Changes:
ssh-agent support with the new libssh2_agent_* functions
Added libssh2_trace_sethandler()
Added the direct_tcpip.c and ssh2_agent.c examples

Bug fixes:
Fixed memory leak in userauth_publickey
Fixed publickey authentication regression
Silenced several compiler warnings
avoid returning data to memory already freed
transport layer fix for bogus -39 (LIBSSH2_ERROR_BAD_USE) errors
Fixed padding in ssh-dss signature blob encoding
Fixed direction blocking flag problems
Fixed memory leak in sftp_fstat()

Related posts:

1. Ny version av libssh2 Haxx-Daniel har postat på sin blogg att det finns en...
2. libssh2 1.2.2 släppt Igår släpptes version 1.2.2 av libssh2. De stora nyhterna i...
3. CUDA på Mac Jag har nyligen blivit med en ny laptop, en Apple...

Related posts brought to you by Yet Another Related Posts Plugin.

Enligt ett utredningsförslag som presenterades igår föreslås SITIC - Sveriges IT-incidentcentrum flyttas från Post och Telestyrelsen (PTS) till Myndigheten för samhällsskydd och beredskap (många förkortningar blir det).

Jag har inte läst förslaget i detalj. Men jag har fått uppfattningen att SITIC aldrig fått en bra roll, och att detta kan bero på PTSs roll i förhållande till marknadens aktörer så väl som andra myndigheter. Förhoppningsvis innebär en flytt till MSB att SITICs kompetens och erfarenhet kommer bättre till nytta.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

This paper presents new software speed records for encryption and decryption using the block cipher AES-128 for different architectures. Target platforms are 8-bit AVR microcontrollers, NVIDIA graphics processing units (GPUs) and the Cell broadband engine.

The new AVR implementation requires 124.6 and 181.3 cycles per byte for encryption and decryption with a code size of less than two kilobyte. Compared to the previous AVR records for encryption our code is 38 percent smaller and 1.24 times faster.

The byte-sliced implementation for the synergistic processing elements of the Cell architecture achieves speed of 11.7 and 14.4 cycles per byte for encryption and decryption.

Similarly, our fastest GPU implementation, running on the GTX 295 and handling many input streams in parallel, delivers throughputs of 0.17 and 0.19 cycles per byte for encryption and decryption respectively. Furthermore, this is the first AES implementation for the GPU which implements both encryption and decryption.

Artikeln ger bra information om optimeringar som gjorts för de olika arkitekturerna samt jämför med andra implementationer. Jag gillar även det faktum att man faktiskt nådde 59 Gbit/s(!) på en NVIDIA GTX 295, 1.24GHz.

Related posts:

1. Implementera Keccak och tävla om en Himitsu-Bako Teamet bakom SHA-3 kandidaten, hashfunktionen Keccak har utlyst en implementationstävling:...
2. Test av sphlib Jag testade i går kväll att kompilera upp sphlib, det...
3. Lite om diskkryptering för Mac Signaturen Kanske ställde en fråga om diskkryptering för Mac. Vad...

Related posts brought to you by Yet Another Related Posts Plugin.

We are looking for implementations of Keccak on exotic platforms!

We offer a prize for the most interesting implementation of Keccak on: – Graphic cards/GPU
– Embedded processors, (e.g. ARM, Cell processor…)
– any other analog/digital computing device

The price consists in a Himitsu-Bako (secret box, http://en.wikipedia.org/wiki/Himitsu-Bako).

Who wins the prize will be decided by consensus in the Keccak team. We will internally use a system of points. Some hints: – Fast implementation get more points – Uncommon devices get more points

We give freedom in the way Keccak is used. It is allowed to implement, for instance, tree hashing or batch hashing (several messages hashed in parallel), instead of plain sequential hashing, to take advantage of parallel computing and get better performance.

The results and source code must be publicly available on an URL that is sent to |keccak| /-at-/ |noekeon| /-dot-/ |org| before June 30, 2010 at 12:00 GMT+2. No specific licensing condition is requested (pick up the one you like!) We reserve the right to extend this deadline in the absence of interesting results. Otherwise, the winner will be announced during the Rump session of the second SHA-3 candidate conference in Santa Barbara.

