Cartlann Tag: zrtp

faisnéis tascradh Príobháideachta slándála teicneolaíocht

RFC 6189: Is ZRTP ar deireadh caighdeán!

11 Aibreán, 2011 - 22:54

Ar deireadh ZRTP sannta sannadh RFC oifigiúil, RFC6189 ZRTP: Meáin Comhaontú Eochair Conair do Unicast Secure RTP.

Bhí sé mar spleáchas ar an SRTP le AES méid eochair 256bit go bhfuil a shainmhínítear anois mar RFC6188 .

Tá sé spreagúil a fheiceáil ar an RFC scaoileadh ar deireadh, mar tá sé cloch mhíle thábhachtach a leagan ZRTP mar an caighdeán oifigiúil do criptiú-deireadh le deireadh i bhfad cosúil le PGP tá sé ar feadh r-phoist.

Anois, beidh aon eagraíocht ar fud an domhain a bheith in ann go hoifigiúil ZRTP a chur i bhfeidhm le haghaidh criptiú guth prótacal-deireadh le deireadh

Faoi láthair 3 implementations poiblí éagsúla prótacal ZRTP ann:

Gach ceann acu a chur ar fáil gnéithe éagsúla an phrótacail, ach is tábhachtaí is eol a bheith comh-inoibritheach.

Tá tonn nua atá ag teacht ar an domhan criptithe guth, irrupting isteach i limistéar liath i gcás ina bhfuil an chuid is mó de na cuideachtaí a dhéanamh ar chórais criptithe teileafóin á chur i bhfeidhm criptithe saincheaptha.

Anois tá curtha thus caighdeán agus tá roinnt cúiseanna fágtha a chur i bhfeidhm rud éigin difriúil.

Hurra tUasal Zimmermann agus gach pobal cuideachtaí (ar nós PrivateWave ) agus daoine aonair (cosúil le Werner Dittmann ) gur oibrigh ar é!

Sa lá atá inniu tá sé ina lá mór, is de chineál den sórt sin na teicneolaíochta oifigiúil anois agus chomh maith le cur i bhfeidhm il ann cheana féin!

Philip, rinne tú é arís, mo compliments ar do spiorad íon agus a chinneadh:-)

Comment (1) Clibeanna , , , | Comment (1)
Príobháideacht

ZORG, nua C ++ agus Java ZRTP feidhme scaoileadh poiblí

12 Eanáir, 2011 - 02:01

Dia duit ar fad, sa lá atá inniu ag PrivateWave Italia SpA, Iodáilis chuideachta ag gabháil i dteicneolaíochtaí do chosaint príobháideachta agus slándála faisnéise i teileachumarsáide gutha ina tá mé CTO a fhorbairt, scaoileadh muid ZORG, le ZRTP foinse oscailte a chur i bhfeidhm nua prótacal ar fáil le híoslódáil ó http: // www. zrtp.org .

ZRTP [1], foráiltear malartú príomh-deireadh le deireadh le Elliptic Cuar Diffie-Hellmann 384bit criptithe agus SRTP AES-256.

ZORG tá forbairt déanta ar dtús agus cuireadh i bhfeidhm i dtáirgí criptithe guth PrivateGSM PrivateWave ar fáil le haghaidh an ardán seo a leanas: Blackberry, Nokia agus iOS (iPhone).

Zorg C ++ Tá comhtháite le foinse oscailte PJSIP VoIP SDK [2] agus é ar fáil mar paiste comhtháthú aghaidh PJSIP 1.8.5. Tá tástáil déanta ar iPhone, Symbian, Windows, Linux agus Mac OS X.

Zorg Java Tá comhtháite laistigh leagan saincheaptha de MJSIP [3] foinse oscailte SDK ar ardán Blackberry agus folaíonn sé optimizations úsáide cuimhne ag teastáil chun laghdú ar ghníomhaíocht íosta bailitheoir truflais.

An dá ardáin a bheith scartha agus modúlach cryptographic ar ais-deireadh ionas go bhféadfadh na halgartaim cryptographic cur chun feidhme a mhalartú go héasca leis na cinn eile.

. ZORG atá ceadúnaithe faoi GNU AGPL agus tá cód foinse atá ar fáil ar GitHub ag https://github.com/privatewave/ZORG .

Táimid ag scaoileadh é faoi foinse oscailte agus i gcomhchuibheas lenár gcur chuige i leith slándála [4] mar tá súil againn i ndáiríre gur féidir é a bheith úsáideach le haghaidh an éiceachóras foinse oscailte chun córais criptithe guth nua a chruthú chun tacú le saoirse cainte.

D'fhéadfaí níos mó ná 20 foinse oscailte bogearraí criptithe VoIP pjsip-bhunaithe agus roinnt scríofa i Java tairbhe dhíreach ó scaoileadh ZORG.

Ba mhaith linn a bheith sásta an togra an chomhair, comhtháthú nua, cryptographic ar ais-deireadh nua, scouting bug agus is cuma cén úsáideach chun feabhas a chur ar a fháil agus lig ZRTP dhearbhú mar chaighdeán criptithe guth.

Is Zorg fáil ó http://www.zrtp.org .

[1] ZRTP: http://en.wikipedia.org/wiki/ZRTP
[2] PJSIP: http://www.pjsip.org
[3] MJSIP: http://www.mjsip.org
[4] le cur chuige Slándáil: http://www.privatewave.com/security/approch.html

Comment (0) Clibeanna , , , , | Comment (0)
Príobháideacht slándála teicneolaíocht

PrivateGSM: Blackberry / iPhone / Nokia criptithe guth soghluaiste le ZRTP nó SRTP / SDES

19 Deireadh Fómhair, 2010 - 09:10

Sheachaint liom go hiomlán úsáid a bhaint as mo bhlag pearsanta féin a chur chun cinn d'aon chineál táirge a dhéanamh.

An am sin nach bhfuil sé difriúil, ach ba mhaith liom a insint duit fíricí faoi tháirgí mé ag obair ar mhargaíocht gan mhaisiúil, ach ag fanacht teicniúil.

Sa lá atá inniu, ag PrivateWave áit tá mé CTO agus comhbhunaitheoir , scaoileadh muid táirgí criptithe VoIP soghluaiste poiblí do Blackberry, iPhone agus Nokia:

  • An 1ú riamh Blackberry criptithe VoIP le ZRTP - PrivateGSM VoIP Gairmiúla
  • An 1ú riamh criptithe iPhone VoIP le ZRTP - PrivateGSM VoIP Gairmiúla
  • An 1ú riamh Blackberry criptithe VoIP cliant le SRTP le malartú eochair SDES thar SIP / TLS - Fiontraíocht PrivateGSM VoIP

logo-privatewave-colore.png

Ag PrivateWave úsáid againn meas le cur chuige difriúil leis an chuid is mó cuideachta criptithe guth amach ann, léigh ár gcur chuige maidir le slándáil .

