Kryptograficzna wpadka roku: eksperci od szyfrowania zgubili klucz do własnych wyborów

To brzmi jak scenariusz kiepskiej komedii o działach IT, ale wydarzyło się naprawdę w jednej z najbardziej prestiżowych organizacji zajmujących się bezpieczeństwem na świecie.

International Association of Cryptologic Research (IACR) została zmuszona do anulowania wyników swoich corocznych wyborów do władz stowarzyszenia. Powód jest prozaiczny, a zarazem kuriozalny: jeden z urzędników zgubił klucz szyfrujący niezbędny do odczytania oddanych głosów. Organizacja przyznała, że odzyskanie wyników jest technicznie niemożliwe.

Głosowanie przeprowadzono przy użyciu systemu Helios, narzędzia open source, które wykorzystuje recenzowaną przez środowisko naukowe kryptografię do zapewnienia tajności i weryfikowalności wyborów.

Zgodnie z regulaminem stowarzyszenia, aby zapobiec manipulacjom, trzech niezależnych powierników otrzymało po jednej części materiału kryptograficznego. Aby odszyfrować ostateczne wyniki, system wymagał wprowadzenia wszystkich trzech części klucza prywatnego. Niestety, jeden z powierników „bezpowrotnie utracił” swoją część, co IACR określiło mianem „uczciwego, ale niefortunnego błędu ludzkiego”.

Konsekwencje tego zdarzenia są natychmiastowe. Moti Yung, powiernik, który nie był w stanie dostarczyć swojej części klucza, zrezygnował z pełnionej funkcji i został zastąpiony przez Michela Abdallę. Aby uniknąć powtórki z tej sytuacji w przyszłości, IACR zmienia procedury zarządzania kluczami prywatnymi. Zamiast wymagać kompletu trzech części, przyszłe wybory będą opierać się na mechanizmie progowym, wymagającym do odszyfrowania tylko dwóch z trzech fragmentów klucza. Nowe wybory rozpoczęły się w miniony piątek i potrwają do 20 grudnia.

#bezpieczenstwo #helios #iacr #kryptografia #news #szyfrowanie #wpadka #wybory

Lubimy rozwiązania zapewniające prywatność i bezpieczeństwo danych ponieważ jesteśmy odpowiedzialni i chronimy nasze granice, zatem lubimy także komunikator #Signal za jego kod #OpenSource, minimalizację przetwarzanych metadanych oraz #szyfrowanie end-to-end.

Tymczasem #Bruksela dąży do masowej inwigilacji wszystkich obywateli #UE odbierającej prawo do poufnej komunikacji, przyjmując styl #Orwell #rok1984. Wszystkie wiadomości i załączniki, jeszcze zanim zostaną zaszyfrowane, miałyby być skanowane pod kątem treści odnoszącej się do pornografii dziecięcej i nadużyć seksualnych wobec dzieci, a wzorcem miałaby być rządowa baza danych lub #AI. Zack #Whittaker: taki #backdoor stałby się wektorem możliwego ataku na inne części systemu. Wiodącym zwolennikiem kontroli jest #Dania. Prezes Fundacji Signal zadeklarował, że jeśli rozporządzenie zostanie przyjęte, komunikator opuści UE.

Odnosząc się do systemu wartości Europejczyków można próbować wszelkich form cenzury, kontroli, nadzoru i represji uzasadniając to ekologią, bezpieczeństwem, nadużyciami finansowymi, ochroną praw mniejszości, altruizmem czy dobrem dzieci, co może być uznane za nadużycie autorytetu moralnego i „pełzające ograniczenie wolności”. #Foucault: nowoczesna władza to nie przemoc lecz nadzór i autodyscyplina jednostek. https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52022PC0209

Bądźmy szczerzy. Byłem zwolennikiem #OpenPGP (czy ogólniej #PGP) przez długi czas. I w sumie nadal nie jestem w stanie wskazać żadnej sensownej alternatywy. I wierzyłem, że PGP nie jest "tak trudne" — ale wcale nie staje się łatwiejsze. A wielkim problemem z tego typu standardami są narzędzia.