Priset de pratar om är en sådan här:

En implementation i Erlang kanske vore något (LinusN, Alu)?

Related posts:

1. Nya prestandarekord för AES Sprang precis på artikeln Fast Implementations of AES on Various...
2. Svagheter i SHA-3-implementationer Fortify har postat på sin blogg om en undersökning av...
3. A5/3-attacken publicerad Den nya attack på kryptot A5/3 i 3G jag tidigare...

Related posts brought to you by Yet Another Related Posts Plugin.

Den undersökning artikeln beskriver har utförts av en bloggare och IT-expert som tydligen kallas Notrax. På Notrax blog InfoSecurityGuard finns de egentliga undersökningarna.

Att det finns behov av bra kryptolösningar som erbjuder konfidentialitet från mobiler är helt klart. Dels är de befintliga mekanismerna i såväl GSM som 3G (UMTS) starkt ifrågasatta. Dessutom skyddar dessa mekanismer bara radiolänken. Det finns ett flertal produkter på marknaden som alla (naturligtvis) säger sig erbjuda ett bra skydd. Men hur bra är dom egentligen?

Att döma av Notrax test av 15 olika program- och hårdvarubaserade produkter är dom inte speciellt bra. Han lyckades knäcka 12 av 15 produkter:

Svenska Sectras produkt Tiger XS är tyvärr inte med i undersökningen.

Går man sedan in på Notrax sidor finns det detaljerande beskrivningar av hur han ex knäckte CellCrypt och undersökte PhoneCrypt. Notrax har även gjort videoinspelningar av sina undersökningar och lagt upp på Youtube, här den om CellCrypt:

Sammantaget väldigt intressant och spännande information. Men nu visar det sig (ser det ut som) att Notrax arbetar för företaget SecurStar GmbH som levererar PhoneCrypt, en av de säkerhetsprodukter Notrax inte lyckas knäcka och ger bra betyg! Jösses.

Vem skall man lita på? Antagligen inte de produkter Notrax lyckades knäcka (fast det vore bra om någon mer gjorde om testerna och kom fram till samma sak). Klart är iaf att produkterna behövs – och att dom testas.

Related posts:

1. Test av sphlib Jag testade i går kväll att kompilera upp sphlib, det...

Related posts brought to you by Yet Another Related Posts Plugin.

Har du någonsin hört talas om “elliptic curve cryptography”? Kanske har du läst om en ny forskning inom behaviometri? Vill du veta mer om hur den svenska DNS-kärninfrastrukturen fungerar? Låter det intressant?

Kom då till C-305 fredagen den 19 februari. Alla är hjärtligt välkomna!

För den som vågar kan man utmana sig själv i spännande säkerhetstävlingar.


Evenemanget är självklart gratis.

Hade jag bott i Lule hade jag inte tvekat att ta en tur till konferensen, även om den anordnas på Geos domäner.

Related posts:

1. Första SHA-3-konferensen genomförd I dag är sista dagen på SHA-3-konferensen som NIST anordnar....

Related posts brought to you by Yet Another Related Posts Plugin.

Datainspektionen har startat en ny webbplats som fått viss uppmärksamhet: kränkt.se.

När jag först kollade på sidan blev jag riktigt irriterad, inte minst på de svepande beskrivningarna av vad en kränkning är:

Har du blivit oschysst behandlad på nätet? Är det någon som har skrivit något nedsättande om dig på ett forum eller kanske lagt upp en bild på dig som du inte vill att andra ska se? Eller är du förälder till ett barn som råkat ut för något liknande?

Den här webbplatsen är till för dig som känner att du blivit oschysst behandlad på Internet. Här får du råd om vad du kan göra för att lösa problemet.

Men jössessnällenån, om någon är lite oschysst och taskig, är det då en kränkning? Varför börjar jag direkt tänka på vad Johan Hakelius, David Eberhard och Ann Heberlein har skrivit? Borde ex inte Tomas Ros anse att han blivit kränkt av Robert Laul som kallat honom lipsill! (Lite roligt att muskelbiffen Laul använder tillmälet lipsill – något man tog till på lågstadiet när man var arg och ville vara elak.)

