Posts

Showing posts from March, 2016

Một nghiên cứu thất bại

Người tìm lổ hổng phần mềm chuyên nghiệp như tôi ít ai nói về các nghiên cứu thất bại. Tôi cũng chưa từng nói, mặc dù thất bại nhiều lắm, không phải vì xấu hổ, chỉ vì lười, kể một câu chuyện dài mà rốt cuộc chẳng có kết cục đẹp thì kể làm gì. Nhưng vừa rồi tôi mới làm một nghiên cứu, thất bại ê chề, tốn tiền tốn của mà chẳng thu được gì, nên tôi muốn gỡ vốn bằng cách viết lại, để mai mốt bạn nào có làm biết đường mà tránh.

Không dông dài nữa, câu chuyện là thế này. Có người nhờ tôi coi đoạn chương trình Java này: https://github.com/square/okhttp/blob/master/okhttp/src/main/java/okhttp3/internal/tls/OkHostnameVerifier.java. Đoạn code này có nhiệm vụ rất quan trọng: kiểm tra tên miền của các certificate (chứng chỉ) SSL. Chứng chỉ SSL giống như passport, trên đó có tên miền của máy chủ, kèm theo chữ ký điện tử của một cơ quan có thẩm quyền, được gọi là Certificate Authority. Khi kết nối đến một máy chủ nào đó, để đảm bảo an toàn bạn phải kiểm tra xem tên miền trên chứng chỉ của máy chủ c…

Viet InfoSec Mailing List

Sau TetCon 2016, nhiều người đề nghị với tôi rằng nên có một mailing list để những ai tham dự TetCon có một nơi chia sẻ và trao đổi các vấn đề an toàn thông tin.

Tôi nghĩ đây là một ý hay và hôm nay đã tạo list Viet InfoSec. Viet InfoSec là một diễn đàn mở cho tất cả những ai quan tâm đến an toàn thông tin ở Việt Nam và trên thế giới. Tiếng Việt là ngôn ngữ chính của list, nhưng tiếng Anh cũng được chào đón.

Nhấn vào đây để tham gia: https://groups.google.com/forum/#!forum/viet-infosec.

--

After TetCon 2016, many people have suggested creating a list on which TetCon attendants can discuss and share information security news and whatever.

I think this is a pretty good idea, and decided to create this list. Viet Infosec is an open forum for anyone interested in information security, in Vietnam and around the world. Vietnamese is the primary language of the list, but English is also welcome.

Click here to join: https://groups.google.com/forum/#!forum/viet-infosec.

Asiacrypt 2016 lần đầu tiên được tổ chức ở Hà Nội

Thông tin chính thức: http://www.asiacrypt2016.com/.
Asiacrypt là một trong ba hội thảo chính của Hiệp Hội Nghiên Cứu Mật Mã Quốc Tế (International Association for Cryptologic Research). Nhờ sự vận động của anh Phan Dương Hiệu, anh Ngô Bảo Châu và những anh chị khác trong ban tổ chức, năm nay lần đầu tiên hội thảo sẽ được tổ chức ở Hà Nội, từ ngày 4 đến ngày 8 tháng 12 năm 2016.
Ngoài chương trình chính thức, một tuần trước hội thảo ban tổ chức (dự kiến) sẽ tổ chức các lớp học với chủ đề “Cryptography: Foundations and New Trends”. Tất cả các lớp học đều miễn phí. Ban tổ chức dự kiến, nếu kinh phí cho phép, tài trợ chi phí đi lại, ăn ở cho các sinh viên Việt Nam ở xa.
Theo nguồn tin riêng của tôi (tức là nghe anh Hiệu nói) nếu không có gì thay đổi vào giờ chót, djb, Koblitz, Phong Q Nguyen, v.v. sẽ dạy high-speed cryptography, post-quantum cryptography, elliptic curve cryptography, lattice-based cryptography, v.v. Không có gì sướng bằng được học mật mã từ chính những người sáng chế ra …

Diffie & Hellman win the Nobel prize of computer science, yay!

http://www.nytimes.com/2016/03/02/technology/cryptography-pioneers-to-win-turing-award.htmlSome fun facts:
- If you're living in the South SF Bay, DH was invented in a room near you.
- DH was invented before RSA, yet RSA won Turing Award more than a decade earlier.
- GCHQ, the NSA of UK, claimed that they had invented public key crypto two years earlier than DH, but Diffie didn't think so.
- While RSA is becoming obsolete, DH is and will be the backbone of Internet security for years to come. Whenever you connect to Google or Facebook, you're using DH.
- DH used a math trick that nobody knows how hard it really is. It must be very hard because nobody knows how to solve it in the last 40 years (modulo some discoveries that decrease its hardness).
- But the trick is surprisingly simple. Any sixth grader can understand how it works.
- Hellman was a Stanford professor, but Diffie was a software engineer that happened to love crypto. My chance of winning the award suddenly has …