Kryptering - Information och nyheter om krypto » rc4

Windows 8 lösenord, RC4, Google Wallet och MSB

admin — Mon, 19 Dec 2011 18:19:39 +0000

Vi sammanfattar här några av de nyhterna vi tweetat ut de senaste dagarna:

Windows 8 will have picture password sign in http://t.co/GdH4Ku7z
Moxie Marlinspike Answers Your Questions http://to.ly/bKLa
Python SSL stack doesn’t support ordering of Ciphers http://t.co/RHaVasiG
Google’s mobile payment app (Google Wallet) fails to encrypt personal data, according to research http://t.co/K6RV41VE
What’s the deal with RC4? http://t.co/3JJYP5bF
Klart vilka kommuner som får medel för DNSSEC http://to.ly/bKxB - 86 av 120 kommuner får bidrag av MSB för att inför DNSSEC.
RSA SecurID Software Token for Windows DLL Loading Error Lets Remote Users Execute Arbitrary Code http://to.ly/bKxy
GlobalSign concludes investigation of hacker attack http://www.h-online.com/security/news/item/GlobalSign-concludes-investigation-of-hacker-attack-1396349.html
Sovereign Keys: A Proposal to Make HTTPS and Email More Secure http://to.ly/bqio
Decrypt TrueCrypt Headers http://www.reddit.com/r/crypto/comments/nepid/decrypt_truecrypt_headers/
Ett miniseminarium om DANE hos .SE med bl.a. Jakob Schlyter och Staffan Hagnell som talare https://www.iis.se/evenemang/ett-miniseminarium-om-dane

Du följer väl oss på Twitter? https://twitter.com/kryptera

Följ oss på Twitter: http://twitter.com/kryptera

BEAST: Nygammal sårbarhet i SSL

admin — Tue, 27 Sep 2011 07:09:45 +0000

IT-säkerhetsforskarna Thai Duong och Juliano Rizzo hittade ett nytt sätt att använda en gammal sårbarhet i TLS <= 1.0 där CBC används som går ut på att injicera känd klartext i en krypterad SSL 1.0-session vilket gör att det går att knäcka anslutningen på ca 10 minuter.

Detta påverkar ej anonymiseringsnätverket Tor. Samt så påverkar detta ej TLS version 1.1 men dock används denna version ej i stor utsträckning.

Värt att notera är även att Googles servrar ej påverkas av detta då de använder RC4 och inte CBC-läge i sin SSL/TLS.

Läs mer hos ISC/SANS, Slashdot, The Register, Threatpost.

Följ oss på Twitter: http://twitter.com/kryptera

Skype krypteringen knäckt

admin — Wed, 14 Jul 2010 15:16:17 +0000

Eller rättare sagt så har en del av Skype-protokollet reverse-engineerats. Det är den del av Skype som använder RC4-algoritmer och varianter på denna. Följande framgår av källkoden:

|*| Skype Library RC4 v1.109 by Sean O’Neil.
|*| Copyright (c) 2004-2010 VEST Corporation.
|*| All rights reserved.
|*| Not for commercial use.
|*|
|*| We are reverse engineers.
|*| We can prove if you have used this code in your product.
|*| We will find you.
|*| We will prosecute for copyright infringement.
|*| This code is quite unique and is easily identifiable.
|*| Result may match Skype’s 100%, but this code is ours.
|*| The computation is significantly different from Skype’s.
|*|
|*| For academic research and educational purposes only.
|*| If you require Skype compatibility in your products,
|*| feel free to contact Sean O’Neil on www.enrupt.com
|*|
|*| Last changes: 09.07.2009 (a minor correction from 1.108 that does not affect its use in Skype-compatible projects)
|*| Published: 07.07.2010
|*| More will be published at 27C3, December 2010 (http://www.ccc.de/en/calendar)

Som hittas här: cryptolib.com/ciphers/skype/

Sean O’Neil har även skrivit ett antal förtydliganden på sin blogg där han bl.a. skriver att detta inte påverkar säkerheten i Skype eftersom tal, filöverföringar etc. är krypterade med AES 256-bit nycklar, 1024-bit RSA algoritm samt autentiserade med a 2048-bit RSA-nycklar. Källkoden som han har släppt hanterar enbart kommunikation mellan Skype-klienten och dess noder.

Följ oss på Twitter: http://twitter.com/kryptera