Is féidir leis an ábharthacht na táirgí seo sa tírdhreach teicneolaíochta agus tionscail a achoimriú mar seo a leanúint:

  • Tá sé an chéad chuideachta criptithe guth baint úsáide as ach prótacail slándála chaighdeáin (agus táimid ag súil go mbeidh an margadh freagairt, mar tá sé soiléir nach féidir le ardteicneolaíochta dílseánaigh ag teacht as an oidhreacht CSD fáil luach céanna)
  • Tá sé an chéad chur chuige i criptithe guth a úsáid ach amháin foinse oscailte agus inneall criptithe caighdeánach
  • Tá sé an chéad chur chuige criptithe guth chun múnla slándála éagsúla a chur ar fáil ag baint úsáide as teicneolaíochtaí éagsúla (deireadh le deireadh le haghaidh ZRTP agus deireadh le suíomh do SRTP )

Glacfar sraith na gCliant Secure Soghluaiste, atá deartha le haghaidh úsáide slándála ghairmiúil amháin ag baint úsáide as teicneolaíochtaí teileachumarsáide agus slándála is fearr, a chur ar fáil ar leibhéal ard cosanta ann chomh maith le dea-fheidhmíocht freisin i gcoinníollacha líonra dona:

Is iad na hiarratais:

icona-pgsm.png

Is iad na gléasanna soghluaiste tacaíocht:

Maidir ZRTP shocraigh muid a strus agus stráice go léir an t-urrús agus gné paranoid den phrótacal le roinnt Chomh beag:

Ár dian comhtháthú seoladh leabhar téann, thar RFC ZRTP sonraíocht, d'fhéadfadh a bheith i mbaol ionsaithe áirithe nuair a úsáidtear é ar fhóin phóca mar gheall ar iompar úsáideora nach chun breathnú ar an scáileán soghluaiste.

Ár paranoy mhodh a úsáid ZRTP cibé coinníollacha a mhaolú, beidh muid ag scríobh faoi seo níos déanaí agus / nó cuirfidh sonraí ar leith le cur san áireamh RFC.

Roinnt focal ar PrivateGSM Gairmiúla le criptiú-deireadh le deireadh le ZRTP

Léigh bileog teicniúla ann!

Chun é a íoslódáil cliceáil anseo agus díreach a chur ar d'uimhir theileafóin

Sin iad na torthaí d'obair chrua de m'fhoireann go léir an-oilte (16 duine ag obair ar an 6 thionscadal ar feadh 3 ardáin éagsúla) ar theicneolaíochtaí dúshlánach (criptithe guth) i dtimpeallacht oibriúcháin deacair (líonraí soghluaiste salach agus córais oibriúcháin salach soghluaiste) ar feadh níos mó ná 2 bhliain.

Tá mé an-bhródúil as ár bhfoireann!

Cad é seo chugainn?

I seachtainí seo chugainn beidh tú a scaoileadh ar shraith mór documentations nós comhtháthú le asterisks, freeswitch agus Slándáil Cumasaithe eile PBX, chomh maith le roinnt nuacht teicneolaíocht slándála spreagúil eile a tá mé cinnte go mbeidh a chur faoi deara;)

Tá sé ina obair chrua agus níos mó a bheith a dhéanamh ach tá mé muiníneach go mbeidh an pobal slándála agus opensource mhaith táirgí den sórt sin agus ar ár gcur chuige trédhearcach chomh maith le scaoileadh tábhachtacha oscailte agus comhtháthú foinse oscailte a dhéanamh ar an teicneolaíocht an-neodrach go polaitiúil (backdoor saor in aisce) .

Comments (2) Clibeanna , , , , | Comments (2)
slándála teicneolaíocht

Nach bhfuil gach cuar éilipseach an gcéanna: trough maidir le slándáil ECC

26 Meán Fómhair, 2010 - 01:05 
 Mo anailís slándála ECC cuar agus roghnú féin

 vn9jna1BdgrzDCYNBJHi09q09q.jpg 
  An chuid is mó ar úsáid criptithe nua-aimseartha Elliptic Cuar Cryptographic (ECC) go bhfuil, le méid níos lú eochair agus cumhacht ríomh a laghdú, a thabhairt neart slándáil coibhéiseach de chóras rialaithe criptithe traidisiúnta ar a dtugtar DH (Diffie-Hellman) nó RSA (Rivest, Shamir agus Adleman). 
  Fhios ag gach duine nach go bhfuil ECC criptithe a roghnaíodh le haghaidh aon iarratais criptithe amach anseo agus go fiú TLS / SSL (criptithe a úsáidtear chun a áirithiú ar an ngréasán) bogadh go ECC. 
  Fuair ​​mé go leor de sin ar a dtugtar "táirgí criptithe dílseánaigh" a tréigeadh RSA agus DH chun théann le roghanna ECC, go bhfuil an claonadh go treallach úsáid giotán LET méid eochair gan fiú a shonraíonn a bhfuil de chineál ar ECC Criptithe fháil a úsáidtear. 
  Ach tá a lán de mearbhall ar fud Curves Elliptic, le go leor de na hainmneacha éagsúla agus méid príomh a dhéanamh deacair do neamh-cryptographically-taithí-úsáideoir a dhéanamh do figiúr féin nuair a mheas roinnt rudaí criptithe. 
  Mar gheall ar mearbhall mar sin diffused shocraigh mé a dhéanamh ar mo anailís féin chun a fháil amach a bhfuil na cuair criptithe LET is fearr agus an ceart ECC méid eochair a úsáid. 
  Bheadh ​​sé seo an anailís buíochas a rogha atá bunaithe ar tionscal slándála a chur ar fáil i measc na curves éagsúla agus méideanna tábhachtacha, ag fágáil na cúinsí anailíseacha matamaiticiúla agus criptithe atá déanta cheana féin i rith na mblianta, ag déanamh achoimre na roghanna éagsúla a ghlacadh i roinnt caighdeáin agus prótacail slándála. 
  An Chéad an chonclúid. 
  Ó mo anailís a bhfuil ach an curves ECC seo a leanas a chur san áireamh lena n-úsáid i gcórais criptithe mar go bhfuil an t-aon cheann a roghnaíodh i measc na n-údarás éagsúil (ANSI, NSA, SAG, NIST, ECC BrainPool), caighdeáin éagsúla prótacal slándála (IPSec, OpenPGP, ZRTP, Kerberos, SSL / TLS) agus an ceann amháin a mheaitseáil riachtanais slándála NSA Suite B (caighdeán de facto freisin do chomhshaol míleata NATO): 
  •  Elliptic Príomh Cuar 256 giotán - P-256 
  •   Elliptic Príomh Cuar 384 giotán - P-384 
  le roghnach, ach le haghaidh ndáiríre paranoid atá ag iarraidh a fháil níos mó eochair giotán méid, ní mheastar go fóill úsáideach: 
  •   Elliptic Príomh Cuar 521 giotán - P-521 
  Ba mhaith liom a rá gur chóir curves Koblitz a sheachaint, in aon mhéid eochair (163/283/409/571) mar nach bhfuil siad go leor bharántas ar ghníomhaíocht anailíseach criptithe agus go héifeachtach go bhfuil siad: 
  •   Ní cuid de NSA roghnú cripteagrafaíochta Suite-B 
  •   Ní cuid de ECC Brainpool roghnú 
  •   Ní cuid de ANSI X9.62 roghnú 
  •   Ní cuid de OpenPGP ECC síneadh a roghnú 
  •   Ní cuid de Kerberos síneadh do roghnú cuar ECC 
  Tugaim cuireadh don léitheoir a leanúint trough mo anailís a thuiscint an bunúsacha a d'fhéadfaí a thuiscint fiú gan cúlra teicniúla domhain ach ar a laghad a bhfuil cúlra teicneolaíochta maith le roinnt le beagán bhunúsach de cripteagrafaíochta. 
 Anseo táimid ag dul leis an anailís

