По адресу http://hold-my-beer.xyz/ (да, он несколько странный, но правильный)  я разместил веб-интерфейс экспериментального сервиса, который пытается определить, поддерживает ли ваш DNS-резолвер валидацию DNSSEC. Довольно давно я уже сделал сервис, проверяющий поддержку DNSSEC при помощи браузера. Отличие нового эксперимента в том, что здесь проверка происходит также и на серверной стороне, а в браузер передаются адреса [&]

https://dxdt.ru/2019/03/15/8738/

Открытый сервис DNS-резолвинга 1.1.1.1 от Cloudflare, оказывается, реализует QNAME Minimization  это метод, снижающий утечку через DNS информации о посещаемых узлах, я описывал его несколько лет назад. Интересно, что у 1.1.1.1 сейчас реализованы все инструменты защиты DNS: DNS-over-TLS, валидация DNSSEC (более строгая, чем у Google Public DNS), QNAME Minimization. В случае с последней технологией, использование [&]

https://dxdt.ru/2019/03/04/8735/

Реализовал шифр Кузнечик на ассемблере, входящем в комплект компилятора языка Go. Ассемблерный вариант довольно простой и работает в 128-битных регистрах архитектуры amd64, это даёт большой прирост производительности. Кузнечик из ГОСТ Р 34.12-2015  это современный российский блочный симметричный шифр. Несколько лет назад я реализовал его на языке Go. Вариант на языке высокого уровня  не [&]

https://dxdt.ru/2019/02/18/8702/

Про технологию ESNI (и SNI) я не так давно написал несколько записок. Сейчас ESNI находится в процессе внедрения, интересно взглянуть на эффект, который данная технология будет иметь для систем инспекции трафика и блокирования доступа. Современные системы используют SNI (а также, в продвинутых вариантах, TLS-сертификаты) для обнаружения имён узлов, с которыми пытается установить соединение пользователь. ESNI [&]

https://dxdt.ru/2019/02/13/8696/

На днях NIST опубликовал результаты первого этапа программы по стандартизации постквантовых криптосистем (распределения ключей и электронной подписи), во второй раунд прошло 26 предложений из 82 поступивших на рассмотрение в самом начале (к первому этапу из них было допущено 69). Это повод очередной раз вспомнить о том, что постквантовые криптосистемы сейчас составляют одно из основных направлений [&]

https://dxdt.ru/2019/02/04/8687/

Нередко приходится встречать картинки под собирательным названием как видит мир кошка. Каждая такая картинка подразумевает сравнение с тем, как видит мир человек. Казалось бы, огромный объём данных, пытающихся описывать природу визуального восприятия мира человеком, в том числе, данных популярных, типа различных иллюзий, должен сразу поставить любую подобную картинку под сомнение. Человеческое зрительное восприятие связано прежде [&]

https://dxdt.ru/2019/02/01/8679/

Внёс некоторые дополнения на сервер tls13.1d.pw. Во-первых, появилась поддержка пересогласования (renegotiation) параметров соединения. В TLS 1.3 есть отдельный механизм, который позволяет серверу запросить у клиента другие параметры протокола Диффи-Хеллмана, конечно, при условии, что клиент их поддерживает. Для этого сервер, в самом начале процесса установления соединения, отправляет сообщение HelloRetryRequest. (Технические подробности есть в описании TLS.) Я [&]

https://dxdt.ru/2019/01/26/8672/

Традиционная новогодняя записка на dxdt.ru. В этот раз  подборка из нескольких избранных записок, опубликованных в 2018 году. Записок теперь стало немного, но, надеюсь, среди них попадаются интересные. Подмена DNS-трафика в сетях LTE Формула для групп из TLS Фрукты и эллиптические кривые Domain Fronting, AWS и блокировки с обходом “Ключи на клиенте” и протокол Диффи-Хеллмана [&]

https://dxdt.ru/2018/12/31/8660/

При установлении TLS-соединения имя узла передаётся в открытом виде, внутри поля (или расширения) SNI  Server Name Indication. На стороне сервера имя узла требуется для того, чтобы выбрать правильный набор сертификатов и серверных ключей, в случае, если на одной IP-адресе отвечает несколько TLS-узлов. С появлением новой версии TLS 1.3, в которой зашифрована существенная часть сообщений, [&]

