谷歌推出端对端邮件加密工具:对抗NSA监控

 Email 邮件系统  没有评论 »
6 月 042014
 

北京时间6月4日早间消息,谷歌周二发布了一个新的Chrome浏览器扩展的源代码,可以方便用户对电子邮件进行加密,使得美国国家安全局(以下简称“NSA”)等情报机构的监听难度大幅增加。这款名为End-to-End的加密工具使用OpenPGP开源加密程序编写,可以在用户的电子邮件离开浏览器后对其加密,直到被收件人解密。

该工具还可以方便用户读取发送到其电子邮件服务器中的加密信息。不过,发送和接受邮件的双方都需要使用End-to-End或其他加密工具,才能令该系统真正发挥作用。

此举将对NSA的监听行为构成重大打击。尽管过去20年已经出现过众多加密技术,但PGP和GnuPG等端对端邮件加密技术仍然需要大量人员的介入,而且需要很强的技术能力。NSA也经常利用人为错误来破解加密信息。

“政府不能越权,这一点很重要。”谷歌首席安全官埃里克·格罗斯(Eric Grosse)说,“我们不希望任何政府破坏互联网安全。”

谷歌的新工具可以加大NSA及其他情报机构的工作难度。虽然端对端加密无法彻底消除信息被黑客或情报机构拦截的风险,但却会迫使他们直接入侵用户电脑读取信息,而无法在发送过程中获取。 Continue reading »

TrueCrypt为何决定终止项目

 网络学院  没有评论 »
5 月 292014
 

TrueCrypt项目背后的匿名开发者突然将truecrypt.org官网定向到sourceforge.net项目主页,宣布项目终止开发,并用红字警告使用TrueCrypt不安全,软件可能包含未修正的安全问题。TrueCrypt最新更新的程序签名与1月份发布的程序使用的签名相同,因此网站发布的信息不是恶作剧而是官方声明。

约翰霍普金斯大学的Matthew Green教授去年组织了对TrueCrypt的安全审计,他有点担心是不是安全审计促使了开发者决定退出。他对开发者的决定也感到失望,认为开发者本来可以改变许可证让其他人能更容易的接管这个项目。他表示安全审计工作会继续下去

一位与TrueCrypt团队关系密切的开发者给出了他的解释:TrueCrypt失去了动力和主要开发者。他认为TrueCrypt很早以前就出现了死亡的迹象,程序已经很长时间没有引入新功能。引导扇区代码从5.0版以来一直没有变化,很可能是引导扇区的主要开发者不再参与项目了。

此外,TrueCrypt使用微软提供的API处理休眠/睡眠,但Windows 8之后微软不再提供此类API,而Windows是TrueCrypt最主要的市场,诸多困难最终使得开发者决定关闭项目。

TrueCrypt网站建议Windows用户迁移到BitLocker

 网络学院  没有评论 »
5 月 292014
 

流行的开源加密软件TrueCrypt突然在其官网上建议Windows用户改用微软的BitLocker加密磁盘,并用大红字警告使用TrueCrypt并不安全。在官网彻底大变脸前,TrueCrypt更新了二进制程序。目前完全不清楚TrueCrypt项目究竟发生了什么事,有许多人怀疑可能与第二阶段的TrueCrypt安全审计报告即将发布有关。根据官网上的声明,在微软结束支持Windows XP后TrueCrypt的开发于2014年5月终止,Windows 8/7/Vista等操作系统集成了磁盘加密支持,它建议用户将任何TrueCrypt加密的数据迁移到平台支持的加密磁盘或虚拟磁盘镜像。网站图文并茂的一步步介绍了如何将数据从TrueCrypt迁移到BitLocker。

TrueCrypt Website Says To Switch To BitLocker

Several readers sent word that the website for TrueCrypt, the popular disk encryption system, says that development has ended, and Windows users should switch to BitLocker.