 

  Is é mo sprioc a dhéanamh anailís ar an méid / conas an pobal eolaíochta agus slándála oscailte a roghnú córas criptithe ECC d'úsáid i prótacail slándála agus caighdeáin a shainmhínítear IETF RFC (na cinn a shainiú Caighdeáin Idirlíon ar bhealach oscailte agus a bhfuil piarmheasúnú déanta). 
  Thíos sraith de RFC isteach ECC i gcóras atá ann cheana féin a fháil anailís a thuiscint cad atá níos fearr a úsáid agus cad atá níos fearr a eisiamh: 
 
  •   RFC5639 : Curves ECC Brainpool Standard & Cuar Giniúint 
  •   RFC4869 : NSA Suite B Cryptographic Suites do IPSec 
  •   RFC5430 : Próifíl NSA Suite B Iompair Slándáil Sraith (TLS) 
  •   RFC5008 : NSA Suite B i i Secure / iarmhíreanna do phost Idirlín (S / MIME) 
  •   RFC3766 : Cinneadh Láidreachtaí Do Eochracha Poiblí a úsáidtear le haghaidh a mhalartú Eochracha siméadrach 
  •   RFC5349 : Elliptic Cripteagrafaíochta Cuar (ECC) Tacaíocht d'Eochair Phoiblí Cripteagrafaíochta do Fíordheimhniú tosaigh i Kerberos (PKINIT) 
  •   RFC4492 : Cripteagrafaíochta Cuar Elliptic (ECC) Cipher Suites Shlándáil Sraith Iompair (TLS) 
  •   ZRTP criptithe guth Philip Zimmermann ECC cuar 
  •   ECC i OpenPGP (dréacht d rafta-jivsov-OpenPGP-ECC-06 ) 
  •   Cuair ECC roghnaithe ag Microsoft don Cárta Cliste Kerberos logáil isteach 
  Bainfidh muid úsáid as an rogha a rinne eolaí a shainmhíniú Slándáil Idirlíon Prótacail chuid dár mheastóireacht a dhéanamh. 
  Ina theannta sin ní mór é a thuiscint go dtagann an roghnú Cuar ó údaráis éagsúla a rinne a gcuid rogha féin de Curves d'fhonn a insint don tionscal cad a úsáid agus cad a scipeáil: 
  Bainfidh muid úsáid as an rogha a rinne riachtanais slándála eolaí a shainiú sna gníomhaireachtaí chaighdeánú chuid dár mheastóireacht a dhéanamh. 
  Ina theannta sin, rud a daoine is mó nach bhfuil a fhios, ach go bhfuil sé thar a bheith ábhartha do ár n-anailís go bhfuil, go bhfuil chineál éagsúla de ECC cripteagrafaíochta cuar agus an "méid" Tá sé éagsúil ag brath ar an gcineál cuar: 
  •   Cuair ECC thar Príomh Field (go minic dá réir mar Elliptic Cuar agus ionadaíocht P-keysize) 
  •   Cuair ECC thar Dénártha Field (go minic dá réir mar Koblitz Curve agus ionadaíocht ag K-keysize) 
  Mar gheall ar a neart slándála coibhéise an Cuar Elliptic agus an Cuar Kobliz Tá méid eochair éagsúla, mar shampla, nuair a léigh muid ECC 571 táimid ag tagairt do Koblitz Curve le neart comhionann le ECC 521 Príomh cuar. 
  Tá comparáid idir na neart idir Curves Elliptic agus Cuair Kotbliz a tuairiscíodh thíos (ó Mikey ECC Dréacht idirlín ): 
 | Koblitz | ECC | DH / DSA / RSA
 | 163 | 192 | 1,024
 | 283 | 256 | 3072
 | 409 | 384 | 7680
 | 571 | 521 ​​| 15,360

