本文作者并非担忧AI奇点或机器起义,而是AI带来的反社会行为:协调的虚假信息、错误信息、非自愿色情以及产业取代造成的失业。作者认为,AI的风险不在于技术本身,而在于它如何改变激励结构,从而加剧现有社会问题。此外,作者还批判了AI公司对用户隐私的漠视,例如将加密信息用于AI分析,这可能导致用户数据被滥用。作者呼吁AI公司将AI功能设置为默认关闭,只有用户主动选择才能开启,以尊重用户意愿和隐私。
阅读更多
一篇关于川普政府意外将记者加入Signal军事行动群聊的文章引发热议。许多人错误地认为这是Signal安全性的问题,但作者指出,端到端加密(E2EE)保护的是信息在传输过程中的安全性,而非用户操作失误。E2EE无法防止将未授权人员添加到群聊中,也无法替代政府用于机密通信的专用安全系统。文章解释了E2EE的机制、优缺点以及其在不同场景下的适用性,并批判了对E2EE的误解和对替代技术的宣传。最终,作者认为此事件并非Signal的失败,而是政府使用未经授权工具的结果,并预测相关人员不会为此承担责任。
阅读更多
本文探讨了著名的Collatz猜想,以及它与密码学中ARX算法(例如ChaCha)的关联。Collatz猜想描述了一个简单的迭代函数,其最终结果是否总是收敛到1,至今仍未得到证明。文章将Collatz函数与图灵机进行类比,并指出其基于位运算的实现中,加法运算的进位传播特性导致了其难以预测的复杂性,这与ARX算法中利用加法、旋转和异或运算实现高效扩散的原理形成了有趣的对比。文章暗示,Collatz猜想的未解之谜可能与计算的固有复杂性有关,如同停机问题一样难以解决。
阅读更多
一名安全研究员在开源电信软件FreeSWITCH中发现了一个缓冲区溢出漏洞,该漏洞可能导致远程代码执行。尽管SignalWire公司(FreeSWITCH的开发商)已修复该漏洞,但他们表示不会在夏季之前发布包含该修复程序的新版本,这使得数千个可能易受攻击的系统面临风险。这突显了开源电信软件安全管理的不足,以及在缺乏经济激励的情况下,安全问题往往被忽视的现状。
阅读更多
本文作者,一位应用密码学专家,对流行的加密通讯应用 Signal 的密码学安全性进行了深入分析。文章详细介绍了密码学审计的过程和局限性,并指出一些公司虚报审计结果以误导用户的现象。作者以 Signal 为例,对其实现的加密机制进行了周末式的快速审计,并对未来审计的重点和方向进行了展望,旨在帮助用户更好地理解和评估加密应用的安全性,而非简单依赖于营销宣传。
阅读更多
开发者常常错误地认为使用底层加密库就避免了“自己造轮子”的风险。本文作者指出,许多开发者对加密算法的理解存在误区,即使使用了现成库,如果在协议设计或密钥管理等方面出现错误,也可能造成严重的安全漏洞。作者列举了多个真实案例,并强调了完善的密钥管理机制的重要性,以及开发人员对加密算法的深刻理解和专业审查的必要性。
阅读更多
安全工程师Soatok发表博文,对Session聊天应用的密码学设计提出质疑。文章指出Session使用128位种子生成Ed25519密钥,存在被批量碰撞攻击的风险,并提供了相应的PoC代码。此外,文章还批评了Session在签名验证过程中存在设计缺陷,以及移除前向保密机制的决定。Soatok认为Session的密码学设计存在严重的安全隐患,不建议用户使用。
阅读更多
本文探讨了Fedi-E2EE公钥目录规范如何在提供密钥透明度和去中心化PKI的同时,不与GDPR的“被遗忘权”冲突。作者认为,密钥透明度和被遗忘权看似矛盾,但可以通过“加密粉碎”技术进行调和。加密粉碎指存储加密数据,并在收到删除请求时删除密钥而非数据本身。文章详细阐述了加密粉碎的法律依据和技术可行性,并提出了一种基于Argon2id密码KDF的明文承诺方案,以防止公钥目录服务器在解密明文时作弊。该方案利用最近的Merkle树根来增加KDF盐值的多样性,并截断结果以使盐值碰撞更有可能发生,从而提高安全性。
阅读更多