Dagens tekst er hentet fra kapittel 7 i Cryptography and Network Security. Dette kapitlet skal se nærmere på hvordan man bruker blokkchiffre i praksis.
Kryptografi og nettverkssikkerhet (Kapittel 6: AES)
Dagens tekst er hentet fra kapittel 6 i Cryptography and Network Security. Advanced Encryption Standard er arvtakeren til DES, og algoritmen Rijndael gikk seirende ut av NISTs AES-konkurranse ved årtusenskiftet.
Dette er blokkjeder uegnet til
Bitcoin-feberen til tross: Den underliggende blokkjede-teknologien kan ikke lette all utveksling av produkter og data, slik noen synes å tro.
Kryptografi og nettverkssikkerhet (Kapittel 4: Moderne teknikker)
Dagens tekst er hentet fra kapittel 4 i Cryptography and Network Security. Dette kapitlet skal se nærmere på moderne blokk-chiffre, som er av de mest brukte kryptografiske algoritmene for hemmelighold og autentisering. Som et konkret eksempel vil vi studere DES-algoritmen for å illustrere designprinsipper for blokkchiffer.
Kryptografi og nettverkssikkerhet (Kapittel 5: Endelige kropper)
Kryptografi og nettverkssikkerhet (Kapittel 2: Tallteori)
Dagens tekst er hentet fra kapittel 2 i Cryptography and Network Security.
Ber på forhånd om unnskylding til eventuelle matematikere som leser bloggen for misbruk av “norske” matematiske termer…
Høstens sikkerhets-“Helt-OK”-møte i Trondheim nærmer seg!
Onsdag 12/9 braker det løs igjen med et nytt fellesmøte mellom ISF, Dataforeningen og ISACA – og nå er også CSA kommet med på arrangørsida.
Kryptografi og nettverkssikkerhet (Kapittel 1: Sikkerhetskonsepter)
Dagens tekst er hentet fra kapittel 1 i Cryptography and Network Security.
Kryptografiske algoritmer og protokoller kan deles inn i fire hovedområder:
- Symmetrisk kryptering
- Brukes for skjuling av store og små mengder data; meldinger, dokumenter, krypteringsnøkler og passord
- Asymmetrisk kryptering
- Brukes for å skjule små mengder data, som krypteringsnøkler og hasher som brukes i digitale signaturer
- Integritetsalgoritmer
- Brukes for å beskytte datablokker mot uautorisert endring
- Autentiseringsprotokoller
- Mekanismer som ved hjelp av kryptografiske algoritmer verifiserer identiteten til brukere og prosesser
Kryptografi og nettverkssikkerhet (Intro)
I høst skal jeg forelese faget “Sikkerhet og sårbarhet i nettverk” ved Universitetet i Stavanger. Kurset er basert på William Stallings’ velkjente bok (se illustrasjon), som jeg har brukt i tidligere kurs – men det var noen utgaver siden…
Som et ledd i mine egne forberedelser, skal jeg prøve å skrive noen korte sammendrag av hver forelesning her på bloggen – håper det kan være av interesse for noen.
Hvordan unngå at telefonen blir hacket i utlandet?
Hva kan man gjøre som privatperson for å best mulig sikre at sensitiv informasjon som tilhører arbeidsgiver ikke kommer på avveie, når man tar med seg jobbtelefonen på ferietur eller jobbtur til utlandet? Dette er for tiden et høyaktuelt tema, og NRK ringte meg for å få noen gode tips og råd.
Du kan lese hele artikkelen på NRK sine nettsider, men her følger en kort oppsummering av rådene:
Lukk opp din hjertedør – om sensitive opplysninger i lukkede facebook-grupper
I vår viste NRK hvor lett det var å kartlegge livet til en enkeltperson gjennom å samle opplysninger fra åpne kilder på Internett. Vi var ikke overrasket over resultatet, som det også sto i saken på nrk.no, da man som enkeltperson lett mister oversikten over totalbildet når man deler litt her og litt der over tid. Og åpne kilder er naturlig nok tilgjengelig for hvem som helst. Men hva med nettsider og tjenester som ikke er åpne? Som krever medlemskap og dermed innlogging, og derfor ikke er åpent tilgjengelig for alle? Er det tryggere å dele mye informasjon i slike lukkede fora? Er det risikofritt? Eller kan det også gi uheldige konsekvenser for den enkelte, som det kan være enda vanskeligere å forholde seg til?
