2009-11-10

Krypteringsprogram får EAL4 certifiering

Det är programmet Endpoint Security Full Disk Encryption (Pointsec® PC 6.3.1) från Check Point Software Technologies som får Common Criteria certifieringen EAL4:

EAL4-certifiering är den högsta standardnivån som befintliga krypteringsprodukter kan få, och är ett bevis på att produkten har genomgått en lång och utförlig utvärderingsprocess. EAL4 är även antagen av International Standard Organisation (ISO) som använder EAL-nivåer som en global standard

Läs mer på Newsdesk.

2009-11-06

Ny allvarlig brist i SSL/TLS-protokollet

SSL/TLS står för mycket stor del av den krypterade trafiken på Internet i dagsläget och används av exempelvis banker över hela världen.

Nu har två personer vid namn Marsh Ray samt Steve Dispensa på företaget PhoneFactor hittat en sårbarhet som gör det möjligt att injicera godtyckligt innehåll i början av en SSL/TLS-överföring.

Se dokumentet som beskriver attacken här:

Renegotiating TLS.pdf

Bloggare som skriver om detta: Extended subset, Ben Laurie (har även skapat en fix).

2009-11-05

Google Wave Kryptering #2

I en kommentar av en av våra läsare med alias EDBM fick vi följande förklarande gällande den kryptering som Google Wave använder:

TLS/SSL har två funktioner: Autentisering (i första hand av servern) och kryptering, där serverautentisering är obligatoriskt men kryptering är valbart genom val av ”TLS cipher”, där man kan välja bort kryptering om man vill, vilket skulle kunna vara vad man gör om man väljer ”Optional”.

Formuleringen har ingenting alls att göra med om certifikatet är ”självsignerat”. Termen ”självsignerat certifikat” är för övrigt missvisande, det man menar är egentligen att servercertifikatet inte är certifierat en välkänd CA utan bara ett ad hoc-certifikat som man själv har utfärdat.

Se orginalinlägget: kryptera.se/google-wave-kryptering

2009-10-01

Google Wave kryptering

Google har idag släppt på 100 000 nya användare att testa den nya realtidstjänsten som går under namnet Wave. Google Wave baseras på XMPP (Jabber) protokollet som har ungefär 10 år på nacken.

Enligt specifikationen för Google Wave så ska trafiken skyddas med hjälp av TLS:

The connection MUST be secured using the TLS feature of XMPP. It is RECOMMENDED that communication is encrypted (namely by using a non-identity TLS cipher).

Detta är lite luddigt formulerat och det menas troligtvis att ett självsignerat certifikat är ok. Dock så säger Google emot sig själv när de visar hur en Google Wave-server konfigureras med hjälp av OpenFire och där man väljer kryptering som ”Optional”.

Läs hela Google Wave-specifikationen här: waveprotocol.org/draft-protocol-specs/draft-protocol-spec

2009-09-26

Visualisering av AES

En fin presentation om hur AES/Rijndael fungerar:[kml_flashembed publishmethod=”static” fversion=”8.0.0″ movie=”http://www.cs.bc.edu/~straubin/cs381-05/blockciphers/rijndael_ingles2004.swf” width=”500″ height=”400″ targetclass=”flashmovie”]

[/kml_flashembed]

Skapad av Enrique Zabala

2009-09-24

Google Tech Talk med Nate Lawson

Nate Lawson som vi tidigare bloggat om föreläser på Google Tech Talk om kryptobuggar:

Crypto Strikes Back

2009-09-23

Gymnasium med kryptering på agendan

Ehrensvärdska Gymnasiet som nu specialiserar sig på matematik erbjuder fördjupning inom krypteringsområdet, detta för att ge en ökad helhetsförståelse av matematikens roll i samhällsutvecklingen.

Ehrensvärdska Gymnasiet samarbetar med Blekinge Tekniska Högskola för att kunna erbjuda en hög kvalité på fördjupningen.

Läs pressreleasen här

2009-09-22

Historien om AES

Här kommer en lång historia om hur AES kom till världen

Källa: Moserware

Act 2: Crypto Basics

Act 3: Details

Act 4: Math!

2009-09-20

DiskCryptor

Den nästa populära mjukvaran för att kryptera hårddisken är TrueCrypt (första plats innehar Microsoft BitLocker). Dock är inte TrueCrypt något som faller alla i smaken pga restriktiva licensvillkor. För de som inte gillar TrueCrypts licensvillkor som finns det ett alternativ som heter DiskCryptor som också är öppen källkod (Open Source) och ligger under GNU Licensen. TrueCrypt har en egen licens som heter Collective License.

DiskCryptor är kompatibelt med TrueCrypt och kan laddas ner på här: diskcryptor.net/index.php/Downloads

2009-09-17

Kryptera information i webbformulär

Ett nytt krypterings-plugin till JavaScript-biblioteket jQuery har nu lanserats för att underlätta kryptering av information i formulär som skickas över Internet i klartext. Pluginet vid namn jCryption är dock inget alternativ till SSL/HTTPS är värt att nämna.

Med deras egna ord:

– Normally if you submit a form and you don’t use SSL, your data will be sent in plain text. But SSL is neither supported by every webhost nor it’s easy to install/apply sometimes. So I created this plug-in in order that you are able to encrypt your data fast and simple. jCryption uses the public-key algorithm of RSA for the encryption.

Se mer på http://www.jcryption.org