Всі публікації поспіль
На думку фахівців, саме крадіжка ноутбука є однією з основних проблем в сфері інформаційної безпеки (ІБ).
На відміну від інших загроз ІБ, природа проблем «вкрадений ноутбук» або «вкрадена флешка» досить примітивна. І якщо вартість зниклих пристроїв рідко перевищує позначку в кілька тисяч американських доларів, то цінність інформації на цих носіях часто вимірюється в мільйонах.
Спостереження за виборами в різних країнах, ускладненими різними скандалами навколо підтасовувань, кожен раз змушує задуматися: чому настільки важлива подія, легітимність якого настільки необхідно захистити, використовує механізми захисту багатовікової давності? Особливо це дивно, з огляду на те, що схему для голосування, нехай і далеко не ідеальну, але значно кращу, ніж поточна, може придумати навіть людина, що розбирається в криптографії на початковому рівні. Так уже збіглося, що я відношу себе саме до таких людей, тому я подумав: чому б не спробувати?
На Хабре вже публікувався ряд статей про електронних виборах (раз. Два. Три), проте я не знайшов опрацьованого і відповідає основним вимогам протоколу. Так що зустрічайте: мій варіант протоколу електронного голосування.
У цьому пості ми розповімо про те, як налаштувати двухфакторную аутентифікацію в Check Point Security Gateway з використанням електронних ключів на прикладі JaCarta PKI українського розробника рішень з інформаційної безпеки.
Про те, що віддалений доступ до ресурсів організації несе користь, але і створює ряд проблем для IT-департаменту, йдеться скрізь дуже багато. Ми також вважаємо це важливою темою. Тому вирішили присвятити цьому наступний пост.
Можливість коректної ідентифікації користувачів, що запитують доступ до інформаційної системи, досягається за рахунок використання комплексних рішень контролю доступу.
Завжди приємно дивитися, як доповідач знаходить в якийсь загальновживаною речі підводні камені, які вас, так-так, ось саме вас, запросто можуть боляче зачепити. Це благодатні теми, заходять вони зазвичай на ура. При цьому людині, яка глибоко займається тим, чим звичайні люди просто користуються, завжди є чим шокувати публіку.
У цій статті я хотів би поділитися своїми міркуваннями, що стосуються криптографічного термінології. Звичайно, відповідь на питання, яке винесене в заголовок (будь він позитивним чи ні) ніяк не вплине на працездатність і безпеку відповідних криптоалгоритмів, але тут на меті я ставлю виключно розібратися в їх класифікації.
У багатьох підручниках, довідниках і ресурсах мережі Інтернет стверджується, що «асиметрична криптографія» і «криптографія з відкритим ключем» є синонімами, так само як «симетрична криптографія» і «криптографія із секретним ключем». Але в разі симетричною криптографії питань, у всякому разі у мене, не виникає. Там є і секретний ключ, і симетричність, що виражається в тому, що обидві взаємодіючі сторони мають однаковий ключ.
У разі ж асиметричної криптографії справа йде по-іншому. Візьмемо, наприклад, такі алгоритми, як «шифр Шаміра» [ЦИТЬ] або «ментальний покер» [МП]. Вони, без сумніву, є асиметричними, але назвати їх шифрами з відкритим ключем язик не повертається, оскільки відкритих ключів в них взагалі немає (за винятком загальних для всіх абонентів параметрів, таких як модуль і генератор групи).
Сьогодні для токенов рано, але за ними - майбутнє технологій
І ця нова модель вже реалізована - на ідеї «аппкойна», або «токена», який представляє собою дефіцитний цифровий актив, який спирається на натхненну «біткойнов» технологію. На момент написання статті ринкова капіталізація сектора токенов оцінювалося в десятки мільярдів доларів (безумовно, цей сектор переоцінений, і тим не менше). Такі «товсті протоколи» можуть в кінцевому підсумку створити і залучити більше капіталу, ніж інтернет-компанії останнього покоління.
Тут ми обговоримо багато подій, пов'язаних з токенами концепції: почнемо з основ для новачків в цій області, а потім перейдемо до більш складним поняттям.
Чи не все в цьому світі крутиться навколо браузерів і бувають ситуації, коли TLS надлишковий або взагалі непридатний. Далеко не завжди є необхідність в сертифікатах, дуже часто вистачає звичайних публічних ключів, взяти той же SSH.
А ще є IoT, де впихати TLS цілком це взагалі завдання не для людей зі слабкими нервами. І бекенд, який, я майже впевнений, у всіх після балансер спілкується один з одним за звичайним HTTP. І P2P і ще і ще і ще ...
Він так сподобався нам своєю простотою і лаконічністю, що ми вирішили на його основі запив аж цілий новий протокол мережевого рівня, який не поступається TLS в безпеці, а в чомусь навіть перевершує. Ми презентували його на DEF CON 25, де він був дуже тепло прийнятий. Пора поговорити про нього і у нас.