Artykuły dotyczące tematu: Github

dodany: 08.05.2013 | tagi: , , ,

Praca na zaszyfrowanym pliku – IBM prezentuje otwartoźródłowe podejście do kryptografii

0

Grupa naukowców IBM wydała githubowy projekt, który implementuje homomorficzny system szyfrowania – czyli taki, który pozwala na operowanie na zaszyfrowanym dokumencie/pliku bez jego deszyfrowania (bez znajomości klucza deszyfrującego).

Dlaczego ktoś miałby to robić? Po części dlatego, że jeśli żeby pracować na pliku, musimy go wcześniej odszyfrować, to zawsze gdzieś będzie istnieć jego czysta, niezaszyfrowana wersja (z ang. plaintext). Dlatego IBM ma inny pomysł – zdeszyfrowany plik będzie zaszyfrowany i chroniony w chmurze, przy jednoczesnej możliwości pracy na nim. Big Blue przewiduje nawet wykorzystanie takich systemów do prawdziwie prywatnego przeszukiwania Internetu.

Githubowy projekt nazywa się HElib – z ang. homomorphic encryption library. Jego autorzy opisują go jako:

realizację systemu BGV (od nazwisk twórców Brakerskiego, Gentry’ego i Vaikuntanathana, przyp. red.), ale zoptymalizowana tak, by system dział szybciej, skupiając się głównie na efektywnym wykorzystaniu technik pakowania Smarta-Vercauterena  i optymalizacji wg Gentry’ego-Halevi’ego-Smarta.

Wyzwaniem jest to, aby sprawnie uruchomić coś, co zostało już opisane przez członka IBM Craiga Gentry’ego w 2009 roku, a w późniejszych latach udoskonalane.

Oprócz algorytmów generowania kluczy, szyfrowania i deszyfrowania, homograficzny system szyfrowania dodaje „Ocenę” funkcji.

W zaszyfrowanym pliku osadzone są czynności, które są dla niego dopuszczalne (na przykład możliwość odczytu i zapisu tylko części lub wszystkich plików).

Funkcja „Oceny”  jest w stanie użyć kombinacji klucza publicznego oraz dozwolonych czynności do pracy na pliku bez konieczności odszyfrowywania go.

dodany: 25.04.2013 | tagi: , , ,

Ukazała się kolejna wersja Gitlab 5.1

1

Ukazała się kolejna wersja Gitlab, otwartoźródłowej i darmowej alternatywy dla serwisów takich jak Github do instalacji na własnych serwerach. Oprogramowanie to jest tworzone w języku Ruby i oparte na frameworku Ruby on Rails.

Najważniejsze zmiany wyróżnione przez autorów, to refaktoryzacja kodu odpowiedzialnego za kopie zapasowe oraz poprawiona wydajność wraz ze zmniejszonym użyciem pamięci. Poprawki naprawiają także możliwości wykorzystania XSS.

Pełna lista zmian znajduje się na blogu projektu.

dodany: 25.01.2013 | tagi: ,

Sprawdź czy Twój klucz prywatny nie stał się publicznym!

0

Github to znany serwis do udostępniania kodu, który w łatwy sposób pozwala na zdalną pracę nad jednym projektem. Jak się okazuje przechowywanie na nim całego projektu, nie było to  do końca bezpieczne rozwiązaniem, albowiem w łatwy sposób można było odnaleźć za jego pomocą prywatne klucze RSA! Jak to możliwe? Po prostu miały one uprawnienia dostępu publicznego.

Dlaczego dopiero teraz o tym wiadomo?

Sama wyszukiwarka doczekała się usprawnienia 23 stycznia tego roku – co prawda ulepszenie miało służyć przede wszystkim łatwiejszemu wyszukiwaniu fragmentów kodu, ale jak się okazało, równie dobrze spisywała się przy odnajdywaniu kluczy RSA.

Wystarczyło wklepać w wyszukiwarce następujące zapytania:

extension:key BEGIN RSA PRIVATE KEY

size:>1 path:.ssh/id_rsa

size:>1 path:.gnupg/secring.gpg

Na szczęście w dniu wczorajszym administratorzy Githuba szybko zareagowali na ten problem i wyłączyli zupełnie moduł wyszukiwania – niestety nie podali na stronie faktycznej przyczyny zablokowania wyszukiwarki, kwitując to lakonicznym opisem:

Wyszukiwanie nie jest dostępne. Przywracanie funkcjonalności z clustera trwa wolno oraz jest stale nadzorowane…

Obecnie funkcja wyszukiwania już działa, ale wspomniane wyżej zapytania już nie pozwalają na odnajdywanie kluczy.

Można by myśleć, że to rozwiązało problem, ale przecież roboty Google nie próżnują – wystarczy wpisać w wyszukiwarce:

i mamy w zasadzie wszystkie dostępne klucze RSA jak na tacy.

wyszukiwanie kluczy RSA via Google

 

Niestety największy problem mają Ci użytkownicy , którzy używają tych kluczy także do szyfrowania poczty i komunikacji za pomocą serwisów takich jak GNUPG.