Sikkerhet er mulig!
Det er bra at den jevne nordmann blir mer sikkerhetsbevisst, men samtidig merker vi at paranoiaen kommer snikende, representert ved et tilfeldig utvalg brannfakler:
Hendelseshåndtering, kryptografi, og tilfellet WPA3 vs. TLS
Hendelseshåndtering er et begrep som vanligvis 
brukes ved datainnbrudd, men i en mer generell betydning omfatter det håndterings- og oppfølgingsrespons for enhver sikkerhetshendelse, inkludert håndtering av nyoppdagede sårbarheter i kritiske systemer. Hvordan ser hendelseshåndtering ut i tilfelle angrep på underliggende kryptografiske protokoller som brukes i verdensomspennende nettverk? Og enda viktigere, hvordan bør det se ut?
Trusselmodellering
Hva er trusselmodellering? Hva mener vi med angrepsflate? Hvor kommer tillit inn i bildet? Og hva har et bilde fra en utenlandsk fotgjengerovergang med saken å gjøre? Fortvil ei, svarene følger!
Kompleksitet vs. Sikkerhet
På Cycon 2018 holdt Thomas Dullien en presentasjon om den stadig voksende kompleksiteten av datamaskiner i forbindelse med sikkerhet. Han hevdet at enhetsprodusenter har vesentlig endret den typiske produktutviklingssyklusen med sikte
på å redusere <<time-to-market>>. Dette betyr at maskinvare- og programvareutvikling skjer nesten samtidig, mens integrering og testing starter tidligere og tidligere i prosessen. Det betyr også at hvordan vi løser tekniske utfordringer har endret seg dramatisk.
OWASP top 10 – bryr oppstartsbedrifter seg?
Denne uken har jeg vært i Glasgow på konferansen Cyber Security 2018, hvor Halldis Søhoel har presentert sin masteroppgave
OWASP top ten – What is the state of practice among start-ups?
Spennende foredrag på årets Sikkerhet & Sårbarhet
Sikkerhet & Sårbarhet finner sted i Trondheim 8. og 9. mai og SINTEF stiller med to veldig spennende foredrag!
OBS! Om du skal delta, meld deg på innen 25. april her, før prisen går opp!
Kvantedatamaskiner vs. dagens kryptering: en katastrofe?
Sintef ble intervjuet i en Digi-artikkel (bak betalingsmur) om
kryptografi vs. kvante datamaskiner, som også er omtalt i dagens nyhetsbrev fra NSM. Dette er en oppfølging på en tidligere Digi-artikkel som handlet om presentasjonen av NSM-forsker Ole Kasper Olsen på NSMs Sikkerhetskonferanse i april. I den artikkelen, siterte Digi Olsen på hvordan kvantedatamaskiner kunne bli en realitet innen 2030, og ville være en katastrofe for krypto. Sintef rettet noen misforståelser i artikkelen, noe som Olsen anerkjenner.
Innebygd personvern – vinneren er kåret og ny konkurranse er utlyst
Direktoratet for e-helse med deres Kjernejournal ble mandag kåret til vinner av konkurransen Innebygd personvern 2017. Vi gratulerer!
Datatilsynet utlyste samtidig neste års konkurranse – Innebygd personvern i praksis 2018. Nytt av året er en egen kategori for studenter, der premien er et stipend på 20.000 kr.
Innebygd personvern – premieutdeling og fagseminar
Er du nysgjerrig på hva innebygd personvern er og hvordan det kan brukes i praksis?
Mandag 5. mars kl 9 inviterer Datatilsynet til fagseminar om innebygd personvern på Nasjonalbiblioteket.