A notice on the site reads, “WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues. … You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.” It includes a link to a new version of TrueCrypt, 7.2, and provides instructions on how to migrate to BitLocker. Many users are skeptical of a site defacement, and there’s been no corroborating post or communication from the maintainers. However, the binaries appear to be signed with the same GPG key that the TrueCrypt Foundation used for previous releases.

source code diff of the two versions has been posted, and the new release appears to simply remove much of what the software was designed to do. It also warns users away from relying on it for security. (The people doing an audit of TrueCrypt had promised a ‘big announcement’ soon, but that was coincidental.) Security experts are warning to avoid the new version until the situation can be verified.

银行芯片卡的标准:中国的PBOC和世界的EMV

 杂事杂谈  没有评论 »
5 月 272014
 

Mr.Chan 2011-03-23 上午 08:55
中国的集成电路卡的发展,落在世界的后头,欧洲、美国甚至中国香港地区,银行卡已经普遍使用集成电路卡了,目的是应对伪卡的泛滥。

我们国家曾经有领导说过,中国不是伪卡的高发区。现在,随着银联卡的发展,伪卡激增,已经威胁到老百姓钱袋的安全了。但是,在损失是持卡人的损失,不是银行的损失,在这个规则下,银行们依然不愿意启动EMV迁移,因为这里面成本很大。

不过,法院的n纸判决下来了,在社会形成了一种氛围,人行也没有办法干涉,就是银行有义务识别伪卡,就算使用正确的密码,银行也不能对伪卡兑付存款。于是,银行突然惊慌起来,因为损失不再是储户的损失,而是银行自己的损失。现在针已经刺到肉了,痛了。

看看以前中国EMV迁移的部署,分2步走,先受理后发卡。1,先受理境外卡在中国的使用,以应对国际卡组织的风险转移政策;2,在中国发出芯片卡。在奥运会前,所有接受国际卡的POS机已经全部升级完毕,能够有效应付国际伪卡了,奥运会的闭幕,步伐停滞不前了。广州法院、顺德法院的判决连番下来了,在伪卡比较高发的地区,形成了多个判例,虽然中国不是普通法的国家,但是判例形成后,各地法院都认为有理,于是大局已定,芯片卡发行迫在眉睫。

芯片卡要发,问题又来了。中国不喜欢受制于人,国际卡组织的EMV标准在某些地方改一下,变成了PBOC 2.0标准,由于这么一改,兼容性出现了问题。国际上所有POS机都遵行同样的EMV标准,但是银联卡却是PBOC 2.0标准,如果机具不兼容,外卡进不来,内卡出不去。只能在境内使用芯片,在境外降级使用磁条,几十元成本一张芯片卡带来的安全性提高又回到磁条卡上了。 Continue reading »

HTTP 2.0推广今年恐难完成

 网络学院  没有评论 »
5 月 272014
 

HTTP新版标准能够让网页速度大幅提升,但新标准的推进过程也想要这样的速度则显得相当困难。本周五IETF HTTP工作组主席Mark Nottingham公开透露了HTTP 2.0推广部署,称如果开发者能够坚定不移进行使用,“我们有望在今年年底之前部署完成,享受更快的网络体验。”

“对于现在的我们来说我们有着强烈的信心和丰富的经验来确保整个部署有条不紊的推进,但是我们所营造的每个改变,尤其是每个我们添加的新功能都有可能会影响到我们的进程,我们只有坚定不移的解决、遇到问题积极解决这样才能更好的推进HTTP 2.0的推广。”

现代互联网已走向即时、多媒体互动时代,使得只能支持简单、静态网页的HTTP 1.0不敷使用。HTTP 2.0必须要能降低服务器传送内容到浏览器的延迟问题,同时还要能支持旧的HTTP 1.1,以及未来扩展的开放性。IETF将使用SPDY协议作为HTTP 2.0的基础。SPDY是Google于2009年公布的研究计划,是一种网络内容传输协议,着重于降低延迟的功能,诸如多工串流、判断要求的优先等级,以及HTTP标头的压缩等,旨在让网络传输速度加倍。

