密码安全

mutourend11 小时前
密码安全
密码学的正确答案:后量子时代版前序博客:Latacora团队2018年博客 crypto right answers 的初衷是作为一份易于使用的指南,帮助工程师在不必深入复杂细节的情况下,选择合适的密码学方案。随着后量子密码学(Post-Quantum Cryptography,PQC)逐渐从纯学术研究话题转变为实际工程中需要认真对待的密码学问题,Latacora团队认为是时候更新其密码学建议了。
mutourend1 天前
密码安全
常数时间分析工具时间攻击是侧信道攻击的一种,利用执行时间的变化来提取秘密信息。与密码分析不同,密码分析旨在发现弱点并突破密码学协议的理论安全保证,而时间攻击则利用特定协议中的实现缺陷。虽然某些特定的密码学构造(如非对称加密)可能更容易受到时间攻击的影响,但这一攻击向量可以影响任何密码学实现。
mutourend1 天前
密码安全
密码学末日原则(The Cryptographic Doom Principle)在设计安全协议时,有一个原则,大致可以表述为:这是一个最著名的例子,展示了在验证 MAC 之前执行密码学操作是如何出问题的。一般来说,将消息认证码(MAC)与加密消息结合,有三种方式:
mutourend4 天前
密码安全
密码学的正确答案(Cryptographic right answers)在此并不太关心“赋能开发者”,而是对 “把这些事情真正做对” 这件事持相当悲观的态度。在学术文献以及最复杂的现代系统中,针对其中许多问题,确实存在“更好”的答案。如果在为资源受限的嵌入式系统开发,可以使用 STROBE,并基于单一的、类似 SHA-3 的 sponge 结构,构建一套现代且健全的认证加密栈。也可以使用 NOISE 来构建一个自带 AKE 的安全传输协议。说到 AKE,其实可以选择的大概有三十多种基于密码的 AKE。
mutourend5 天前
密码安全·量子密码学
如何在后量子密码学库中避免侧信道攻击?Trail of Bits 的加密团队近期发布了其开源纯 Go 实现的 ML-DSA (FIPS-204) 和 SLH-DSA (FIPS-205) 两个 NIST 标准化的后量子签名算法。这些实现已经经过了多个密码学家的工程设计和审查。
mutourend6 天前
密码安全
借助Wycheproof发现 elliptic 库中密码学漏洞Trail of Bits 正在公开披露 elliptic 中的两个漏洞。elliptic 是一个被广泛使用的 JavaScript 椭圆曲线密码学库,每周下载量超过 1000 万次,被近 3000 个项目所使用。这些漏洞源于缺失的模约减以及缺失的长度检查,分别可能导致攻击者伪造签名,或导致合法签名无法被正确验证。
mutourend8 天前
密码安全
无效曲线点攻击——破解蓝牙配对2018年一个严重的蓝牙漏洞引起了广泛关注。这是 Biham 和 Newman 的一项精彩发现。鉴于 BLE(Bluetooth Low Energy,低功耗蓝牙) 在“很少打补丁”的物联网世界中的广泛使用,该漏洞具有非常严重的影响。然而,这个漏洞在概念上却异常干净、简单。不同于许多椭圆曲线漏洞,普通人完全可以理解这个漏洞及其利用方式。这是一个在概念上相当容易理解的攻击的绝佳应用。
向上的车轮24 天前
运维·服务器·安全·密码安全
NordPass“最常用200个密码”报告深度解读与安全密码设置实用指南弱密码是安全的核心漏洞,报告显示90%以上的高频密码可通过简单模式生成,需绝对避免:报告强调强密码是抵御破解的基础,需符合以下标准(基于NIST推荐及NordPass模拟攻击结论):
SCIS5884 个月前
数据安全·电力·密码安全
解决方案:新时代电力的安全命题目录一、商用密码应用要求二、总体架构2.1安全体系框架2.2 方案设计2.2.1 物理和环境安全2.2.2 网络和通信安全
SCIS5886 个月前
智慧城市·密码安全·商用密码
智慧城市的安全密码:商用密码如何守护万物互联?目录一、 筑牢网络通信安全防线1. 网络身份可信认证2. 通信传输全程加密二、 守护数据全生命周期安全
星尘安全1 年前
密码学·量子计算·密码·密码安全
中国研究员使用量子计算机破解 RSA 加密由上海大学的 Wang Chao 领导的研究团队发现,D-Wave 的量子计算机可以优化问题解决,从而可以攻击 RSA 等加密方法。
FreeBuf_1 年前
ldap·密码安全·账户安全·字典生成
LDAPWordlistHarvester:基于LDAP数据的字典生成工具LDAPWordlistHarvester是一款功能强大的字典列表生成工具,该工具可以根据LDAP中的详细信息生成字典列表文件,广大研究人员随后可以利用生成的字典文件测试目标域账号的非随机密码安全性。
知白守黑V2 年前
数据安全·等保测评·等保2.0·密码安全·商密测评·分保·关保
网络安全“三保一评”深度解析“没有网络安全就没有国家安全”。近几年,我国法律法规陆续发布实施,为承载我国国计民生的重要网络信息系统的安全提供了法律保障,正在实施的“3保1评”为我国重要网络信息系统的安全构筑了四道防线。
是虎皮猫大人2 年前
小程序·密码管理·密码安全·隐私安全·密码管理工具
密码管理器:方便与安全并存的选择日常生活中使用各种应用程序时,密码安全问题是我们难以避免的。如果您也像我一样,经常忘记密码或混淆密码,就需要一款优秀的密码管理工具来帮助您解决这一问题。今天,我就来介绍一下密码管理器的功能和优势,看看它是如何帮助我们实现方便与安全并存的选择。
我是有底线的