苹果即将支持与安卓互发加密 RCS 短信
得益于最新更新的 RCS 规范,iPhone和安卓用户很快将能互相发送端到端加密(E2EE)的 RCS 短信。GSMA 宣布,最新 RCS 标准采用基于消息层安全(MLS)协议的 E2EE,首次实现了不同平台之间的互通加密。GSMA 称从去年九月起,便开始推动iPhone和安卓之间的信息传输支持 E2EE。E2EE 作为一项隐私和安全功能,可防止第三方查看用户的短信内容。新的 RCS 标准是与包括苹果在内的移动运营商、设备制造商和技术提供商合作开发的。虽然苹果专有的iMessage系统已经支持 E2EE,但这并没有扩展到 RCS 短信,因为之前的 RCS 标准不提供跨平台支持。
—— TheVerge
英国政府要求苹果提供加密账户访问权限
知情人士透露,英国安全官员已要求苹果公司设立后门,以允许他们检索全球任何苹果用户上传到云端的所有内容。英国政府上个月发布的一项未公开命令要求全面具备查看完全加密材料的能力,而不仅仅是协助破解特定账户,这在主要民主国家尚无先例。知情人士表示,苹果公司可能会选择在英国停止提供加密存储服务,而非违背其对全球用户的安全承诺。知情人士称,英国内政部已向苹果公司发出一份名为 “技术能力通知” 的文件,命令其根据英国2016年调查权力法案提供访问权限,该法案授权执法部门在需要收集证据时强制要求公司提供协助。
——华盛顿邮报
美国开始转向无后门的全面端到端加密政策
在与中国有关的“盐台风”黑客事件发生后,美国立法者和隐私权倡导者都将其称为美国历史上最严重的电信入侵事件,美国政府机构因此已经改变了加密政策。本周,美国网络安全和基础设施安全局(CISA)发布了关于如何阻止中国政府间谍活动进入移动设备的正式指南,并“强烈敦促”政客和高级政府官员(这些是“可能掌握这些威胁行为者感兴趣的信息”的“高度针对性”的个人)放弃常规电话和消息应用程序,而只使用端到端加密通信,这是联邦政府的一次重大转变。
1994 年通过的《通信协助执法法案》(CALEA)要求电信提供商设计其系统以遵守执法部门的数据获取要求,但仅用于打击犯罪和预防恐怖主义的目的。2006 年,美国联邦通信委员会扩大了这项后门授权,以涵盖互联网公司。美国参议院新提出的《安全美国通信法案》要求美国网络运营商实施网络安全标准,并确保其系统不会受到国家攻击者的攻击,改革 CALEA,消除这些可能被他人发现和滥用的后门。
—— The Register
美国正式发布三种后量子加密标准
美国国家标准技术局(NIST)正式发布三种后量子加密标准:基于 CRYSTALS-Kyber 的 ML-KEM 用于通用加密,ML-DSA 和 SLH-DSA 用于数字签名,第四种 FN-DSA 预计将在今年晚些时候完成,也将用于数字签名。
四种后量子加密算法中 ML-KEM、ML-DSA 都是基于格(lattice)的算法,寻找格上的最短向量被认为是计算机领域最困难的问题之一,至今没有经典或量子算法能在多项式时间内解决该问题。NIST 还在评估两种使用不同数学方法的加密算法,万一基于格的算法被发现容易被量子计算机破解,候选算法可作为替代。
大多数专家认为,大规模量子计算机至少还要十年才会被制造出来。那么 NIST 为什么现在担心这个问题呢?主要有两个原因。
首先,许多使用 RSA 安全性的设备(如汽车和一些物联网设备)预计至少会使用十年。因此,在投入使用之前,它们需要配备量子安全加密技术。
其次,心怀不轨的人可能会立即下载并存储加密数据,并在足够大的量子计算机上线后对其进行解密。这一概念被称为“先收集,后解密”,从本质上讲,它现在对敏感数据构成了威胁,即使这些数据只能在未来被破解。
—— 电气电子工程师学会 , Solidot
俄罗斯和委内瑞拉封锁加密通讯应用 Signal
俄罗斯和委内瑞拉两个国家都封锁了加密通讯应用 Signal 的访问。俄罗斯封杀该应用的原因是“违反了俄罗斯法律的要求,而遵守这些要求对于防止该应用被用于恐怖主义和极端主义目的是必要的”。委内瑞拉对 Signal 的封锁发生在7月底该国有争议的总统选举结果的长期阴影之下。Signal 表示:“我们了解到有报道称,一些国家/地区已封锁 Signal 的访问。” 如果您受到封锁的影响,该公司建议您启用 Signal 内置的审查规避功能。
—— 美联社、国际文传电讯社、Engadget
Zoom宣布支持后量子端到端加密