Firefox将在未来关闭旧的帐户同步

 网络学院  没有评论 »
5 月 262014
 

Mozilla上月发布的Firefox 29引入了新的同步系统Firefox Accounts,Mozilla的Brian Warner在其个人博客上介绍了Firefox Accounts同步帐号的技术细节,解释为什么他们要放弃旧的设备配对同步方式。

Warner称,Mozilla发现旧的同步系统会让用户产生误解,他们以为电子邮件地址和密码就足以取回同步数据,但事实上你需要访问一台已经与帐号相连的设备。对于只有一台设备的用户而言这并不适合,一旦失去浏览器他们几乎不可能取回数据。Mozilla为此推出了新的同步系统Firefox Accounts。

Warner指出,如果你仍然使用Firefox 28或FF24 ESR(延长支持版),或任何Firefox 29之前的版本,你可以继续使用设备配对同步,Mozilla将会继续支持到ESR支持期结束(2014年10月14日),支持时间可能会继续延长,但最终Mozilla会关闭旧同步方式所需的服务器,设备配对同步将停止工作。

麒麟操作系统内核,同其他操作系统内核的相似性分析

 Linux/Unix相关  没有评论 »
5 月 202014
 
Copyright (c) 2006  Dancefire (dancefire#gmail).
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled “GNU Free Documentation License”.
作者:Dancefire (dancefire # gmail dot com ) 2006/04/27
( PDF格式及分析所用脚本程序下载连接:http://www.dancefire.org/file/kernel_similarity_analysis_1.0.zip )
一、引言
麒麟操作系统是由国防科技大学、中软公司、联想公司、浪潮公司和民族恒星公司五家单位合作研制的服务器操作系统。按照麒麟官方的说法:
“Kylin服务器操作系统是国家863计划的重大研究成果,拥有完全自主版权的内核,与Linux在应用上二进制兼容,并支持64位,是中国独立研发成功的、具有完全自主知识产权的服务器操作系统。”[1]
 — 来自麒麟官方网站 http://www.kylin.org.cn/news.htm
“银河麒麟操作系统是针对未来的主流网络服务和高性能计算服务的需求,参照国际主流标准,参考Darwin、FreeBSD、Linux和其它商用操作系统,借鉴UNIX操作系统和微内核操作系统的设计思想,设计并实现具有自主版权的、可支持多种CPU芯片和多种计算机体系结构的、具有高性能、高可用性与高安全性的、并与Linux应用和设备驱动二进制兼容的中文服务器操作系统,”
摘自麒麟操作系统2.0.21内自带的帮助文档
近日,有不少人对麒麟操作系统宣称的“完全自主版权”和“中国独立研发成功”这两个核心问题产生了质疑。随着麒麟2.0.14和2.0.21系统可以通过麒麟的官方网站下载后(http://www.kylin.org.cn/download.htm ),这种质疑的声音越来越大。麒麟除内核以外的应用大部分都来自自由组织GNU的代码,这些代码并不属于“中国独立研发”,而且他们的版权也不属于麒麟操作系统的开发者。更有甚者,有人开始通过反汇编麒麟操作系统内核发现和美国的FreeBSD开放源代码操作系统非常相似。随后又有人成功的用FreeBSD的内核启动了麒麟操作系统。按照麒麟官方的介绍,麒麟具有Linux的二进制兼容的能力,可是丝毫没有提及与FreeBSD的兼容性,使得麒麟内核与FreeBSD的关系变得比较引人注目。在官方介绍中的简简单单的“参考”是无法解释这种相似程度的。
在强烈的关注声中,麒麟开发人员在2006年2月16日,给出了一个说明,《关于银河麒麟操作系统的说明》[3],发布在 http://www.kylin.org.cn/download.htm 。其中提到了和FreeBSD的关系:
“课题组通过评测和分析,认为当时正在研发中的FreeBSD 5.0 具有比Unix SVR4.2 更好的发展势头,特别是SMPng 项目的开展,为FreeBSD 5.0 支持SMP 对称多处理器系统奠定了良好的基础,因此银河麒麟操作系统的系统服务层从SVR4.2 升级到当时正在研发中的FreeBSD 5.0。”
声明发出后一定程度上得到了大家谅解,可是虽然提及和FreeBSD的关系,却又十分隐晦,既没有明确的对官方网站新闻中的报道失实承认错误,没有明确阐述麒麟的操作系统是否具有“完全知识产权”以及是否是“中国独立研发”,甚至也没有对官方页面上的事实报道进行修正。而且,既然说明使用了FreeBSD 5.0的代码,却又说仅限于系统服务层,而丝毫未提及所占比例。这依旧让人们对这个获得863计划软件重大专项的资助的操作系统到底有多少创新产生一个大大的疑问。
为了调查清楚麒麟操作系统内核自主创新的百分比,以及与其它操作系统之间的关系,我将麒麟操作系统内核与FreeBSD、NetBSD、OpenBSD、Linux和Solaris的内核进行了可执行代码的相似度分析。
在整个过程中,我将尽量保持客观的原则进行分析。由于麒麟操作系统属于封闭源代码系统,因此在无法获得内核源代码的情况下,我将只进行二进制可执行代码文件的相似度分析。由于可执行代码受编译环境、内存分布情况以及模块的变动的影响很大,因此,会产生即使采用同一套代码,却产生很低的相似度情况。但是,对操作系统内核这种大型软件系统来说,却不会因为不同的代码而产生很高的相似度的情况。因此,我们将这次对二进制可执行代码分析所得的相似度作为相似度的下限。换句话说,真实的相似度应该会高于此次分析结果,但是由于分析方法的局限性,无法取得上限。

