Show threadRalph PlawetzkiDec 18, 2024

Windows #Hello support is coming for @cryptomator.

My #PR implementing this, including derivation of the #encryption/decryption key using #HKDF, was accepted.

HabrNov 29, 2024

Китайская криптография. Анализ проприетарного протокола MMTLS из WeChat

Изображение из документации протокола MMTLS Академическая исследовательская группа Citizen Lab из университета Торонто провела первый публичный анализ протокола шифрования MMTLS на предмет безопасности и конфиденциальности. Это основной протокол приложения WeChat , которым пользуется более 1,2 млрд человек ( 34% мобильного трафика в Китае в 2018 году). Как выяснилось, MMTLS представляет собой модифицированную версию TLS 1.3, причём многие изменения, внесённые разработчиками, привели к появлению слабых мест. Более того, в дополнение к MMTLS используется ешё менее безопасный, тоже проприетарный протокол, содержащий множество уязвимостей, в том числе детерминированные векторы инициализации в AES-GCM и отсутствие прямой секретности. Ниже он упоминается под названием Business-layer encryption.

https://habr.com/ru/companies/globalsign/articles/862300/

#TLS #MMTLS #WeChat #DH #AESGCM #AESCBC #MD5 #HKDF #шифрование #векторы_инициализации

Китайская криптография. Анализ проприетарного протокола MMTLS из WeChat

Изображение из документации протокола MMTLS Академическая исследовательская группа Citizen Lab из университета Торонто провела первый публичный анализ протокола шифрования MMTLS на предмет...

Хабр
stfSep 29, 2023

wooohooo there is a new libsodium out! finally with HKDF support! been years without a proper release. kudos to @jedisct1 <3

https://github.com/jedisct1/libsodium/releases/tag/1.0.19-RELEASE

i love this part:
> libsodium can now be added as a dependency to Zig projects.

#libsodium #crypto #hkdf

Release 1.0.19 · jedisct1/libsodium

1.0.19 This release includes all the changes from 1.0.18-stable, as well as two additions: New AEADs: AEGIS-128L and AEGIS-256 are now available in the crypto_aead_aegis128l_*() and crypto_aead_ae...

GitHub
Simon RaczAug 17, 2023

CLI Client for a Cryptographic Web Application

This is a long one. I write a new client for a real world E2E encrypted file transfer solution.

#aes #cryptography #hkdf #sha-256 #hash #hmac

https://youtu.be/GQBbgmbR1Ck

CLI Client for a Cryptographic Web Application

YouTube
OPSEC Cybersecurity News LiveMar 24, 2023
What is the impact of leaving a salt used in HKDF open to attacker control?

https://crypto.stackexchange.com/questions/105812/what-is-the-impact-of-leaving-a-salt-used-in-hkdf-open-to-attacker-control

#randomoraclemodel #keyderivation #salt #hkdf
What is the impact of leaving a salt used in HKDF open to attacker control?

RFC 5869 for HKDF says "an application needs to make sure that salt values are not chosen or manipulated by an attacker".1 Soatok also discusses some nuances in choosing salts for HKDF.2 ...

Cryptography Stack Exchange
CendyneJan 30, 2023

HKDF is commonly used to derive key material just in time for its application. However, as a cryptography tool, HKDF is severely under documented and lacks prescriptive examples for intended use.

A large-tech blog shared their HKDF application and I identify several issues with its implementation. Inside is an anonymized version with critiques and improvements.

Tags: #cryptography #hkdf #blog #engineering #security

https://cendyne.dev/posts/2023-01-30-how-to-use-hkdf.html

How to use HKDF to derive new keys

HKDF is a great tool to derive sub-keys from a master key, however it is often misused! Be careful about the salt parameter and use info correctly!