thái

This week All time I guess I should blog in English more often.

Update: the author of scrypt said that he's added a warning on top of scryptenc.h. TL;DR: scrypt is a password-based key derivation function that is often used as a password hashing scheme. libscrypt is considered the official implementation of scrypt, but it's actually a file encryption API with the scrypt function never exposed directly. If one misuses libscrypt for password hashing they may end up with extremely weak hashes. Password-based key derivation functions (PBKDF) are algorithms that take a password and some non-secret data (e.g., salt), and output one or more secret keys that can be further used in other crypto constructions. These functions are generally made deliberately slow so as to frustrate brute-force attack or dictionary attack on the input password. scrypt is considered a state-of-the-art PBKDF, but its most common use is as a password hashing scheme, even though it wasn't originally designed for this purpose. The author of scrypt has never ...

Theo Google, một công ty của Mỹ, thì đương kim tổng thống Mỹ là một thằng nói láo, ngu dốt, theo đạo Hồi và cả cộng sản. Mà Google chỉ là dựa vào gợi ý của người dùng Internet thôi nhé: đây là những cụm từ xuất hiện nhiều nhất khi người ta muốn mô tả Obama. Không tin thì bạn thử tìm đi. Thấy chưa? Thấy dân Mỹ chửi Obama như chửi con chưa? Thế mà chẳng thấy ai bị bắt gì cả. Lăng mạ như thế này thì còn thể thống gì nữa. Tự do mà không có khuôn khổ thế này thì loạn mất. Thế mà nước Mỹ vẫn ổn, vẫn giàu mạnh. Một trăm năm mươi năm nay chuyển giao quyền lực không hề đổ một giọt máu, chỉ có tốn nước miếng thôi. Trong lúc đó... có một ông tên là Trương Duy Nhất viết blog nói về các "Obama của Việt Nam", chưa dám chửi như chửi con, cũng chẳng dám mắng như chủ mắng đầy tớ, chỉ mới nói nhẹ vài tiếng, nhưng cũng đã được tặng vài cuốn lịch xé chơi q...

tl;dr: list of values that if any of them is leaked one can recover the RSA private key: \(p\), \(q\), \(d \mod{(p-1)}\), \(d \mod{(q-1)}\), \(c^d \mod q\), and \(c^d \mod p\), where \(c\ = m^e\) and \(m\) is the premaster secret sent by the client. I plan to take a look at the challenge this weekend, but it seems that someone has solved it in just a few hours. Very nice work. Anyway here's how I think this challenge could be solved: 1. Exploit the fact that if you know any intermediate values in the Chinese Remainder algorithm, you can recover the private key. 2. Search for these intermediate values in the leaked memory. The private key will be used in two cases: a) To decrypt the proposed premaster secret from the client. b) To sign an ephemeral (EC)DH public key. In both cases you know the value \(c\) and \(m\) in the equation \(c^d =  m \pmod N\), where \(d\) is the private key, and \(N\) is the modulus. To make it faster \(c^d \pmod N\) is carried out using C...

Cập nhật: viết thêm một chút về thanh toán điện tử và cơn sốt Bitcoin ở Silicon Valley. Việt Nam là một trong 10 nước nhận kiều hối lớn nhất thế giới. Năm 2013 tổng số tiền mà người (gốc) Việt sống và làm việc ở nước ngoài gửi về Việt Nam trong năm 2013 là 11 tỉ USD và dự kiến năm 2014 sẽ tăng 20%. Vấn đề lớn nhất của kiều hối là phí cao . Phí thường được chia làm hai: một phần do các công ty chuyển tiền quốc tế như Money Gram thu, phần còn lại là do ngân hàng trong nước thu. Gửi 1.000 USD từ Mỹ về Việt Nam bằng  Money Gram  mất 16 USD, nhưng tiền về đến Việt Nam sẽ không bị thu phí gì nữa. Còn hình thức gửi qua chuyển khoản ngân hàng thì sẽ phải chịu hai khoản phí: phí của ngân hàng gửi ở nước ngoài và phí của ngân hàng nhận ở Việt Nam. Ví dụ như gửi 1.000 USD với Wells Fargo thì sẽ mất 11 USD và sau đó sẽ phải chịu thêm phí báo có và phí rút USD của ngân hàng trong nước. Lợi thế của Bitcoin là phí cực thấp . Nếu gửi bằng Bitcoin (BTC) thì trong đa số trường hợp ph...

Tôi nhận được email sau đây về khóa học Cyber Security của Coursera: Em tên là T., hiện đang là sinh viên. Trước đây em từng có được nói chuyện với anh vài lần trên Y! messenger, nhờ anh động viên và hướng dẫn mà em đã dần dần hiểu và chịu khó hơn trong việc học IT của mình + Đã thu lượm được vài skills nho nhỏ trong làm việc với Linux. Tầm năm 2012, nhờ bài viết trên Blog vnhacker của anh mà em biết được về khóa học cryptography của thầy Dan Boneh trên Coursera và đã đăng ký học ngay trong iteration đầu tiên + đạt kết quả rất tốt. Tiếc là sau khi xong Cryptography I, thầy Dan Boneh hình như không có thời gian nên Crypgoraphy II cứ bị đẩy lùi dần mà chưa bao giờ biết mới chính thức được học. Hôm vừa rồi, em mới đọc được trên Coursera thông tin về khóa học Cyber Security của University of Maryland. Khóa học này gồn 4 môn + 1 project cuối cùng, cái nào cũng thuộc dạng trả tiền + có chứng chỉ "xịn" của University of Maryland cả. Em nghĩ đây là 1 khóa học hay và bổ ích. A...