Continue reading »

国家机关采购拒微软Windows 8,国产操作系统迎重大机遇

 Linux/Unix相关  没有评论 »
5 月 202014
 

2014年5月20日,据人民日报海外网消息,中央国家机关政府采购中心日前发布的重要通知显示,所有计算机类产品不允许安装Windows 8操作系统。而工业和信息化部总工程师张峰日前曾表示,希望广大用户关注Windows XP停止服务带来的潜在安全风险,采取措施做好安全防范。

希望广大使用XP系统的个人用户,及时下载安装国内相关企业提供的防护软件,降低信息安全风险。工信部也将继续加大力度,支持我国linux操作系统的研发和应用,也希望广大用户给予这些产品更多的支持。

中国工程院院士倪光南建议,国家目前虽然也有支持国产操作系统的措施,但分散在各个部位中,应该提高到中央的层面统一协调。国家应该在政府采购中进一步加大对国产操作的支持。特别是对于一些行业,担心采用国产操作系统,如果出现问题需要承担责任的情况,有关部门应该采取免除责任的措施。同时,发展国产操作系统,不应该仅仅靠国产操作系统企业,在中国工程院多位院士的倡导下,由中国电子信息产业集团公司、中国电子科技集团公司、中国软件行业协会等企业和机构共同发起了中国智能终端操作系统产业联盟,这将改变国产操作系统缺乏软件和硬件支持的尴尬。

中国工程院院士邬贺铨认为,微软停止对Windows XP技术支持一事,给国产操作系统的发展带来了一个难得的契机。

分析人士称,在推广国产操作系统这件事上,如果政府能够正确引导,产业界又能够有效协作,通过软硬兼施的方法在系统层之外,整合普通消费者常用的应用类型,同时又能够在硬件设计、销售价格上采用有突破性的差异化的做法的话,未尝不能够从XP用户升级换代的大潮中获得一份生机,甚至赢得重新洗牌的机会。

国金证券最新研报指出,从我国的政策导向上来看,政府已经将信息安全上升到国家安全。国产的操作系统也将成为保障信息安全的重要组成。目前中标麒麟操作系统是应用最广的国产操作系统,由中国软件的50%控股子公司中标软件研发,“核高基”项目的研究成果,预计未来将是国产操作系统的重要选择之一。A股上市公司中,北信源、中国软件等个股值得关注。

发布日期:2014-05-20 11:42:39 稿源:证券时报网

 下一页  上一页