  Thíos níl comparáid ar na cuair roghnaithe ag na heintitis éagsúla agus a n-ainm faoi seach (ó IETF RFC4492 d'úsáid ECC do TLS ): 
 Ainmneacha Cuar roghnaithe ag eagraíochtaí caighdeáin éagsúla ------------ + --------------- + ------------- SECG | ANSI X9.62 | NIST ------------ + --------------- + ------------- sect163k1 | | NIST K-163 sect163r1 | | sect163r2 | | NIST B-163 sect193r1 | | sect193r2 | | sect233k1 | | NIST K-233 sect233r1 | | NIST B-233 sect239k1 | | sect283k1 | | NIST K-283 sect283r1 | | NIST B-283 sect409k1 | | NIST K-409 sect409r1 | | NIST B-409 sect571k1 | | NIST K-571 sect571r1 | | NIST B-571 secp160k1 | | secp160r1 | | secp160r2 | | secp192k1 | | secp192r1 | prime192v1 | NIST P 192 secp224k1 | | secp224r1 |​​ | NIST P-224 secp256k1 | | secp256r1 | prime256v1 | NIST P-256 secp384r1 | | NIST P-384 secp521r1 | | NIST P-521 ------------ + - -------------- + ------------- 
  Cad láithreach le feiceáil go bhfuil go bhfuil ach dhá curves roghnaithe ag na húdaráis, agus go bhfuil dumpáil de curves Koblitz ag ANSI.The aontú air seo ach go coitianta i measc na n-údarás 3 ghinearálta iad seo a leanas dhá cuar ECC: 
  •   secp192r1 / prime192v1 / NIST P-192 
  •   secp256r1 / prime256v1 / NIST P-256 
  Díobh siúd a roghnú ECC cuar don TLS an RFC5430 ndearna curves go hiomlán Koblitz agus a roghnaíodh le haghaidh úsáide amháin: 
  •   P-256, P-384, P-521 
  An Brainpool ECC ndearna hiomlán curves Koblitz agus a roghnaíodh le haghaidh úsáid na Cuair ECC seo a leanas: 
  •   P-160, P-192, P-224, P-256, P-320, P-384, P-512 (go bhfuil an t-aon go háirithe toisc nach bhfuil sé P-521 ach P-512, an t-aon eochair-size bhráid ECC brainpool. tnx Ian Simons ó Fiachra SCS ) 
  An dréacht idirlín OpenPGP d'úsáid ECC i PGP d rafta-jivsov-OpenPGP-ECC-06 ndearna hiomlán curves Koblitz agus roghnaigh an curves ECC seo a leanas 
  •   P-256, P-384, P-521 
  An síneadh prótacal Kerberos lena n-úsáid ECC, a shainmhínítear in RFC5349 agus sainmhínithe ag Microsoft chun logáil isteach cárta cliste den ndearna hiomlán curves Koblitz agus roghnaigh an curves ECC seo a leanas: 
  •   P-256, P-384, P-521 
  Mar sin, fuaimeanna, soiléir go bhfuil an rogha ceart ECC do P-256, P-384 agus P-521 agus tá an cuar Koblitz curtha ndearna do Barr Rúnda úsáid agus le haghaidh aon phrótacal slándála íogair (IPSec, OpenPGP, ZRTP, Kerberos, SSL / TLS). 
  Cén fáth a rinne mé an anailís seo? 
  A rinne mé an anailís seo a leanas le díospóireacht a bhí i gcás táirgí criptithe guth áirithe, go léir atá bunaithe ar an prótacal saincheaptha agus dílseánaigh, go bhfuil gach úsáid Elliptic Cuar Diffie Hellman 571 giotán / ECDH 571/571-giotán ECDH / Koblitz 571 giotán. 
  Gach iad iad ag baint úsáide as an K-571, mar a bhfuil cur síos roimh, cuireadh as gach timpeallacht agus prótacail íogair slándála agus a bheith mé féin ina dearthóir de rudaí criptithe guth is dóigh liom go bhfuil a rogha cryptographic fíor nach bhfuil an rogha slándála is fearr. 
  Is dócha go bhfuil sé déanta go díreach chun críche margaíochta, mar is cosúil K-571 (Koblitz cuar) níos láidre ná P-521 (cuar Elliptic atá bunaithe ar líon Príomh-).  Má tá tú ag "níos mó giotán" Is féidir le do guys margaíochta a éileamh a bheith "níos sábháilte".  Tá Koblitz cuar éilipseach níos tapúla ná an cuar éilipseach príomh rúnda barr ar chumas agus mar sin a thabhairt ar an bainisteoir táirge deis a chur ar fáil "níos mó giotán" i sé a táirge féin agus a choinneáil ar an malartú eochair go tapa. 
  Tá sé ina ábhar de rogha fealsúnachta. 
  Is fearr liom a leanúint leis an treocht an pobal eolaíochta le humility de gan smaoineamh ar mé féin saineolaí cryptographic, eolach níos mó ná an t-urrús foriomlán agus pobal eolaíochta féin. 
 Is fearr liom ina ionad sin a úsáid ach amháin halgartaim atá formheasta le húsáid i dtimpeallachtaí an-íogair (aicmiú rúnda barr), atá roghnaithe ag na húdaráis agus ag obair halgartaim criptithe anailís grúpa ann as-ann agus a léiríonn an rogha na slándála beagnach gach caighdeán prótacail (IPSec, OpenPGP, ZRTP, Kerberos, SSL / TLS, srl). 
  Is fearr liom a chomhaireamh ar an méid brains ag obair ar an criptithe a úsáid i, sin seiceáil go bhfuil i ndáiríre slán, go a mheas an níl roinnt laige. 
  Tá líon na n-brais ag obair ar Crypto diffused go forleathan d'ord méadaíochta níos mó ná líon na n brains ag obair ar criptithe úsáid ag ach cúpla daoine (cosúil le Koblitz cuar). 
  Mar sin ní tá mé ag demonizing a bhaineann úsáid as ECDH 571 ag baint úsáide as Koblitz Curve, ach le haghaidh cinnte gur féidir liom a dheimhniú nach raibh siad glacadh leis an rogha is fearr ó thaobh na slándála agus go mbeadh aon gairmithe slándála a dhéanamh ar tagarmharcála slándála a mheas ar an bhfíric go Elliptic Cuar Diffie Hellman 571 Níl giotán dhéanamh le Koblitz Curve diffused go forleathan, tá sé dumpáilte ó prótacail slándála caighdeán agus nach bhfuil sé deimhnithe le haghaidh úsáide top secret. 