https://dxdt.ru/2018/12/28/8645/

По адресу 62.76.62.76 доступен рекурсивный резолвер DNS от MSK-IX. Резолвер поддерживает DNS-over-TLS: достаточно новую технологию, которая позволяет защитить данные запроса и ответа DNS от утечки (аналогично 1.1.1.1 от Cloudflare, например). Рекурсивный резолвер  это основной элемент сервиса доменных имён: именно рекурсивные резолверы обеспечивает извлечение записей из глобальной базы данных DNS (часто забывают, что правильное определение [&]

https://dxdt.ru/2018/11/28/8635/

Есть совсем маленькие беспилотники, точнее, дроны. Например, Black Hornet PRS от FLIR, имеет длину всего около 16 сантиметров (согласно описанию). Этот дрон предназначен для разведки на местности  он передаёт оператору видео (в том числе, есть ИК-камера) и фотографии, заявленная дальность связи  до двух километров. Как можно обнаруживать такие микроскопические аппараты? Понятно, что он [&]

https://dxdt.ru/2018/11/09/8630/

Выпустил очередное обновление технического описания TLS, которое я поддерживаю. Основное дополнение  это описание новой версии TLS 1.3, которое я добавил в формате специального раздела. В прошлом выпуске TLS 1.3 было посвящено приложение, однако, во-первых, рассматривалась довольно старая draft-версия, а сейчас уже есть RFC; во-вторых, описание было недостаточно подробным  теперь я добавил разборы дампов [&]

https://dxdt.ru/2018/10/26/8626/

Анонимизация больших объёмов данных, которые собирались для конкретных персон, представляет большую проблему. Особенно, если данные достаточно подробные, уникальные и их много. В недавно опубликованной работе исследователи показывают, что публично доступные анонимизированные базы расшифровок человеческой ДНК, собранные различными проектами, не только оказываются пригодными для эффективной деанонимизации, но ещё и позволяют идентифицировать людей, которые образцов ДНК ни [&]

https://dxdt.ru/2018/10/15/8623/

Новая версия TLS 1.3 получила RFC, а именно  RFC 8446 (обратите внимание: TLS 1.0  RFC 2246, TLS 1.1  RFC 4346, 1.2  RFC 5246). Я уже довольно подробно описывал этот новый протокол, который радикально отличается от всех предыдущих версий TLS/SSL. Вот ссылка на подробную статью про TLS 1.3. В блоге Cloudflare  [&]

https://dxdt.ru/2018/08/11/8610/

TLS 1.3  это новая версия протокола, вот-вот должен появиться RFC (пока что актуален черновик  draft-28). По адресу https://tls13.1d.pw/ я разместил тестовый сервер, который позволяет попробовать TLS 1.3 на практике, при помощи браузера. Поддержка протокола пока есть далеко не везде. Для сервера я полностью написал стек TLS версии 1.3 на Go, то есть, реализовал [&]

https://dxdt.ru/2018/08/05/8597/

SNI  это Server Name Indication, поле, которое передаёт клиент на начальном этапе установления TLS-соединения. В данном поле указано имя сервера (на уровне приложений), с которым клиент планирует установить соединение. Например, при обращении к dxdt.ru по HTTPS, ваш браузер указывает в SNI строку dxdt.ru. Указание SNI нужно для того, чтобы на стороне сервера по имени [&]

https://dxdt.ru/2018/07/05/8589/

Опубликована работа, описывающая успешную подмену данных в пакетах DNS, доставляемых через сеть мобильной связи стандарта LTE. DNS посвящена только часть работы, но это самая содержательная часть. Авторы также рассматривают методику построения отпечатков веб-трафика, которую можно применить для определения посещаемых веб-сайтов, и методы частичной идентификации устройств в сети. При этом, применительно к веб-трафику, конфигурация, необходимая для [&]

https://dxdt.ru/2018/07/01/8577/

https://dxdt.ru/2018/06/29/8572/

На dxdt.ru есть страница с избранными записками. Добавил туда вот эти пять: “Ключи на клиенте” и протокол Диффи-Хеллмана Скрытое управление пограничными маршрутизаторами Обнаружение и извлечение документов с пользовательского компьютера Антивирусы и “подмена” сертификатов в браузерах Сложности стеганографии

https://dxdt.ru/2018/06/07/8567/

Многие слышали про криптографию на эллиптических кривых. Но эллиптические кривые, которые давно являются мощным инструментом теории чисел, можно успешно применить к решению элементарной (по формулировке) арифметической задачки про бананы, яблоки и ананасы. Текст ниже  несколько сокращённая версия моего перевода ответа Quora.com, который дал Alon Amit (англ.). В Сети нередко можно натолкнуться на различные задачи, [&]

https://dxdt.ru/2018/05/21/8520/