OSSLab Geek Lab解讀一下最近鬧的滿城風雨的公民實驗室的Zoom安全報告
這是篇非常棒的如何拆解加密封包還原視訊跟音訊資安文...
1. H.264視訊碼流最小單位為NALU
一個NALU = 一組對應於視頻編碼的NALU頭部信息+ 一個原始字節序列負荷(RBSP,Raw Byte Sequence Payload).
這邊nal_unit_type都為0 ,無法判定類型.
不過最後有分析出NAL Payload有後面數據大小,為data slice解密後,組合後為H.264 video stream.

2.對電腦DRAM 做數位鑑識,發現名為conf.skey此為AES 128 key 全部使用者跟會議內容都用此key加密傳送跟接收後解密.

3.錄到封包後,要考慮到一個client都用同個SSRC,另外用時間戳組來拼順序,用key解密再組合成完整視訊raw檔案.

4.音訊一樣加密,推測用啥音訊codec ,是利用RTP間隔時間戳相隔多大來判定.640所以應該為Silk16 codec.

5.在Linux版本Zoom設定proxy上設為自建的mitmproxy, 會報警告說未驗證.從mitmproxy也可得到密鑰AES-128 conf.skey

6.測試中發現在加拿大跟美國通訊用戶 AES-key 是由52.81.151.250位於北京Server配送的
因此最終懷疑,確實有可能.若中國政府要求可取得此密鑰若有測錄封包就可解密還原內容.

7.最後Zoom官方的回應是
中國以外的用戶,會立即將中國大陸的數據中心從服務器中刪除。

圖片引用
UniHub 有你好棒
參考

https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/

http://0rz.tw/HOiaK

https://commons.erau.edu/cgi/viewcontent.cgi?article=1174&context=jdfsl

http://blog.gitdns.org/2017/03/14/h264/

#OSSLab #數位鑑識 #拜託國家訂的資安檢測要這樣水準

📜 [專欄新文章] 2019 台北以太坊社群回顧
✍️ Juin Chiu
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

很快地，2019 年過去了，台北以太坊社群（TEM）也滿 3 歲了，過去一年，TEM 完成了許多重大的里程碑：

舉辦台灣最大的區塊鏈技術研討會 Crosslink

主持台灣開源界最大的研討會 COSCUP 的區塊鏈議程

參加世界最大的區塊鏈技術研討會 DEVCON

Medium 專欄累積 30+ 篇優質文章

Youtube 頻道累積 50+ 個技術演講

在這篇文章中，我們首先來審視 2019 年以太坊取得重大進展的技術：以太坊2.0與零知識證明，接著再回顧 TEM 於 2019 的優質專欄文章。

*本文由 Juin Chiu 與 Chih-Cheng Liang 共同整理

以太坊重大進展

以太坊2.0的信標鏈

對一般大眾最重要最能吸收的事情大概是 Eth2.0 的信標鏈有測試網路了。透過儀表板網站 www.beaconcha.in 可以看見 Prysmatic Labs 團隊的測試網路的動態。細節很多，但本文就只談這張圖最上面有出現的東西。

在 Eth2.0 沒有挖礦和礦工了，取而代之的是抵押以太幣的驗證者（Validator）來成為資料的寫入者。因此也沒有「區塊時間」這個詞了，新協定以 12 秒為一個「時段」（Slot），信標鏈隨機分配驗證者在指定的時間點產出區塊。在 32 個時段的時間，稱為一個「時期」（Epoch），約 6.4 分鐘，信標鏈會處理驗證者的賞、罰、進、出。在儀表板的左上角可以看到 Epoch 與 Slot 的數字，代表距離最早最古老的區塊多久了。

要怎麼成為驗證者呢？首先要在以太坊 1.0 主網路的抵押合約上，送出一筆交易（在信標鏈測試網路則是送到 Goerli 測試網路）。這筆交易會註冊驗證者的公鑰，並且存入押金（在正式網路是 32 ETH ，測試網路則是 3.2 ETH）。送完之後就排隊等待信標鏈激活驗證者，驗證者就需要開始執行信標鏈分配的任務了。在畫面中間可以看到左邊是 27539 個活躍的驗證者，右邊則是有 4623 個排隊進入的。

在這種基於押金的網路，系統的威脅來自於攻擊者買通大量驗證者，送出矛盾訊息，致使於系統不同節點無法取得共識，鏈資料不可挽回的分叉為兩條。因此系統累積的總押金越多，代表攻擊者成本越高。畫面最右上角左邊即為總押金，右邊為平均一個驗證者的餘額。

假期間和親朋好友一起跑一個驗證者節點，是個活絡氣氛的好活動。要做到這件事，目前 Prysm 客戶端有最友善的介面，請點 連結。程式也用 Docker 包好了，免煩惱安裝。

也記得 Eth2.0 協定有 9 個團隊 用不同程式語言實作。例如：有 Python 語言的客戶端 Trinity ，以及 Rust 語言客戶端 Lighthouse。基本上不用擔心找不到自己喜歡的程式語言的實作。

零知識證明

2019 年，零知識證明的理論與應用也突飛猛進，Kimi Wu 剛好寫了一篇很棒的文獻調查。

前年底提出的 zk rollup，目前由 Matter Labs 在開發，Matter Labs更在上個月（2019/12）發表了 ZK Sync，解決了因為產生證明（proof）而延伸的延遲問題。