  Comments (5) Clibeanna  ,  ,  | Comments (5) 
  gnó tascradh Príobháideachta slándála teicneolaíocht 
  Slándáil caint Soghluaiste ag comhdháil WHYMCA 
  2 Meith, 2010 - 19:56 
  Ba mhaith liom a roinnt ar roinnt sleamhnán i úsáidtear chun labhairt faoi shlándáil soghluaiste ag comhdháil soghluaiste whymca i Milano. 
  Léigh anseo mo sleamhnáin maidir le slándáil soghluaiste . 
  Soláthraíonn na sleamhnáin ar fud an forbhreathnú i-domhain ar cúrsaí slándála soghluaiste a bhaineann, ba chóir dom a bheith ag déanamh roinnt slidecast faoi é a chur freisin fuaime.  B'fhéidir go mbeidh a dhéanamh, b'fhéidir nach bhfuil, braitheann sé ar an am go bhfuil i gcónaí ar acmhainn nach leor. 
  Comment (0) Clibeanna  ,  ,  ,  ,  ,  ,  | Comment (0) 
  thascradh Príobháideacht slándála teicneolaíocht 
  Cripteagrafaíocht chandamach briste 
  20 Bealtaine, 2010 - 20:15 
  Cripteagrafaíocht chandamach tá sé rud éigin an-dúshlánach, modhanna criptithe a ghiaráil an dlí phisycs chun cumarsáid a dhaingniú thar línte snáithín. 
  Chun oversimplify an córas atá bunaithe ar an bhfíric go más rud é duine éigin a ghearradh ar an snáithín, a chur sconna i lár, agus i gcomhar le chéile ar an taobh eile de chuid an snáithín, an méid "earráidí" a bheidh ar an cosán cumarsáide a bheith níos airde ná mar a 20%. 
  Mar sin, má théann QBER (Quantum Bit Ráta Earráid) os cionn 20%, ansin tá sé air féin go bhfuil an córas idircheapadh. 
  Taighdeoir ag Ollscoil Toronto bhí sé in ann a cheat ar an gcóras le fanacht faoi bhun 20%, ag 19.7% , rud a tweaking an tairseach don chóras a mheas ar an cainéal cumarsáide slán vs gcontúirt. 
  Is é an táirge a fuarthas leochaileacha a dtugtar Cerberis Layer2 agus arna dtáirgeadh ag an ID hEilvéise Quantique . 
  Tá roinnt cur chuige possibile a bhrath an t-ionsaí ar fáil ach is dócha, IMHO, chineál sin de chórais ní mór a chur san áireamh 100% iontaofa go dtí go mbeidh an teicneolaíocht a bheith aibí go leor. 
  Tá criptithe Traidisiúnta a bheidh le húsáid in éineacht till roinnt blianta, sa deireadh cuachta le criptiú satis bíodh is infheidhme. 
  Nuair a bheidh muid a fheiceáil na córais criptithe chandamach ar RFC mar atá feicthe againn le haghaidh ZRTP , PGP agus SSL ? 
  -naif 
  Comment (0) Clibeanna  ,  ,  | Comment (0) 
  Príobháideacht slándála teicneolaíocht 
  Níl Criptiú scrambling: bheith ar an eolas streachailte! 
  20 Aibreán, 2010 - 17:50 
  An chuid is mó de dúinn ar an eolas faoi streachailte guth gur féidir a úsáid ar fud beagnach aon chineál teicneolaíochta cumarsáide gutha bunaithe. 
  Cur chuige thar a bheith solúbtha: Oibreacha gach rud 
  Feidhmíochta Foircní: latency an-íseal 
  ach ar an drochuair ... 
  Thar a bheith lag: Ní féidir scrambling a chur san áireamh slán. 
  Ní féidir ach criptithe a mheas slán faoi phrionsabal Kerckoff s . 
  Mar sin, le do thoil ná a mheas fiú de chineál ar bith streachailte aschur más gá duit slándála fíor. 
  Léigh go mór an páipéar Cur i bhfeidhm córas criptithe guth fíor-ama "ag Markus Brandau, go háirithe an mhír cryptoanalysis. 
  Comment (0) Clibeanna  ,  ,  ,  ,  | Comment (0) 
  gnó tascradh Príobháideachta slándála teicneolaíocht 
  Maidir leis an anailís criptithe SecurStar GmbH Phonecrypt guth (critéir, earráidí agus torthaí éagsúla) 
  30 Eanáir, 2010 - 02:02 
  An t-airteagal ag iarraidh a shoiléiriú agus a mhíniú níos fearr ar an toradh ag infosecurityguard.com regaring meastóireacht a táirge criptithe guth. 
  An t-airteagal ag iarraidh a insint duit pointe éagsúla de, seachas infosecurityguard.com agus ag míniú a bhfuil na réasúnach leis an explaination fairsinge ó thaobh slándála de. 
  Sa lá atá inniu i léamh nuacht ag rá: "PhoneCrypt: Leochaileacht Bunúsach Aimsíodh i 12 as 15 Táirgí Criptiú Guth agus chuaigh a léamh ar an láithreán gréasáin infosecurityguard . 
  Ar dtús ba chosúil le mo cosúil le gníomhaíocht taighde iontach ach ansin thosaigh mé ag léamh go mór an léamh faoi it.I fuarthas amach go nach bhfuil sé i gceart taighde slándála ach tá go bhfuil eilimintí nithiúla go feachtas margaíochta a dhéanamh go maith d'fhonn a mhealladh na meáin poiblí agus a phoibliú táirge. 
  Imho bhí siad in ann iriseoirí agus úsáideoirí cheat toisc go raibh an feachtas margaíochta nach bhfuil déanta go hiomlán go maith le teacht ar an 1ú léamh iarracht.  Mheas mé go pearsanta sé cosúil le ceann bailí ar 1 réidh (cheated siad dom ar dtús!). 
  Ach má théann tú go domhain ... beidh tú a thuiscint go: 
  - Tá sé ina tionscnamh margaíochta duaithníocht eagraithe ag SecurStar GmbH agus ní ar thaighde slándála neamhspleách 
  - A mheasann siad comhthéacs slándála amháin i gcás ina bhfuil gléas áitiúil i mbaol (Is féidir aon bogearraí a dhaingniú sa chás sin, cosúil le rá gur féidir SSL a chur i mbaol má tá tú trojan!) 
  - Nach bhfuil siad ag smaoineamh ar aon urrús bunúsach agus critéir slándála cryptographic 
 
