▎Google ：发布新一代FIDO标准加密密钥

#安全#黑五▎Google：发布新一代FIDO标准加密密钥谷歌近期推出了新一代的加密密钥——TitanSecurityKey，旨在为用户的在线账户提供更强大的保护。TitanSecurityKey内置了谷歌专门开发的特殊固件，用以验证密钥的完整性。升级后的TitanSecurityKey基于FIDO®开放标准构建，支持NFC，因此可以与许多应用程序和服务兼容。此外，这款密钥还支持谷歌的最强安全方案——高级保护计划。▎售价和购买目前在日本、美国等地已经开始售卖，包邮到家。分为Type-C和USB-A两种，其中USB-A版本美区价格为30美金，Type-C为35美金。此外，USB-A版本材质为ABS塑料且赠送一个C口转换器，而Type-C版本材质为锌合金和聚碳酸酯，不附送转换器。日区价格更为实惠，USB-A版本价格为191元人民币，Type-C为210元人民币。▎购买地址https://store.google.com/config/titan_security_key频道@AppDoDo

美国联邦调查局查获 LockBit 密钥，敦促勒索软件受害者寻求帮助

美国联邦调查局查获LockBit密钥，敦促勒索软件受害者寻求帮助美国联邦调查局透露，已获得超过7,000个LockBit解密密钥，敦促过去遭受LockBit勒索攻击的受害者前来寻求帮助，他们可以利用这些密钥免费恢复被加密的数据。美国联邦调查局网络部门助理主任布莱恩·沃恩德兰于周三在2024年波士顿网络安全会议上宣布了该消息。执法部门在今年二月的国际行动中摧毁了LockBit的基础设施。当时警方查获了34台服务器，其中包含解密密钥。——

首次发现，用于保护SSH连接的加密密钥在一种新的攻击中被盗取

首次发现，用于保护SSH连接的加密密钥在一种新的攻击中被盗取新的研究称，在计算机到服务器SSH通信中，用于保护数据的密码密钥存在漏洞，可能被攻击者利用。研究人员发现，在建立连接时，由于自然发生的计算错误，约10亿个SSH签名中的每百万个签名会暴露主机的私钥。只要一个内存位翻转的小错误，就能暴露私人密钥。这个问题只影响使用RSA密码算法的密钥，并且令人惊讶的是，大多数SSH软件在发送签名之前已经部署了反制措施。然而，研究人员认为其他协议也应该采取类似的保护措施。他们建议审查和更新SSH实现的安全性，并推荐使用更现代和安全的密码算法。参考：来源：Viagoddaneel投稿：@ZaiHuaBot频道：@TestFlightCN

［安全: 加拿大警方想要法律强迫命令人们交出密码］

［安全:加拿大警方想要法律强迫命令人们交出密码］加拿大警方想要制定法律强迫命令人们交出密码。加拿大警长协会通过了一项决议，呼吁制定法律在法官同意下强迫人们交出计算机密码。律师对这一建议是否合乎宪法提出疑问，因为这本质上是强迫自证其罪。最近一段时间，北美的警察部门对公民使用Tor之类的匿名工具保护通信秘密表达了担忧，这一做法被认为加大了警方工作的难度。http://motherboard.vice.com/read/canadian-cops-want-a-law-that-forces-people-to-hand-over-encryption-passwords

研究人员发现英特尔和 AMD CPU 的一个新漏洞可取得加密密钥

研究人员发现英特尔和AMDCPU的一个新漏洞可取得加密密钥研究人员周二说，英特尔、AMD和其他公司的微处理器含有一个新发现的弱点，远程攻击者可以利用这个弱点获得加密密钥和其他通过硬件传输的秘密数据。硬件制造商早已知道，黑客可以通过测量芯片在处理这些数值时消耗的功率，从芯片中提取机密的密码学数据。幸运的是，利用电源分析攻击微处理器的手段是有限的，因为攻击者几乎没有可行的方法来远程测量处理秘密材料时的耗电量。现在，一个研究小组已经想出了如何将功率分析攻击转化为一种不同类型的侧信道攻击，这种攻击的要求相当低。该团队发现，动态电压和频率缩放（DVFS）--一种添加到每个现代CPU中的电源和热管理功能--允许攻击者通过监测服务器响应特定的仔细查询所需的时间来推断功耗的变化。该发现大大减少了所需的内容。在了解了DVFS功能的工作原理后，电源侧信道攻击就变得更加简单，可以远程进行计时攻击。研究人员将他们的攻击称为Hertzbleed，因为它利用对DVFS的洞察力来暴露或泄露预计将保持私密的数据。该漏洞被跟踪为Intel芯片的CVE-2022-24436和AMDCPU的CVE-2022-23823。——

【Solana社区成员提议创建可将Ed25519密钥对转换为Curve25519密钥对的加密标准】

【Solana社区成员提议创建可将Ed25519密钥对转换为Curve25519密钥对的加密标准】2023年04月10日09点25分4月10日消息，Solana社区成员Valentin发起一项提案，建议创建一个将Ed25519密钥对转换为为DiffieHellman密钥交换协议设计的Curve25519密钥对的标准，这将支持非对称加密，而不必生成单独的密钥来执行这种操作。Valentin解释称，随着Solana生态系统的发展，对于保护敏感数据(如帐户状态或IPFS和Arveawe等分布式文件系统上的文件)，对Solana密钥对加密标准的需求变得越来越重要。虽然Ed25519密钥对对签名消息有效，但它们不能用于非对称加密，而非对称加密对于用户隐私和数据保护至关重要。再次，提出这个建议是为了就如何派生Solana密钥对以兼容DiffieHellman密钥交换或其他类型的加密机制兼容达成一致。一旦就此主题达成一致，钱包就可以开始实施加密功能，作为钱包标准的一部分。Valentin还提到，作为从常规Solana密钥对派生Curve25519密钥对来执行加密的替代方案，JordanSexton建议可以从任何钱包（包括硬件钱包）的签名消息中派生密钥对来派生加密密钥。这种方法的一个问题可能是，一旦两个dApp请求使用相同种子的签名，密码就可能被破解。需要某种在每次加密时都必须不同的一次性随机数，这很难实现。