https://paritytech.io/blog/security-alert.html >Affected users: Users with assets in a multi-sig wallet created in Parity Wallet that was deployed after 20th July.>Following the fix for the original multi-sig issue that had been exploited on 19th of July (function visibility), a new version of the Parity Wallet library contract was deployed on 20th of July. However that code still contained another issue - it was possible to turn the Parity Wallet library contract into a regular multi-sig wallet and become an owner of it by calling the initWallet function. It would seem that issue was triggered accidentally 6th Nov 2017 02:33:47 PM +UTC and subsequently a user suicided the library-turned-into-wallet, wiping out the library code which in turn rendered all multi-sig contracts unusable since their logic (any state-modifying function) was inside the library.>This means that currently no funds can be moved out of the multi-sig wallets.
the matasano crypto [http://cryptopals.com/](challenges)
Гоъ проходить.
Предлагаю в этом треде обсудить textsecure.
Требования - бесплатный, опенсорсный мобильный месенджер с пушами, офлайновой доставкой, групчатами, который разрабатывают специалисты в области ИБ (а не всякие олимпиадники с NIH головного мозга).
Собственно, больше мобильных месенджеров, подпадающих под эти требования я не нашел (поясните за chatsecure, кстати).
Протокол, похож на OTR, но есть отличия:
* Не используется отдельный шаг для advertising-а ключей.
* Предусматривает потерю и доставку out-of-order сообщений. Для этого используется специальный ratcheting, позволяющий расшифровать любое сообщение при обрыве message chaining, но с сохранением PFS
* Есть нормальные (не mpOTR) групчаты, где сообщение шлется каждому из N собеседников. Есть некоторые оптимизации, чтобы сократить на больших сообщениях, содержащие картинки/аудио etc. В этом случае сообщение шифруется симметричным эфемерных ключом, этот ключ шифруется публичным ключом собеседника и на сервер шлется один шифротекст сообщения и N шифрованых симметриынй ключей на каждого адресата.
Для пушей используются гугловые и эпловские пушсервисы. Сообщения там не передаются, они юзаются строго для вейкапа трубки, которая полезет на сервер за сообщениями.
Недостатки:
* (пока) нет децентрализованности серверов (хотя сорцы сервера открыты);
* малофичатстый клиент по iOS;
* нет клиента под PC (хотя что-то для браузеров);
* используются номера телефонов для авторизации (обещают туда прикрутить имейлы). Параноики могут создать номер через google voice и авторизоваться голосом;
* невозможно объединить несколько девайсов в один identity;
* нельзя выбрать фоновую картинку для чата.
Нужно заметить, что недостатки не вызваны какими-то недостатками в протоколе (здесь уместно вспомнить tox), а скорее ограниченностью в ресурсах.
Repost, share, renbnweet.
What if your names arent Alica and Bob. Does this still work?
Отсос I2P.
Скачиваем I2P-софт, в котором прописан начальный список сидов (в дистре зашит список 10k нод, из которых если хотя бы 1 будет живая к тому моменту, как мы установим I2P, то хорошо). Впрочем, это типичный способ начального сидирования для подобных P2P-сетей. Если атакующий — ISP, и он будет блокировать соединения ко всем нодам, кроме тех, что ему подконтрльны, то клиент будет соединяться только с подконтрольными нодами, в свою очередь, получая от них списки других подконтрольных нод, и работать только через них.
Затем, для нарушения работы сети достаточно создать десяток нод, которые бы вбрасывали ложные сиды, т.е. просто левые IP-адреса на которых нод вообще нет (альтернатива — зафлудить сеть виртуальными нодами из одного своего диапазона IP, хотя не знаю, есть ли в I2P сейчас от этого защита). Наконец, можно легко ввести много подконтрольных нод в I2P с помощью ботнета, и это не заметят (в отличие от Tor), поскольку общей всем доступной статистики нет.