XiaoMi-AI文件搜索系统
World File Search System公钥基础设施
第 332 节报告 - OSD CAPE
第 332 节对国防业务系统的定义比 SNaP-IT 略宽。第 332 节的定义包括“用于支持业务活动的 IT 和 IA 基础设施”,而 SNaP-IT 将基础设施和 IA 归类为单独的投资类型。在国防部内部,企业信息环境任务区 (EIEMA) 支持作战和业务系统,并且不易区分为业务和作战基础设施;同样,EIEMA 中的 IA 计划和投资(例如公钥基础设施)也支持作战和业务领域。因此,SNaP-IT 对“业务应用程序”的定义是报告第 332 节中定义的“国防业务系统”的基础。
分布式网络基础设施和人工智能......
摘要 — 分布式网络基础设施和人工智能 (AI) 是变革性技术,将在未来社会和科学界发挥关键作用。物联网 (IoT) 应用程序包含大量连接设备,这些设备收集大量敏感信息(例如医疗、财务),这些信息通常通过 AI/机器学习 (ML) 算法在边缘或联合云系统进行分析,以做出关键决策(例如诊断)。确保数据收集、分析和决策过程的安全性、隐私性和可信度至关重要。然而,系统复杂性和增加的攻击面使这些应用程序容易受到系统漏洞、单点故障和各种网络攻击。此外,量子计算的进步加剧了安全和隐私挑战。也就是说,新兴的量子计算机可以打破提供网络安全服务、公钥基础设施和隐私增强技术的传统加密系统。因此,迫切需要新的网络安全范式来满足分布式网络基础设施的弹性、长期安全性和效率要求。在这项工作中,我们提出了一种分布式架构和网络安全框架的愿景,它以独特的方式协同安全计算、物理量子密钥分发 (PQKD)、NIST 后量子密码 (PQC) 工作和 AI/ML 算法,以实现抗违规、功能性和高效的网络安全服务。我们提案的核心是一个新的多方计算量子网络核心 (MPC-QNC),它通过集成 PQKD 基础设施和硬件加速元素,实现快速且量子安全的分布式计算协议执行。我们通过在我们的 HDQPKI 和 TPQ-ML 框架中分别将 MPC-QNC 实例化为公钥基础设施 (PKI) 和联合 ML 来展示它的功能。 HDQPKI(据我们所知)是第一个混合分布式后量子 PKI,它利用 PQKD 和 NIST PQC 标准来提供最高级别的量子安全性,并具有针对主动对手的突破弹性。TPQ-ML 提出了一种后量子安全和隐私保护的联合 ML 基础设施。索引术语 — 网络基础设施;后量子安全;人工智能;机器学习;多方计算。
BGP 安全路由扩展 (BGP-SRx)
21 世纪初期,IETF 成立了安全域间路由 (SIDR) 工作组,其任务是开发边界网关协议 (BGP) 的安全模型,旨在消除或降低 BGP 劫持和其他针对核心路由基础设施的攻击的成功率。其结果是开发了一种两阶段安全方法,一个基于自治系统 (AS) 公告的前缀(IP 地址范围)起源,另一个处理此类公告所经过的路径的验证。第一阶段称为资源公钥基础设施 (RPKI),自 2013 年初以来一直处于部署阶段,第二阶段称为 BGPsec,包括对 BGP 规范 RFC 4721 的修改。BGPsec 于 2017 年底成为 RFC 标准。在此期间,NIST 积极参与必要 RFC 的开发,并同时开发了参考实现,以解决已开发安全模型的两个层级。
VSRX 虚拟防火墙数据表
• 防火墙 • 防火墙、区域、屏幕、策略 • 状态防火墙、无状态过滤器 • 网络攻击检测 • 屏幕拒绝服务(DoS)和分布式 DoS(DDoS)保护(基于异常) • 重放攻击预防;反重放 • 统一访问控制 (UAC) • TCP 重组以保护碎片数据包 • 暴力攻击缓解 • SYN cookie 保护 • 基于区域的 IP 欺骗 • 畸形数据包保护 • VPN • 隧道:站点到站点、中心辐射型、动态端点、AutoVPN、ADVPN、群组 VPN(IPv4/IPv6/双栈) • 互联网密钥交换 (IKE):IKEv1/IKEv2 • 配置有效负载 • IKE 身份验证算法:MD5、SHA1、SHA-256、SHA-384 • IKE 加密算法:Prime、DES-CBC、3DES-CBC、AEC-CBC、AES-GCM、SuiteB • 身份验证:预共享密钥和公钥基础设施 (PKI X.509) • IPsec(互联网协议安全):身份验证
使用安全的云身份和访问管理实践
许多类型的 MFA 容易受到网络钓鱼技术的攻击 1 。在可能的情况下,组织应使用防网络钓鱼的 MFA 方法,例如基于公钥 (PK) 的快速在线身份验证 (FIDO)/WebAuthn 身份验证或基于公钥基础设施 (PKI) 的 MFA(例如 CAC/PIV 卡)。防网络钓鱼的 MFA 通常利用硬件绑定私钥。如果设备/令牌允许导出私钥,则会影响身份验证因素的可信度,因为用户可能会导出私钥,如果处理不当,私钥可能会被共享或以其他方式泄露。使用第三方 MFA 工具选项的组织应时刻注意所选 MFA 工具的安全相关更改,尤其是可能允许导出密钥的更改。有关抗网络钓鱼 MFA 实施的更多指导,请参阅 CISA 的情况说明书《实施抗网络钓鱼 MFA》。[4]