Lipsillmannen Robert Laul

Börjar man sedan titta lite mer på webbplatsen tycker jag dock att det finns en hel del bra och tänkvärt. För den som anser sig kränkt finns bra instruktioner på hur du kan försöka agera för att få bort det du tycker kränker dig.

En kanske viktigare sida är dock den om hur du undviker att kränka andra. I grund och botten handlar det om etik – med hänvisning till pressetiska regler (har Robert Laul läst dom?). Skriver man på nätet kan det iaf vara bra att läsa igenom och fundera på den typen av regler – även om de juridiskt inte gäller. Bara för att man kan skriva vad som helst behöver man inte göra det. En regel jag lärt mig är: Känns det fel i magen så är det ingen bra idé.

Och bara för att vara tydlig: Integritetskränkningar är ett reellt problem (ex Sydsvenskans oturliga uthängning av en oskyldig person), inget jag skrattar åt och allvarligt. Men allmän dumhet, klumpighet och missförstånd kommer alltid att finnas och text ofta ett trubbigt verktyg. Vidare kan sociala tjänster som Facebook där vänskap är binär (antingen är man vän eller inte) kan relationer bli övertydliga och skapa konflikter. Att inte få vara kompis med någon på nätet kanske dumt, men inte ett skäl att vara kränkt.

Sedan är det inte alltid lätt att veta vad andra kan uppfatta som kränkande – det verkar nästan finnas en person som tar illa vid sig oavsett vad någon gör eller skrivert. Att jag ex postar om attacker på kryptot kan tydligen vara provocerande och kränkande. Då är det kanske tur att kränkt.se finns.

BTW: Om ni känner er kränkta av något jag skriver på bloggen, skriv en kommentar eller kontakta mig direkt.

Related posts:

1. Är det inte dags för IT-sec-krav för finansiella aktörer? I morse besökte jag webbplatsen för Nordstaden, en försäkringsmäklare godkänd...

Related posts brought to you by Yet Another Related Posts Plugin.

Sam med sin älskade iPhone

Texten är en spännande och tankeväckande berättelse som visar hur lätt det är att med Internettjänster går att spåra och få tag på information. Bland annat stängde Sam av mobilen och skickade meddelanden till tjyven.

Related posts:

1. OTP-generator för iPhone Tydligen finns det nu en generator av engångskoder (One Time...

Related posts brought to you by Yet Another Related Posts Plugin.

Kryptomobilen Tiger XS.

De nya beställningarna är från två europeiska försvarmakter. Enligt Sectra Företaget används Tiger i mer än hälften av EU:s medlemsländer.

Related posts:

1. OWASP Swedens seminariekväll om de stora protokollen Enligt en postning på OWASP Swedens blogg kommer de att...
2. Test av mobilkrypton (och vem kan man lita på). Mobilemag har en artikel om ett test av krypton för...
3. sphlib ett nytt bibliotek med hashfunktioner Som en del av Projet RNRT SAPHIR (japp, det heter...

Related posts brought to you by Yet Another Related Posts Plugin.

Självsignerat certifikat, som dessutom har gått ut!

Försöker jag sedan logga in på deras kundinloggning hamnar jag raskt på en annan domän (netfield.se). Inte pratar den inte HTTPS heller, försöker man få till säker kommunikation sparkar servern bakut. Jösses.

Nordstaden är tyvärr inte det enda exemplet på en finansiell aktör som inte tar sina kunders säkerhet på allvar. Borde det inte vara dags att någon -började ställa krav på hur aktörerna säkrar upp sin elektroniska verksamhett – varför inte Finansinspektionen? Å andra sidan svarar inte Finansinspektionen på HTTP (iad inte just nu), men det är säkert dom och inte en bluffsajt…

Skall vi på allvar bygga ett elektroniskt samhälle på nätet med 24h-myndighet, e-handel, e-faktura, e-legitimation och finansiella transaktioner måste det bli lite ordning på torpet. 2010 känns som hög tid att få detta på plats.

Related posts:

1. kränkt.se – Irriterande (men egentligen bra) webbplats (Städat och lagt till en del saker till postningen sedan...

Related posts brought to you by Yet Another Related Posts Plugin.