  Mar sin féin a lán de na suíomh gréasáin tábhachtach a tuairiscíodh é: 
  Tá an tAirteagal seo fada go leor, má léigh tú é go mbeidh tú a thuiscint níos fearr ar cad atá ar siúl thart ar thaighde infosecurityguard.com agus toradh taighde. 
  Ba mhaith liom a insint duit cén fáth agus conas (imho) tá siad mícheart. 
  Chaill an taighde a mheas Slándála, Cripteagrafaíochta agus Trédhearcacht! 
  Bhuel, seo go léir fuaime taighde i bhfad cosúil le bheith dírithe ar an sprioc margaíochta a rá go bhfuil a gcuid táirgí PhoneCrypt an "Super" táirge is fearr ar fad na cinn eile. 
  Aon saineolaí slándála a mbeadh mar dhualgas ar an "meastóireacht bogearraí" d'fhonn a chosaint ar an rúndacht na glaonna teileafóin a bheidh a mheas tréithe éagsúla eile an táirge agus an teicneolaíocht. 
  Sea, tá sé fíor go bhfuil an chuid is mó den táirge ag cur síos SecurStar in a láithreán gréasáin margaíochta gan ainm ar a dtugtar http://infosecurityguard.com roinnt laige. 
  Ach tá an laige ábhartha eile agus PhoneCrypt ar an drochuair, mar chuid is mó de na táirgí a bhfuil cur síos ag fulaingt ó seo. 
  A ligean ar athbhreithniú a dhéanamh ar a bhfuil tréithe atá de dhíth cripteagrafaíochta bunúsacha agus ceanglas slándála (an cleachtas is fearr, an bunús agus an Basics!) 
  a - Ní Slándáil Umar doiléire oibre 
  Tá riail bunúsach i cripteagrafaíochta cames ó 1883 Auguste Kerckhoffs: 
  I gcóras cripteagrafach dea-dheartha, ach na riachtanais eochair a bheith rúnda;  cheart go mbeadh aon rúndacht sa algartam. 
  Cryptographers nua-aimseartha a bheith glactha an bprionsabal sin, aon rud eile ag glaoch "slándáil trí doiléire." 
  Léigh cad Bruce Schneir, saineolaithe agus cryptographer aitheanta ar fud an domhain a rá faoi seo 
  Beidh aon saineolaí slándála a insint duit go bhfuil fíor.  Beidh Fiú mac léinn ollscoile novice a insint duit go bhfuil fíor.  Níl ort ach mar gheall ar go bhfuil an t-aon bhealach cripteagrafaíochta a dhéanamh. 
  Beagnach gach táirge a bhfuil cur síos san athbhreithniú a rinne SecurStar GmbH, tá PhoneCrypt, ní mionsonraí beachta faoina gcuid teicneolaíochtaí chripteagrafach. 
  Tá sonraí beachta: 
  •   Sonraíocht mionsonraithe algartam cryptographic (is nach bhfuil ach ag rá "a úsáidimid AES ") 
  •   Sonraíocht mionsonraithe prótacal cryptographic (is nach bhfuil ach ag rá "úsáidimid Diffie Hellman ") 
  •   Sonraíocht mionsonraithe a thomhas neart cryptographic (is nach bhfuil ach ag rá "ní mór dúinn 10000000 giotán méid príomh- ") 
  Ciallaíonn sholáthar mionsonraí beachta a bhfuil doiciméadú forleathan a bhfuil impleachtaí teoiriciúil agus praiticiúil a dhoiciméadú AON bhealach amháin ar conas a oibríonn an algartam, conas a oibríonn an prótacal leis an tsonraíocht beacht a mhacasamhlú é le haghaidh tástála comh-inoibritheacht. 
  Ciallaíonn sé gur chóir go mbeadh pobal eolaíochta in ann a imirt leis an teicneolaíocht, a iniúchadh air, hack é. 
  Más rud é nach bhfuil a fhios againn rud ar bith faoi chóras cripteagrafacha i bhfoirm sonraí, conas is féidir linn a fhios ag a bhfuil an laige agus neart pointí? 
  Mike Fratto, eagarthóir Láithreán Líonra Ríomhaireachta, rinne sé alt iontach ar "Ag rá NÍL chórais cryptographic dílseánaigh" . 
  Cerias Ollscoil Purdue insint seo . 
  b - piar NEAMH athbhreithnithe agus ní NEAMH Cripteagrafaíochta heolaíoch ceadaithe ag obair 
  In aon chás, agus in aon choinníoll a dhéanann tú cripteagrafaíochta ní mór duit a bheith cinnte go mbeidh duine éigin eile a sheiceáil, a athbhreithniú, a anailísiú, distruct agus reconstract ó scratch do theicneolaíocht agus iad siúd eolas saor in aisce don phobal le plé oscailte a chur ar fáil. 
  Sin é go díreach an chaoi a rugadh AES agus cosúil US Institiúid Náisiúnta Caighdeán a dhéanann criptithe (le comórtas poiblí athbhreithniú piaraí poiblí nach mbeidh ach an bua is fearr a mheas). 
  Tá plé poiblí le comórtas poiblí i gcás an a lán de athbhreithnithe is cryptographer cáiliúla agus saineolaithe ar fud an domhain, hackers (lena n-ainm, sloinne agus aghaidh, ní cosúil Notrax) a chuireann siad ar fáil, a insint cad a cheapann siad. 
  Sin ar a dtugtar "athbhreithniú piaraí". 
  Má tá an teicneolaíocht cripteagrafach athbhreithniú piaraí leathnaithe agus tábhachtach, a dháileadh ar fud an domhain ag teacht ó ollscoileanna, cuideachtaí slándála príobháideacha, institiúidí míleata, hackers agus gach a thagann ó chuid éagsúla den domhan (ó Stáit Aontaithe Mheiriceá go dtí an Eoraip go dtí an Rúis go Meiriceá Theas go dtí Meán soir go dtí an tSín) agus aontaíonn gach duine acu go bhfuil an teicneolaíocht ar leith go bhfuil sé slán ... 
  Bhuel, sa chás sin is féidir linn a mheas an teicneolaíocht slán toisc go bhfuil athbhreithniú ar a lán na n-eintiteas a bhfuil dea-cháil agus an t-údarás ag teacht ó a lán de na áit eile ar fud an domhain go poiblí, anailís agus dheimhnigh sé go teicneolaíocht bhfuil sé slán. 
  Conas is féidir le cuideachta phríobháideach a cheapann fiú a chumadh ar sé féin prótacal cumarsáide slán nuair atá sé ráite go heolaíoch nach bhfuil sé indéanta a dhéanamh ar "bhealach dílseánaigh agus dúnta"? 
  IBM insint duit go bhfuil athbhreithniú piaraí sé ag teastáil le haghaidh cripteagrafaíochta . 
  Bruce Schneier insint duit go bhfuil "Tá a fhios cryptographers Dea go gcuirfidh aon rud le haghaidh athbhreithniú piaraí forleathan agus sna blianta anailíse." 
  Beidh Philip Zimmermann insint duit go beware de Snake Ola áit a bhfuil an scéal: ". fancies gach innealtóir bogearraí féin cryptographer, a ba chúis le iomadú na bogearraí criptithe go dona" 
  c - ní foinse Dúnta cripteagrafaíochta oibre 
  Mar is eol duit de chineál ar bith "tromchúiseach" agus leis go bhfuil "dea-cháil" teicneolaíocht cryptographic i bhfeidhm i opensource. 
  Is gnách go mbíonn cur i bhfeidhm iolraí de an algartam cryptographic céanna agus prótacal chripteagrafach a bheith in ann athbhreithniú a dhéanamh ar fad ar an mbealach oibríonn sé agus an idir-inoibritheacht a dheimhniú. 
  Cheapadh chun úsáid a bhaint as caighdeán le sonraí beachta agus a leathnú ar "conas a oibríonn sé", a bhí "athbhreithnithe ag piaraí" ag an bpobal eolaíoch ACH go bhfuil a ath-chur i bhfeidhm ó mhúinteoir aitheanta ag Ríomhchláraitheoir nach cliste sin agus cur i bhfeidhm tá sé neart bugs . 
 Well, if the implementation is “opensource” this means that it can be reviewed, improved, tested, audited and the end user will certaintly have in it's own had a piece of technology “that works safely” . 
 Google release opensource crypto toolkit 
 Mozilla release opensource crypto toolkit 
 Bruce Schneier tell you that Cryptography must be opensource . 
 Another cryptographic point of view 
 I don't want to convince anyone but just provide facts related to science, related to cryptography and security in order to reduce the effect of misinformation done by security companies whose only goes is to sell you something and not to do something that make the world a better. 
 When you do secure products, if they are not done following the proper approach people could die. 
 It's absolutely something irresponsible not to use best practice to do crypto stuff. 
 To summarize let's review the infosecurityguard.com review from a security best pratice point of view. 
 Product name  Security Trough Obscurity  Public peer review  Open Source  Compromise locally? 
 Caspertec  Obscurity  No public review  Closed   Is ea 
 CellCrypt  Obscurity 
 		 No public review 
 		 Closed 
 		  Is ea 
 Cryptophone  Transparency  Limited public review  Public   Is ea 
 Gold-Lock  Obscurity 
 		 No public review 
 		 Closed 
 		  Is ea 
 Illix  Obscurity 
 		 No public review 
 		 Closed 
 		  Is ea 
 No1.BC  Obscurity  No public review 
 		 Closed 
 		  Is ea 
 PhoneCrypt  Obscurity 
 		 No public review 
 		 Closed 
 		  Is ea 
 Rode&Swarz  Obscurity 
 		 No public review 
 		 Closed 
 		  Is ea 
 Secure-Voice  Obscurity 
 		 No public review 
 		 Closed 
 		  Is ea 
 SecuSmart  Obscurity 
 		 No public review 
 		 Closed 
 		  Is ea 
 SecVoice  Obscurity 
 		 No public review 
 		 Closed 
 		  Is ea 
 SegureGSM  Obscurity 
 		 No public review 
 		 Closed 
 		  Is ea 
 SnapCell  Obscurity 
 		 No public review 
 		 Closed 
 		  Is ea 
 Tripleton  Obscurity 
 		 No public review 