TECHNOVISION 2024 执行指南
早在 2017 年,美国国家标准与技术研究所 (NIST) 就启动了一项公开流程,以选择抗量子的公钥加密算法进行标准化。他们意识到公钥基础设施对于数字信任至关重要,可以保护从网络连接和电子邮件到数字签名文档和代码的一切。目前采用的非对称加密算法依赖于数学上具有挑战性的问题,例如对非常大的数字进行因式分解,这对于当前的计算机来说在计算上是困难的。传统计算机需要数年时间才能破解这些算法。一台足够强大的量子计算机可以利用其处理多个同时状态的能力,在几分钟内解决这些困难的数学问题。NIST 的目标是建立一个基于更难的数学问题(例如格密码学)的新标准,这些问题对于传统计算机和量子计算机来说都是困难的。需要明确的是,量子安全算法本身不需要量子计算机;当它们变得足够强大时,它们可以防止利用量子计算机的攻击。
车载通信后量子密码性能分析
近年来,量子计算 (QC) 越来越受到人们的重视,人们提出了利用量子傅里叶变换通过多项式时间可计算性来解决隐藏子群问题。此外,一些包含隐藏子群的密码方法 [如 RSA (Rivest-Shamir-Adleman) 和椭圆曲线密码 (ECC)] 可能会被 QC 破解。因此,没有隐藏子群的后量子密码 (PQC) 方法 [如基于格、基于多变量和基于代码的密码方法 [1]] 对于防御 QC 攻击具有重要意义。对于车辆通信的安全,已经基于公钥基础设施 (PKI) 设计了安全证书管理系统 (SCMS) [2] 和合作智能交通系统证书管理系统 (CCMS)。然而,这些系统中使用的密码方法都是 ECC,QC 可能会带来安全威胁。因此,可以考虑使用 PQC 方法代替 ECC 来提高安全级别。本研究将调查和讨论应用于 SCMS 和 CCMS 的 PQC 方法。此外,基于格的密码学方法是 PQC 方法的主流技术 [1]。因此,将比较标准基于格的密码学方法(即 Dilithium 和 Falcon)的性能。本研究的主要贡献如下。
使用 PKI 保护企业 API
本研究文章探讨了在现代数字环境中实施公钥基础设施 (PKI) 以保护企业 API 安全。随着组织越来越依赖 API 进行系统集成和数据交换,对强大安全措施的需求变得至关重要。它分析了 PKI 如何为基于证书的身份验证和加密提供全面的框架,以解决 API 通信中的关键安全挑战。通过详细研究当前的实施、案例研究和新兴趋势,本文展示了 PKI 在保护各个行业(包括金融服务、医疗保健和物联网部署)的 API 生态系统方面的有效性。它探讨了实施 PKI 的好处和挑战,包括可扩展性考虑、性能影响和合规性要求。此外,本文还探讨了 PKI 流程的自动化、与现代 DevSecOps 实践的集成以及未来的发展方向,例如抗量子加密、区块链集成和 AI 增强的安全监控。它表明 PKI 仍然是 API 安全的基础技术,同时还在不断发展以应对新兴威胁和技术进步。
DigiCert® SSL/TLS 最佳实践研讨会学生指南
AES 高级加密标准 BR 基本要求 CA 证书颁发机构 CAA 证书颁发机构授权 CABF CA/浏览器论坛 CDN 内容交付网络 CRL 证书撤销列表 CPS 认证惯例声明 CT 证书透明度 DES 数据加密标准 DH Diffie-Hellman DNS 域名服务 DV 域验证 ECC 椭圆曲线密码术 EE 终端实体 EV 扩展验证 FQDN 完全限定域名 GDPR 通用数据保护条例 HPKP HTTP 公钥固定 HSTS HTTP 严格传输安全 HTTP 超文本传输协议 HTTPS HTTP 安全 ICA 中间 CA ICANN 互联网名称与数字分配机构 OCSP 在线证书状态协议 O/S 操作系统 OV 组织验证 PKI 公钥基础设施 RSA Rivest Shamir Adleman SAN 主体备用名称 SHA 安全哈希算法 SNI 服务器名称指示 SSL 安全套接字层 TLS 传输层安全
DigiCert 证书政策和认证实践声明
本文档是 DigiCert, Inc.(下文中在适用情况下称为“DigiCert”)的证书政策和认证实践声明 (CP/CPS),概述了 DigiCert 在提供认证服务时采用的法律、商业和技术原则和实践,即,它是 DigiCert 在批准、颁发、使用和以其他方式管理 ITU X.509 版本 3 数字证书以及维护适用于 DigiCert 颁发的证书的基于证书的公钥基础设施 (PKI) 时使用的实践声明。数字证书是格式化的数据,以加密方式将已识别的订户与公钥绑定。数字证书允许参与电子交易的实体向此类交易中的其他参与者证明其身份。数字证书在商业环境中用作身份证的数字等价物。本 CP/CPS 还定义了证书订户的底层认证流程,并描述了 DigiCert 的认证机构 (CA) 和证书存储库操作。它也是 DigiCert, Inc. 实践的公开声明,用于通知参与 DigiCert PKI 的所有各方其角色和职责。根据 IETF PKIX RFC 3647 CP/CPS 框架,此 CP/CPS 分为九 (9) 个部分,涵盖识别证书申请人、颁发和撤销证书的实践和程序,以及