren påskynda betydligt upp processen om den exakta krypteringsalgoritmen är känd.

Läs mer på Elcomsoft-bloggen.

Uppdatering: Bruce Shneier påpekar att detta inte direkt är nytt..

Elcomsoft dekrypterar PGP, TrueCrypt och BitLocker is a post from: Kryptering

Inte direkt krypterings-relaterat men lika bra att skriva en liten evalueringsrapport när vi ändå ska testa Kaspersky Anti-virus här på redaktionen.

Den version vi testar är version 8 (8.0.1.50) för Linux och deb-paket. Denna version finns att ladda hem och testa under 30 dagar. När man registrerar sig för ett test-konto så skickas även en länk för nedladdning av deb-paketet och en .key-fil som är licensen som används under dessa 30 testdagar.

Paktetet installeras med dpkg -i kes4lwks_8.0.1-50_i386.deb, vi fick ett felmeddelande att paktet libc6-i386 även måste installeras på vårat Ubuntu-system.

Efter detta gick det bra att installera Kaspersky Anti-virus. Efter installation så ska man köra /opt/kaspersky/kes4lwks/bin/kes4lwks-setup.pl för att ställa in installationen.

That’s it! Happy virus-hunting. Vi återkommer med ett test i nästa del av vår utvärdering.

PS: Använd denna länk för registering av test för Kaspersky Workspace Security http://www.kaspersky.com/downloads/trials/koss1_trial_download

Test av Kaspersky Anti-virus is a post from: Kryptering

Tails, The Amnesic Incognito Live System är nu ute i en ny version, nämligen 0.14. Tails baseras på Linux och innehåller en mängd funktioner och förbättringar för anonymitet.

Tails innehåller även anonymiseringsmjukvaran Tor förinstallerat. Tails bränns ut till CD-skiva som används för att starta upp datorn med.

Större genomförda förändringar:

• Tor
  • Uppgraderad till 0.2.3.24-rc
  • Slagit på stream isolation
• Iceweasel webbläsaren
  • Uppgraderat iceweasel till 10.0.10esr-1+tails1, med anonymity enhancing patches from the TorBrowser applied
  • Fix Iceweasel’s file associations. No more should you be suggested to open a PDF in the GIMP
• Hardware support
  • Upgrade Linux to 3.2.32
  • Support more than 4GB of RAM
  • Support more than one CPU core
• Miscellaneous
  • Mostly fix memory wiping at shutdown
  • gpgApplet can now handle public-key cryptography
  • Add a persistence preset for NetworkManager connections
  • Better support setting up persistence on large USB sticks
  • Make boot faster by fixing a read-ahead bug
  • Make shutdown faster by disabling useless scripts

För hela changelog se här: http://git.immerda.ch/?p=amnesia.git;a=blob_plain;f=debian/changelog;hb=refs/tags/0.14

Anonymt operativsystem ute i ny version: Tails 0.14 is a post from: Kryptering

Phil Zimmermanns nya företag Silent Circle är nu uppe och snurrar och tar emot nya kunder. Zimmermann är särskilt känd för att ha skapat krypteringsprogrammvaran PGP i början på 90-talet.

Hans nya företag erbjuder krypterad E-post och telefonsamtal via iPhone (andra telefoner?). Detta system är tyvärr ej öppen källkod men använder sig av bl.a. ZRTP.

Säljvideo:

Silent Circle är nu släppt is a post from: Kryptering

Det är relativt lätt att slå på stöd för krypterad BitTorrent-nedladdningar. Åtminstone om du använder dig av uTorrent.

Gå bara in på Inställningar -> BitTorrent och under ”Protocol Encryption” sätt till Aktiverat eller Tvingad.

Skärmdump enligt följande:

Protokollkryptering (PE) är en gemensam specifikation mellan Azureus och uTorrent. Den är utformad för att kringgå strypning och / eller blockering av BitTorrent-trafik av din internetleverantör.

Du kan läsa mer här.

Krypterad BitTorrent nedladdning med uTorrent is a post from: Kryptering

Passwords^12 är en relativt ny konferens som går av stapeln i Oslo, Norge. Detta är den enda konferensen i världen som enbart fokuserar på lösenord, PIN-koder etc.

Datumet som gäller är December 3-5, 2012, konferensen är ”single track” och håller till på Oslos Universitet.

Konferensprogram:

Huvudsponsor av Password^12 är  FRISC (Forum for Research and Innovation in Security and Communications).

Läs mer på Security Nirvana-bloggen eller följ hashtaggen #passwords12 på Twitter.

Passwords^12 (December 3-5, Oslo) is a post from: Kryptering