 		 Closed 
 		  Is ea 
 Zfone  Transparency  Public review 
 		 Open   Is ea 
 ZRTP  Transparency  Public review 
 		 Open   Is ea 
 *Green means that it match basic requirement for a cryptographic secure system 
 * Red / Broken means that it does not match basic requirement for a cryptographic secure system 
 That's my analysis using a evaluation method based on cryptographic and security parameters not including the local compromise context that i consider useless. 
 However, to be clear, those are only basic parameters to be used when considering a voice encryption product (just to avoid being in a situation that appears like i am promoting other products). So it may absolutely possible that a product with good crypto ( transparency, peer reviewed and opensource) is absolutely a not secure product because of whatever reason (badly written, not usable causing user not to use it and use cleartext calls, politically compromised, etc, etc). 
 I think i will prepare a broader criteria for voice crypto technologies and voice crypto products, so it would be much easier and much practical to have a full transparent set of criterias to evaluate it. 
 But those are really the basis of security to be matched for a good voice encryption system! 
 Read some useful past slides on security protocols used in voice encryption systems (2nd part). 
 Now read below some more practical doubt about their research. 
 The security concept of the review is misleading: any hacked device can be always intercepted! 
 I think that the guys completely missed the point: ANY KIND OF SOFTWARE RUNNING ON A COMPROMISED OPERATING SYSTEM CAN BE INTERCEPTED 
 Now they are pointing out that also Zfone from Philip Zimmermann is broken (a pc software), just because they install a trojan on a PC like in a mobile phone? 
 Any security software rely on the fact that the underlying operating system is somehow trusted and preserve the integrity of the environment where the software run. 
  •  If you have a disk encryption system but your PC if infected by a trojan, the computer is already compromised. 
  •  If you have a voice encryption system but your PC is infected by a trojan, the computer is already compromised. 
  •  If you have a voice encryption system but your mobile phone is infected by a trojan, the mobile phone is already compromised. 
 No matter which software you are running, in such case the security of your operating environment is compromised and in one way or another way all the information integrity and confidentiality is compromised. 
 Like i explained above how to intercept PhoneCrypt. 
The only things that can protect you from this threat is running in a closed operating system with Trust Computing capability, implementing it properly. 
 For sure on any “Open” operating system such us Windows, Windows Mobile, Linux, iPhone or Android there's no chance to really protect a software. 
 On difficult operating system such as Symbian OS or RimOS maybe the running software can be protected (at least partially) 
 That's the reason for which the security concept that guys are leveraging to carry on their marketing campaign has no clue. 
 It's just because they control the environment, they know Flexispy software and so they adjusted their software not to be interceptable when Flexispy is installed. 
 If you develop a trojan with the other techniques i described above you will 100% intercept PhoneCrypt. 
 On that subject also Dustin Tamme l, Security researcher of BreakPoint Systems , pointed on on VoIP Security Alliance mailing lists that the security analysis is based on wrong concepts . 
 The PhoneCrypt can be intercepted: it's just that they don't wanted to tell you! 
 PhoneCrypt can be intercepted with “on device spyware”. 
 Why? 
 Because Windows Mobile is an unsecure operating environment and PhoneCrypt runs on Windows Mobile. 
 Windows Mobile does not use Trusted Computing and so any software can do anything. 
 The platform choice for a secure telephony system is important. 
 How? 
 I quickly discussed with some knowledgeable windows mobile hackers about 2 different way to intercept PhoneCrypt with an on-device spyware (given the unsecure Windows Mobile Platform). 
 a) Inject a malicious DLL into the software and intercept from within the Phonecrypt itself. 
 In Windows Mobile any software can be subject to DLL code injection. 
 What an attacker can do is to inject into the PhoneCrypt software (or any software running on the phone), hooking the Audio related functions acting as a “function proxy” between the PhoneCrypt and the real API to record/play audio. 
 It's a matter of “hooking” only 2 functions, the one that record and the one that play audio. 
 Read the official Microsoft documentation on how to do DLL injection on Windows Mobile processes. or forum discussing the technique of injecting DLL on windows mobile processes. 
 That's simple, any programmer will tell you to do so. 
 They simply decided that's better not to make any notice about this. 
 b) Create a new audio driver that simply act as a proxy to the real one and intercept PhoneCrypt 
 In Windows Mobile you can create new Audio Drivers and new Audio Filters. 
 What an attacker can do is to load a new audio driver that does not do anything else than passing the real audio driver function TO/FROM the realone. In the meantime intercept everything recorded and everything played :-) 
 Here there is an example on how to do Audio driver for Windows Mobile . 
 Here a software that implement what i explain here for Windows “Virtual Audio Cable” . 
 The very same concept apply to Windows Mobile. Check the book “Mobile Malware Attack and Defense” at that link explaining techniques to play with those techniques. 
 They simply decided that's better not to make any notice to that way of intercepting phone call on PhoneCrypt . 
 Those are just 2 quick ideas, more can be probably done. 
 Sounds much like a marketing activity – Not a security research. 
 I have to tell you. I analyzed the issue very carefully and on most aspects. All this things about the voice encryption analisys sounds to me like a marketing campaign of SecurStar GmbH to sell PhoneCrypt and gain reputation. A well articulated and well prepared campaign to attract the media saying, in an indirect way cheating the media, that PhoneCrypt is the only one secure. You see the press releases of SecurStar and of the “Security researcher Notrax telling that PhoneCrypt is the only secure product” . SecurStar PhoneCrypt is the only product the anonymous hacker “Notrax” consider secure of the “software solutions”. 
 The only “software version” in competition with: 
SnapCell – No one can buy it. A security company that does not even had anymore a webpage. The company does not almost exist anymore. 
rohde-schawarz – A company that have in his list price and old outdated hardware secure phone . No one would buy it, it's not good for genera use. 
 Does it sounds strange that only those other products are considered secure along with PhoneCrypt . 
 Also… let's check the kind of multimedia content in the different reviews available of Gold-Lock, Cellcrypt and Phonecrypt in order to understand how much the marketing guys pressed to make the PhoneCrypt review the most attractive: 
 Application  Screenshots of application  Video with demonstration of interception  Network demonstration 
 PhoneCrypt  5   0   1 
 CellCrypt   0   2   0 
 GoldLock   1   2   0 
 It's clear that PhoneCrypt is reviewed showing more features explicitly shown and major security features product description than the other. 
 Too much difference between them, should we suspect it's a marketing tips? 
 But again other strange things analyzing the way it was done… 
 If it was “an impartial and neutral review” we should see good and bad things on all the products right? 
 Ok, see the table below regarding the opinion indicated in each paragraph of the different reviews available of Gold-Lock, CellCrypt and Phonecrypt (are the only available) to see if are positive or negative. 
 Application  Number of paragraphs  Positive paragraphs  Negative paragraphs  Neutral paragraphs 
 PhoneCrypt   9   9   0   0 
 CellCrypt   12   0  10   2 
 GoldLock   9   0   8   1 
 