Zoom Video Communications 公司近日宣布,后量子端到端加密 (E2EE) 现已面向全球推出适用于 Zoom Workplace。目前,Zoom 已将该功能加入 Zoom Meetings,稍后将扩展至 Zoom Phone 和 Zoom Rooms。新安全增强功能的推出使 Zoom 成为首家为视频会议提供后量子 E2EE 解决方案的统一通信即服务 (UCaaS) 公司。
—— Zoom
WhatsApp 告诉德里高等法院 如果被要求破解加密将退出印度
WhatsApp 4月25日告诉德里高等法院,如果被要求破解信息加密,这个受欢迎的消息平台将退出印度。WhatsApp 的律师卡里亚对法官表示:“作为一个平台,我们要说的是,如果我们被要求破解加密,那么 WhatsApp 将会关闭。”卡里亚补充说,人们使用该消息平台是因为它能保证隐私,而且消息是端到端加密的。德里高等法院正在听取 WhatsApp 及其母公司 Meta 对2021年《信息技术(中介指南和数字媒体道德规范)规则》提出质疑的请愿书,该规则要求社交媒体中介机构必须确保消息应用能够追踪聊天记录,并在法院的命令下采取措施来确定信息的最初发布者。该消息平台称,这破坏了内容加密以及用户的隐私。还违反了印度宪法所保障的用户基本权利。代表政府的律师辛格辩称,指导方针的目的是为了追踪信息的发布者。必须有某种机制来追踪消息,因为这是当前的需要。经过简短的辩论后,高等法院要求达成平衡,并于8月14日对该案进行进一步聆讯。
—— 印度经济时报
CloudFlare 目前已禁用 Encrypted Client Hello (ECH) ,预计年底重新启用
10 月 11 日 CloudFlare 在社区发布通知告知用户,Early Hints 和 Encrypted Client Hello (ECH) 目前已在全球范围内禁用。
对于禁用 CloudFlare 表示遗憾,但不得不在全球范围内禁用这两项功能,因为要解决其中的一些问题。这些问题并不相关。CloudFlare 还正在为仪表板中的每个切换按钮添加一个标签,以提示它们已被禁用。
CloudFlare 预计将在未来几周内重新启用 Early Hints,并在今年晚些时候免费重新启用 ECH,并于 2024 年初向测试版推出。
—— CloudFlare
Encrypted Client Hello – 隐私的最后一块拼图
今天,我们很高兴宣布为改善互联网上每个人的隐私做出了贡献。Encrypted Client Hello(ECH)是一个新的提议标准,可以防止网络窥探用户正在访问哪些网站,现在已经在所有 Cloudflare 计划中提供。
Encrypted Client Hello(ECH)是 ESNI 的继任者,它遮盖了用于协商 TLS 握手的服务器名称指示(SNI)。这意味着每当用户访问启用了 ECH 的 Cloudflare 上的网站时,除了用户、Cloudflare 和网站所有者之外,没有人能够确定访问了哪个网站。Cloudflare 是每个人隐私的大力支持者,并对将这项技术付诸实践感到兴奋。
Chrome 和 Firefox 等浏览器已经开始增加对 ECH 的支持。如果你有一个网站,并且关心用户以不允许任何中间人看到用户在做什么的方式访问你的网站,请立即在 Cloudflare 上启用 ECH。
我们已经为所有 Free zones 启用了 ECH。如果你是现有的付费客户,只需前往 Cloudflare 仪表板申请此功能。我们将在未来几周内为所有注册的用户启用此功能。
随着时间的推移,我们希望其他人会效仿我们,从而实现每个人更加私密的互联网。提供 ECH 的供应商越多,就越难以监听用户在互联网上的活动。甚至,我们可能会永久解决隐私问题。
—— Cloudflare博客 (摘抄部分)
OpenSSL 1.1.1 生命周期已经结束
OpenSSL 1.1.1 已达到其生命周期 (EOL)。因此,它将不再收到公开的安全修复程序。
OpenSSL 是一个广受使用的开源套件,应用程序可以使用这个套件来进行安全通信。其 1.1.1 版本最初发布于 2018 年 9 月,由于官方对每一个长期支持版本提供 5 年的更新与维护,因此 OpenSSL 1.1.1 的支持将在 2023 年 9 月正式结束。
官方建议用户升级到最新版本的 OpenSSL。目前最新版本的 OpenSSL 3.1 在 2025 年 3 月 14 日前将得到官方支持,而长期版本 OpenSSL 3.0 的生命周期可达 2026 年 9 月 7 日。
—— OpenSSL