Ура 🎉Вот и появился мой новый канал .
Посты выше это посты с моего прошлого не технического канала =)
Тем не мнение я оставлю их здесь для новых подписчиков
В будующем в этом посте будут собраны теги .
#5g #6g #air_gap #anonymous_networks #ai #Alice's_rings #android #anitivirus #ai #anonymity #anti_forensics #apps #attackers #attacks #anonymity_os #blockchain, #bitcoin #brainwallets #bootkit #browsers #bts #camera #car #covert_channels #crypto #crypto_wallet #crypto_protection #chosen-IV #cjdns #cryptography #cve #chrome_extension #data_collection #dust_attack #ddos #decentralization #distinction #do #error_correction_chanics #explication #electromagnetism #ECDSA #ECC #eliptic_curves #exploit #f5 #FCMP #forensics #GPRS #gps #gsm #heat #ipfs #i2p #incident_response #incident_response #intelligence_services #ios #iron_level #java #light #lasers #lfs #linux #lot #lte #mac #Monero #malware #math #MBQC #messenger #mobile #network #neural_networks #news #nym #nft #phishing #pentest #physics #PDO #polymorphic #post_quantum #quantum_protocols #quantum_noise #protection #powershell #quantum_computer #garlic_encryption #quantum_gates #quantum_mechanics #quantum_physics #qubit #oxen #oneswarm #radio_hacking #radio_waves #RingCT #ring_signatures #ransomware #RIPEMD #revers #reverse_engineering #rootkit #router #SATA #scanners #security #snooping #supply_chain #stegranography #smart_contract #social_engineering #SHA256 #spying #spyware #ss7 #Trust_Wallet #threat_modeling #tools #TPM #tor #attack_tor #traffic_analysis #virus #vpn #waf #web #wifi #Kovri #windows #whunix #yggdrasil #wireless_hacking #wiretap #еtthernet #hardware_wallet #monopole #noise_control #error_control #quantum_attack #XMR #zeronet

Привет, тебе моя Алиса.🎀✨

Вот тебе забавная уязвимость в продукте Oracle Java SE, Oracle GraalVM Enterprise Edition для Oracle Java SE - CVE-2022-21449

Для начала предисловие ✨

ECDSA является широко используемым стандартом для подписи всех видов цифровых документов.

По сравнению со старым стандартом RSA ключи и подписи на эллиптических кривых, как правило, намного меньше для обеспечения эквивалентной безопасности, в результате чего они широко используются в тех случаях, когда размер имеет большое значение🙃
Например, стандарт WebAuthn для двухфакторной аутентификации позволяет производителям устройств выбирать из широкого спектра алгоритмов подписи, но на практике почти все устройства, произведенные сейчас, поддерживают только подписи ECDSA (заметным исключением является Windows Hello, в которой используется RSA). Подписи.

ECDSA состоит из двух значений, называемых r и s . 

Чтобы проверить подпись ECDSA , верификатор проверяет уравнение, включающее r , s , открытый ключ подписавшего и хэш сообщения. Если две части уравнения равны, то подпись действительна, в противном случае она отклоняется.

Одна часть уравнения равна r , а другая часть умножается на r и значение, полученное из s . Так что, очевидно, было бы очень плохо, если бы r и s были равны 0, потому что тогда вы бы проверяли, что 0 = 0 ⨉ [куча вещей] , что будет истинным независимо от значения [куча вещей]. ] ! И эта куча вещей — важные биты, такие как сообщение и открытый ключ.

Вот почему самая первая проверка в алгоритме проверки ECDSA заключается в том, чтобы убедиться, что r и s оба >= 1.

Java забыл сделать реализацию проверки подписи ECDSA в Java грубо говоря она не проверяла, равны ли r или s нулю, поэтому вы можете создать значение подписи, в котором они оба равны 0 😶‍🌫️, и Java примет его как действительную подпись для любого сообщения и для любого общедоступного сообщения.

Вот статья с более подробным описанием тык
Вот сканер и подтверждение ее использования:
Реализация и подтверждение на go тык
Сканер наличие это уязвимости на python тык
Будьте осторожны при работе с java всегда проверяйте код на уязвимости🙃

А на это все . Спасибо за прочтение. ❤️
А тебе дорогая Алиса , удачной игры в крокет с Чеширским котом🐈
#cryptography #cve #scanners #java

Hello, my Alice .🎀✨

Here's a fun vulnerability in the Oracle Java SE product, Oracle GraalVM Enterprise Edition for Oracle Java SE - CVE-2022-21449

To begin with a preface ✨

ECDSA is a widely used standard for signing all kinds of digital documents.

Compared to the older RSA standard, elliptic curve keys and signatures tend to be much smaller for equivalent security, resulting in their widespread use where size matters🙃
For example, the WebAuthn standard for two-factor authentication allows device manufacturers to choose from a wide range of signature algorithms, but in practice almost all devices manufactured now support only ECDSA signatures (a notable exception is Windows Hello, which uses RSA). Signatures.

ECDSA consists of two values called r and s . 

To verify an ECDSA signature, the verifier checks an equation that includes r , s , the signer's public key, and the message hash. If the two parts of the equation are equal, the signature is valid, otherwise it is rejected.

One part of the equation is equal to r , and the other part is multiplied by r and the value obtained from s . So obviously it would be very bad if r and s were equal to 0, because then you would be checking that 0 = 0 ⨉ [a bunch of stuff] , which would be true regardless of the value of [a bunch of stuff] . ] ! And that pile of things are important bits, such as the message and the public key.

That's why the very first check in the ECDSA checking algorithm is to make sure that r and s are both >= 1.

Java forgot to do an implementation of ECDSA signature checking in Java roughly it didn't check if r or s were equal to zero, so you can create a signature value where they are both 0 😶‍🌫️ and Java will accept it as a valid signature for any message and for any publicly available message.

Here's an article with more details link
Here is the scanner and confirmation of its use:
Implementation and acknowledgement on go link
Scanner for this python vulnerability link
Be careful when working with java always check the code for vulnerability🙃

And that's it . Thanks for reading. ❤️
And to you dear Alice , have a good croquet game with the Cheshire cat🐈
#cryptography #cve #scanners #java