 
 Detailed paragraphs opinion analysis of Phonecrypt 
 Paragraph of review  Opinion expressed 
 From their website  Positive Marketing feedback 
 Apple iPhone  Positive Marketing feedback 
 Disk Encryption or voice Encryption  Positive Marketing feedback 
 PBX Compatibility? Really  Positive Marketing feedback 
 Cracking <10. Not.  Positive Marketing feedback 
 Good thinking!  Positive Marketing feedback 
 A little network action  Positive Marketing feedback 
 UI  Positive Marketing feedback 
 Good Taste  Positive Marketing feedback 
 Detailed paragraphs opinion analysis of Gold-Lock 3G 
 Paragraph of review  Opinion expressed 
 From their website  Negative Marketing feedback 
 Licensed by The israeli Ministry of Denfese  Negative Marketing feedback 
 Real Company or Part Time hobby  Negative Marketing feedback 
 16.000 bit authentication  Negative Marketing feedback 
 DH 256  Negative Marketing feedback 
 Downad & Installation!  Neutral Marketing feedback 
 Cracking it <10  Negative Marketing feedback 
 Marketing BS101  Negative Marketing feedback 
 Cool video stuff  Negative Marketing feedback 
 Detailed paragraphs opinion analysis of CellCrypt 
 Paragraph of review  Opinion expressed 
 From their website  Neutral Marketing feedback 
 A little background about cellcrypt  Negative Marketing feedback 
 Master of Marketing  Negative Marketing feedback 
 Secure Voice calling  Negative Marketing feedback 
 Who's buying their wares  Negative Marketing feedback 
 Downad & Installation!  Neutral Marketing feedback 
 My Demo environment  Negative Marketing feedback 
 Did they forget some code  Negative Marketing feedback 
 Cracking it <5  Negative Marketing feedback 
 Room Monitoring w/ FlexiSpy  Negative Marketing feedback 
 Cellcrypt unique features..  Negative Marketing feedback 
 Plain old interception  Negative Marketing feedback 
 The Haters out there  Negative Marketing feedback 
 Now it's clear that from their point of view on PhoneCrypt there is no single bad point while the other are always described in a negative way. 
 No single good point. Strange? 
 All those considerations along with the next ones really let me think that's very probably a marketing review and not an independent review. 
 Other similar marketing attempt from SecurStar 
 SecurStar GmbH is known to have used in past marketing activity leveraging this kind of “technical speculations”, abusing of partial information and fake unconfirmed hacking stuff to make marketing/media coverage. 
 Imho a rare mix of unfairness in leveraging the difficult for people to really understand the complexity of security and cryptography. 
 They already used in past Marketing activities like the one about creating a trojan for Windows Mobile and saying that their software is secure from the trojan that they wrote. 
 Read about their marketing tricks of 2007 
 They developed a Trojan (RexSpy) for Windows Mobile, made a demonstration capability of the trojan and later on told that they included “Anti-Trojan” capability to their PhoneCrypt software.They never released informations on that trojan, not even proved that it exists. 
 The researcher Collin Mulliner told at that time that it sounds like a marketing tips (also because he was not able to get from SecurStar CEO Hafner any information about that trojan): 
 “This makes you wonder if this is just a marketing thing.” 
 Now, let's try to make some logical reassignment. 
 It's part of the way they do marketing, an very unfriendly and unpolite approach with customers, journalist and users trying to provide wrong security concepts for a market advantage. Being sure that who read don't have all the skills to do in depth security evaluation and find the truth behind their marketing trips. 
 Who is the hacker notrax? 
 It sounds like a camouflage of a fake identity required to have an “independent hacker” that make an “independent review” that is more strong on reputation building. 
 Read about his bio: 
 ¾ Human, ¼ Android (Well that would be cool at least.) I am just an enthusiast of pretty much anything that talks binary and if it has a RS232 port even better. During the day I masquerade as an engineer working on some pretty cool projects at times, but mostly I do the fun stuff at night. I have been thinking of starting an official blog for about 4.5 years to share some of the things I come across, can't figure out, or just cross my mind. Due to my day job and my nighttime meddling, I will update this when I can. I hope some find it useful, if you don't, well you don't. 
 There are no information about this guy on google. 
 Almost any hacker that get public have articles online, post in mailing archive and/or forum or some result of their activity. 
 For notrax, nothing is available. 
 Additionally let's look at the domain… 
 The domain infosecurityguard.com is privacy protected by domainsbyproxy to prevent understanding who is the owner. 
 The domain has been created 2 months ago on 01-Dec-09 on godaddy.com registrar. 
 What's also very interesting to notice that this “unknown hacker with no trace on google about him that appeared on December 2009 on the net” is referred on SecurStar GmbH Press Release as a “An IT security expert”. 
 Maybe they “know personally” who's this anonymous notrax?  :) 
 Am i following my own conspiracy thinking or maybe there's some reasonable doubt that everything was arrange in that funny way just for a marketing activity? 
 Social consideration 
 If you are a security company you job have also a social aspects, you should also work to make the world a better place (sure to make business but “not being evil”). You cannot cheat the skills of the end users in evaluating security making fake misleading information. 
 You should do awareness on end users, to make them more conscious of security issues, giving them the tools to understand and decide themselves. 
 Hope you had fun reading this article and you made your own consideration about this. 
 Fabio Pietrosanti (naif) 
 ps Those are my personal professional opinion, let's speak about technology and security, not marketing. 
 pps i am not that smart in web writing, so sorry for how the text is formatted and how the flow of the article is unstructured! 
 Tags  ,  ,  ,  ,  ,  ,  | Comments (4) 
 intelligence Privacy technology 
 Voice Security and Privacy slides 
 6 July 2009 – 10:15 pm 
 Below my slides on voice security and privacy from Security Summit 2009 . 
 mmm, yes i am working in this area from 2005, will write again about it. 
 2009: Voice Security And Privacy (Security Summit – Milan) 
 View more presentations from Fabio Pietrosanti . 
 sux 
 Tags  ,  ,  ,  | Comment (0)