// Без комментариев – Let’s Encrypt, IoT Security & Obfuscation


• Ни один домен не останется позади: Let’s Encrypt демократизирует шифрование?

• Протоколы аутентификации для Интернета вещей: всесторонний обзор

• Обфускация с использованием шифрования

Иногда новости достаточно хорошо сообщаются в других местах, и нам нечего добавить, кроме как обратить на это ваше внимание.

Без комментариев – это формат, в котором мы представляем исходную информацию об источнике, слегка отредактированную, чтобы вы могли решить, хотите ли вы следить за ней.

Ни один домен не останется позади: Let’s Encrypt демократизирует шифрование?

Есть так много вопросов, на которые нужно ответить о текущем безумном стремлении шифровать каждую транзакцию в сети, но недавняя статья, по крайней мере, показала, что Let’s Encrypt делает это дешевым и простым.

«Разоблачения Агентства национальной безопасности 2013 года о повсеместном мониторинге привели к« шифрованию »в компьютерной и интернет-индустрии. Чтобы противостоять массовому слежке и защитить конфиденциальность пользователей, поставщики, хостинг-провайдеры и облачные провайдеры широко развернули шифрование на своем оборудовании, каналы связи и приложения.

Как следствие, большая часть веб-трафика в настоящее время зашифрована. Однако значительная часть интернет-трафика все еще не зашифрована. Утверждалось, что как затраты, так и сложность, связанные с получением и развертыванием сертификатов X.509, являются основными препятствиями для широко распространенного шифрования, поскольку эти сертификаты требуются для установленных зашифрованных соединений.

Для решения этих проблем Electronic Frontier Foundation, Mozilla Foundation и Мичиганский университет создали Let’s Encrypt (LE), центр сертификации, который предоставляет как бесплатные сертификаты X.509, так и программное обеспечение, автоматизирующее развертывание этих сертификатов. В этой статье мы исследуем, удалось ли LE демократизировать шифрование: мы анализируем выпуск сертификатов в первый год LE и показываем с различных точек зрения, что внедрение LE имеет тенденцию к росту и на самом деле успешно покрывает более низкую стоимость конец хостингового рынка “.

И к успеху LE:

Устраняя два основных барьера, препятствующих повсеместному шифрованию (стоимость и сложность, необходимые для выдачи сертификатов X.509), LE стала одним из крупнейших центров сертификации всего за один год после выпуска первого сертификата …

Мы также показали, что как только эти барьеры устранены, это позволяет крупным хостинг-провайдерам выпускать и развертывать сертификаты для своих клиентов массово, что позволяет быстро и автоматически включать шифрование в большом количестве доменов. Например, мы показали, что в настоящее время 47% сертифицированных доменов LE размещены в трех крупных хостинговых компаниях (Automattic / wordpress.com, Shopify и OVH).

Что не было количественно оценено или исследовано, так это влияние, которое LE могла бы оказать на крупные компании, выпускающие сертификаты, и то, как это изменило способ просмотра сертификатов конечными пользователями просто как способ включения шифрования или как способ доказать, о ком они говорят. к.

Протоколы аутентификации для Интернета вещей: всесторонний обзор

Безопасность Интернета вещей – большая тема, но как обеспечить безопасность всего, что вы создаете? Ключ, очевидно, – аутентификация, но как машина аутентифицируется с другой машиной? В этом обзоре подробно рассматривается ряд возможностей:

В этой статье мы представляем всесторонний обзор протоколов аутентификации для Интернета вещей (IoT). В частности, мы выбираем и детально исследуем более сорока протоколов аутентификации, разработанных или применяемых в контексте Интернета вещей в четырех средах, в том числе:

(1) Межмашинная связь (M2M)

(2) Интернет транспортных средств (IoV)

(3) Интернет энергии (IoE),

а также

(4) Интернет датчиков (IoS).

Мы начнем с обзора всех опубликованных в последние годы обзорных статей, посвященных различным аспектам идеи Интернета вещей. Затем мы рассматриваем модели угроз, меры противодействия и формальные методы проверки безопасности, используемые в протоколах аутентификации для Интернета вещей. Кроме того, мы предоставляем таксономию и сравнение протоколов аутентификации для IoT в форме таблиц по пяти терминам, а именно: сетевая модель, цели, основные процессы, сложность вычислений и накладные расходы на связь. На основе текущего опроса мы выявляем открытые проблемы и предлагаем подсказки для будущих исследований.

Если вы хотите получить представление о практическом решении проблемы, а не теоретический обзор, посмотрите: Как аутентифицировать устройство в промышленном Интернете вещей.

Обфускация с использованием шифрования

Обфускация, разве вы не ненавидите, когда вы принимаете стороны, пытаясь выяснить, как работает какая-то важная часть программного обеспечения, но разве вы не хотите, чтобы был лучший способ, когда у вас есть код для защиты? Только самые искренние приверженцы открытого исходного кода видят в запутывании простое зло. Теперь у нас есть предположение, что можно было бы сделать лучше, чем простая семантическая обфускация:

Защита исходного кода от обратного проектирования и кражи – важная проблема. Цель состоит в том, чтобы выполнять вычисления с использованием конфиденциальных алгоритмов на ненадежной стороне, обеспечивая при этом конфиденциальность алгоритмов.

Эта проблема решена для логических схем, известных как “конфиденциальность схемы”. Схемы, соответствующие реальным программам, непрактичны. Хорошо известные методы запутывания весьма практичны, но обеспечивают лишь ограниченную безопасность, например, защиту от пиратства.

В этой работе мы модифицируем исходный код, создавая программы с регулируемой производительностью и гарантиями безопасности, начиная от обфускаторов неразличимости до (небезопасных) обычных обфускаторов. Идея состоит в том, чтобы искусственно генерировать «вводящие в заблуждение» утверждения. Их результаты объединяются с результатом конфиденциального заявления с использованием зашифрованных переменных-селекторов. Таким образом, злоумышленник должен «угадать» зашифрованные переменные селектора, чтобы замаскировать конфиденциальный исходный код.

Мы оценили наш метод с участием более десяти программистов, а также анализ шаблонов в репозиториях с открытым исходным кодом, чтобы получить представление о шаблонах (микро) кодирования, которые имеют отношение к созданию вводящих в заблуждение утверждений. Оценка показывает, что наш подход эффективен в том смысле, что он успешно сохраняет конфиденциальность исходного кода.

Чтобы быть в курсе новых статей на I Programmer, подпишитесь на нашу еженедельную новостную рассылку, подпишитесь на RSS-канал и подпишитесь на нас в Twitter, Facebook, Google+ или Linkedin.

Комментарии

Оставьте комментарий или просмотрите существующие комментарии с помощью Disqus


Добавить комментарий