#WebOfTrust jest trudne, i dla wielu ludzi niepraktyczne. I nie pomaga tu to, w jaki sposób wiele programów decyduje się obsługiwać kwestie zaufania kluczy. Czasem dostaję zaszyfrowaną pocztę — i #EvolutionMail znacznie utrudnia mi jednorazową odpowiedź z szyfrowaniem, o ile nie zdecyduję się *permanentnie* zaufać nadawcy.

Bajzel z serwerami kluczy SKS nie pomógł. Dziś znaleźć czyjś klucz to szukanie igły w stogu siana. Jeżeli mamy szczęście, wystarczy WKD. Jeżeli nie, to możemy przeszukać serię różnych serwerów kluczy, GitHuba, strony internetowe. I czasem po drodze znajdziemy klucze już nieważne, bo ludzie aktualizują tylko w niektórych miejscach, albo w ogóle zapominają wysłać aktualne.

No i wchodzi problem niezgodności programów. Nie świadczy to dobrze o PGP, że GnuPG nie jest w stanie zaimportować kluczy z popularnych serwerów, bo nie mają identyfikatorów użytkownika. A to tylko czubek góry lodowej.

Za rogiem czeka rozbieżność standardów OpenPGP, która dopiero przyniesie prawdziwe problemy. Wyobraźcie sobie, że przekonaliście kogoś do OpenPGP, i za chwilę musicie tej osobie wyjaśniać, że użyła nieprzenośnego narzędzia albo niewłaściwych ustawień, i stworzyła klucz, którego nie jesteście w stanie użyć.

Nie tak zachęca się ludzi do szyfrowania.

#szyfrowanie

Proton – jak nieprecyzyjny marketing wpływa na wiarygodność usług

Założona w 2014 roku firma Proton przedstawia się jako przejrzysta, otwartoźródłowa i rygorystycznie szyfrowana usługa. Dbałość o prywatność miała przynieść miliony użytkowników na całym świecie oraz rekomendację Organizacji Narodów Zjednoczonych. TLDR: W ramach świadczonych usług dostępne są szyfrowane narzędzia, takie jak: Obietnicami o szyfrowaniu, prywatności i bezpieczeństwie Proton przez lata...

#WBiegu #Afera #Awareness #Bezpieczeństwo #Proton #Prywatność #Szyfrowanie

https://sekurak.pl/proton-jak-nieprecyzyjny-marketing-wplywa-na-wiarygodnosc-uslug/

🎬 SSL/TLS i walidacja certyfikatów, what could possibly go wrong?

Błażej Orzechowski opowiada o znaczeniu szyfrowania w internecie, wyjaśnia rolę HTTPS, SSL/TLS i certyfikatów w ochronie danych.

👉 PeerTube: https://tube.pol.social/w/uqcqPCEEq8dU2odbb4dA7J
👉 YouTube: https://youtu.be/DB_boLriKwA?feature=shared

#PIWO #PIWO2025 #poznań #ssl #https #tls #szyfrowanie #security

Szefowa szwedzkiej policji Petra Lundh zaapelowała do rodziców o kontakt z policją jeśli odkryją, że ich dziecko korzysta z Signala.

Nie wiem co jest gorsze, to, że według szefowej policji szyfrowanie jest jakimś wskaźnikiem skłonności przestępczych czy to, że państwo ustami swojego przedstawiciela zachęca rodziców do kapowania na własne dzieci. 🤔

artykuł po szwedzku: https://www.tv4.se/artikel/3SFX15URbIpuIgTK6lLc7C/journalisten-rasar-mot-rikspolischefens-signal-uttalande-bara-knaeppt

#szyfrowanie #signal #prywatnosc #szwecja

Wielka Brytania rezygnuje z żądania „backdoor” w iCloud

Wielka Brytania oficjalnie wycofała swoje żądanie wobec Apple, domagając się stworzenia tzw. „backdoor” umożliwiającego dostęp do zaszyfrowanych danych użytkowników iCloud.

Decyzja ta jest wynikiem intensywnych rozmów dyplomatycznych z rządem USA, który interweniował w obronie prywatności obywateli amerykańskich. Apple wcześniej wyłączyło funkcję Advanced Data Protection w Wielkiej Brytanii i zaskarżyło decyzję przed brytyjskim Trybunałem ds. Uprawnień Ścigania.

Brytyjski rząd zrezygnował z wymogu, aby Apple stworzyło „backdoor” umożliwiający dostęp do szyfrowanych danych amerykańskich obywateli – poinformowała szefowa wywiadu USA Tulsi Gabbard. W oświadczeniu opublikowanym w poniedziałek Gabbard zaznaczyła, że współpracowała z Wielką Brytanią oraz prezydentem Donaldem Trumpem i wiceprezydentem JD Vance w celu osiągnięcia porozumienia.

Rzecznik rządu brytyjskiego podkreślił, że Wielka Brytania zawsze działała na rzecz bezpieczeństwa swoich obywateli, szanując jednocześnie prywatność danych.

Apple nie skomentowało jeszcze oświadczenia.

Wcześniej brytyjskie żądanie stworzenia backdoora wzbudziło obawy, że mogłoby zostać wykorzystane przez cyberprzestępców lub autorytarne rządy. Apple wcześniej wycofało funkcję Advanced Data Protection w Wielkiej Brytanii i stanowczo odmawiało wbudowania możliwości dostępu do szyfrowanych danych.

Eksperci ds. cyberbezpieczeństwa ostrzegają, że każdy backdoor w systemach Apple mógłby zostać w końcu odkryty i wykorzystany przez hakerów. Spór Apple z władzami w sprawie szyfrowania trwa od 2016 roku, kiedy to USA próbowały zmusić firmę do odblokowania iPhone’a podejrzanego ekstremisty.

#Apple #backdoor #bezpieczeństwoDanych #cyberbezpieczeństwo #iPhone #ochronaDanych #prywatność #szyfrowanie #usa #wielkaBrytania

Totalna inwigilacja w Twoim telefonie? Kontrowersyjne prawo UE wchodzi w decydującą fazę

Pod pretekstem walki z przestępczością, unijni politycy przygotowują prawo, które może oznaczać koniec prawdziwie prywatnej komunikacji w internecie.

Rozporządzenie, znane jako „Chat Control”, zakłada masowe i automatyczne skanowanie wszystkich naszych cyfrowych wiadomości – w tym tych wysyłanych przez szyfrowane komunikatory jak Signal czy WhatsApp. Projekt, który od lat budził olbrzymie kontrowersje, właśnie wchodzi w kluczowe tygodnie negocjacji.

Skanowanie, zanim zaszyfrujesz

Najbardziej niebezpiecznym elementem proponowanych przepisów jest mechanizm tzw. skanowania po stronie klienta (client-side scanning). W praktyce oznacza to, że każda wiadomość, zdjęcie czy plik, który wysyłasz, byłby analizowany na Twoim urządzeniu, zanim jeszcze zostanie zaszyfrowany i wysłany do odbiorcy.

To całkowite zaprzeczenie idei szyfrowania end-to-end, które do tej pory gwarantowało, że nikt poza nadawcą i odbiorcą nie ma dostępu do treści rozmowy. Eksperci ds. cyberbezpieczeństwa alarmują, że taki system tworzy permanentną furtkę (backdoor), którą mogą wykorzystać nie tylko służby, ale także hakerzy czy obce państwa, uzyskując bezprecedensowy dostęp do naszych danych.

Niewinni pod stałą kontrolą

Proponowane prawo nie będzie działać wybiórczo. System masowej kontroli ma objąć wszystkich obywateli, niezależnie od tego, czy są o cokolwiek podejrzewani. Skanowanie ma odbywać się w sposób ciągły i masowy, co zdaniem krytyków narusza fundamentalne prawo do prywatności, zapisane m.in. w Karcie Praw Podstawowych UE.

Co więcej, dotychczasowe analizy, w tym te zlecone przez Parlament Europejski, wskazują na wysoką zawodność technologii skanujących, które generują ogromną liczbę fałszywych alarmów. Niewinne zdjęcie z wakacji czy prywatny żart może zostać błędnie zinterpretowany przez automat jako materiał nielegalny, uruchamiając poważną w skutkach procedurę.

Zegar tyka. Kluczowe tygodnie dla naszej prywatności

Po latach impasu w negocjacjach, obecna prezydencja duńska przyspieszyła prace i według doniesień, zdobyła poparcie 19 z 27 państw członkowskich dla kontrowersyjnego projektu. Czasu na reakcję jest bardzo mało. Państwa członkowskie mają sfinalizować swoje stanowisko do 12 września 2025 roku, a pierwsze głosowanie w Radzie UE może odbyć się już 14 października 2025 roku. Organizacje broniące praw cyfrowych, takie jak te zrzeszone w ramach inicjatywy FightChatControl.eu, apelują o masowe kontaktowanie się z przedstawicielami rządów i wyrażanie sprzeciwu wobec planów masowej inwigilacji.

#alert #cenzura #ChatControl #CSARegulation #cyberbezpieczeństwo #inwigilacja #news #prawaObywatelskie #prywatność #szyfrowanie #UniaEuropejska

Proton wprowadza Lumo – asystenta AI, który ma stawiać prywatność na pierwszym miejscu

Firma Proton, znana z tworzenia zorientowanych na prywatność narzędzi, takich jak Proton Mail, uruchomiła własnego asystenta AI o nazwie Lumo.

Nowy chatbot ma wyróżniać się na rynku dzięki zaawansowanym funkcjom ochrony danych, w tym pełnemu szyfrowaniu i polityce braku logów.

Lumo oferuje kilka kluczowych mechanizmów ochrony prywatności. Firma zapewnia, że nie przechowuje żadnych logów z rozmów, a historia czatów jest chroniona szyfrowaniem end-to-end. Dostępny jest również „tryb ducha” (ghost mode), w którym konwersacje znikają natychmiast po zamknięciu okna. Zastosowano także szyfrowanie „zero-access”, co oznacza, że tylko użytkownik na swoim urządzeniu może odszyfrować historię rozmów.

Asystent jest dostępny przez stronę internetową oraz aplikacje na Androida i iOS, a do jego podstawowego użycia nie jest wymagane posiadanie konta. Lumo może odpowiadać na pytania, analizować przesłane pliki, a także łączyć się z kontem Proton Drive w celu uzyskania dostępu do plików w chmurze. Ma również dostęp do internetu, choć jego wyniki nie zawsze mogą być najświeższe.

Proton podkreśla, że Lumo bazuje na modelach open-source i działa w europejskich centrach danych firmy. W komunikacie firma wyraźnie odcina się od partnerstw z amerykańskimi i chińskimi gigantami AI. „W przeciwieństwie do Apple Intelligence i innych, Lumo nie jest partnerstwem z OpenAI (…), a Twoje zapytania nigdy nie są wysyłane do stron trzecich” – oświadczył Proton.

Lumo jest drugim narzędziem AI w portfolio firmy, po asystencie pisania w Proton Mail wprowadzonym w zeszłym roku. Jego debiut stanowi ważną alternatywę na rynku chatbotów, skierowaną do użytkowników, dla których ochrona danych i prywatność są absolutnym priorytetem, w odróżnieniu od modeli stosowanych przez największych graczy technologicznych.

#AI #asystentAI #Bezpieczeństwo #chatbot #endToEnd #Lumo #news #openSource #Proton #prywatność #sztucznaInteligencja #szyfrowanie #technologia