此外 Iden3 跟 ConsenSys 也有 zk rollup 的專案。在以太坊研究論壇有基於 zk rollup 的一個提案，是可以達到 匿名性的 zk rollup。

Semaphore是一個基於零知識證明的一個訊號系統，發送者可以不揭露身份的狀況下廣播任何訊息(an arbitrary string)。 Semaphorejs 延續 Semaphore 的核心概念，並將整個概念更加完整化，從前端網頁到後端服務。

這兩年才發表的 zk-STARKs，也在去年年初跟 0x 合作，推出基於 zk-STARKs 的 去中心化交易所。

在技術上，去年下半年有新的論文，使用 DARK compiler 可以讓 SNARKs 達到公開性（Transparent）。還有 MARLIN, SONIC, PLONK 等可通用且可更新的可信設定（trusted setup）。STARKs 的 FRI 驗證方式也默默地跟 SNARKs 做結合。（東西越來越多，根本看不完 QQ）

零知識證明在區塊鏈的重要用途就是「擴展」和「隱私」。技術上的進展，一般可以觀察證明方產出證明的時間、證明的資料大小、驗證方驗證的時間、需不需要可信設定、可信設定有什麼限制、以及抵抗量子電腦的能力。

社群專欄優質文章

Crossslink 2019

Crosslink 2019 Taiwan｜以太坊 2.0 的未來藍圖及挑戰

Crosslink Recap: Design pattern: build your first profitable DApp and smart contract

Private key security and protection / 私錀的安全與保護 — Tim Hsu

Crosslink 2019 Taiwan｜LibraBridge: 橋接 Libra 與 Ethereum

Aragon Fundraising：下一代的去中心化募資平台

The next generation Ethereum Virtual Machine — Ewasm VM

libp2p — 模組化的點對點網路協議

教學（Tutorial）

一分鐘做出自己的代幣購買App

Web3 Java 開發：用 Geth、Ganache 及 Infura 測試和 Smart Contract 互動

Let’s Capture The Flag! Etheruem CTF Tutorial 從零開始破解智能合約漏洞！

Your First Transaction on Facebook Libra — 動手玩 Libra

ELI5! 區塊鏈到底在幹嘛？

共識協定（Consensus）

Casper FFG：以實現權益證明為目標的共識協定

Casper FFG 與 Casper CBC 的瑜亮情結

若想搞懂區塊鏈就不能忽視的經典：PBFT

密碼學（Cryptography）

Ethereum RNG (RANDAO & VDF)

深入瞭解 zk-SNARKs

瞭解神秘的 ZK-STARKs

隱私性與匿名性（Privacy and Anonymity）

新一代加密貨幣Grin和MimbleWimble區塊鏈解析

Monero.門羅幣 隱匿交易的基礎介紹

隱私、區塊鏈與洋蔥路由

資料可得性（Data Availability）

Data Availability on Ethereum 2.0 Light Node

Fraud and Data Availability Proofs

點對點網路（p2p Network）

連Ethereum都在用！用一個例子徹底理解DHT

針對DHT的花式攻擊與精簡對策

智能合約（Smart Contract）

深入解析Solidity合約

Upgradable Smart Contracts using zos

Reason Why You Should Use EIP1167 Proxy Contract. (With Tutorial)

去中心化金融（DeFi）

DeFi 項目《Uniswap》完整解析（一）Uniswap 是什麼？

解析 DeFi 項目《Uniswap》（二）Uniswap 如何使用？

去中心化身份（DID）

我們與「身份自主」的距離

其他（Miscellaneous）

論言論自由

作為負債的控制

0x 黑客松 — 獲獎作品回顧與分析

技術解析台灣交易所BitoPro駭客攻擊

總結

2019 是個樸實無華但充實的一年，除了在底層技術方面有所進展，在應用方面，例如去中心化金融（DeFi）與去中心化身份（DID），也逐漸獲得大眾的興趣，期待 2020 年區塊鏈能為這世界帶來更多驚奇！

2019 台北以太坊社群回顧 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

營火部落工作"桌"曝光，因為還不是一個獨立的房間，不能稱工作室。

最近難得把工作桌整理乾淨，可以曝光一下下。

電腦配備主要就是高規格的筆記型電腦(i7 8750H CPU, 32G Ram, 1070Max Q顯卡)，搭配大容量SSD（組共1.5TB)，外接8TB Raid 1硬碟，外接3TB NAS，使用4K 43"螢幕。

這樣的配備其實也只能剛好編輯4K影片，要順暢編輯還是要建立低解析度的Proxy快取檔案編輯。

架子上的配備大部分都是露營的小裝備跟攝影器材，露營的大裝備都在車庫的櫃子裡面。

影片編輯的程序大致上是這樣：
1:匯入檔案，把檔案轉低解析度建立Proxy，大約需要一個晚上。
2:大致看完全影片內容，分類，然後大致上把要的元素組合好，大致上也要一個晚上。
3:匯出影片流暢看一次，然後精簡化，去除多餘的小片段，停頓等，設定一些轉場，調整一些效果，需要一個晚上。
4:影片上字幕，調整每一個片段的顏色，也需要一個晚上。
5:趕影片公布前一天上傳好影片，因為Youtube需要大約一天的時間才能處理好4K畫質的檔案。

這就是各位看到影片之前的工作程序。

跟去年三月營火部落剛成立相比，更換滿多設備的，
更換了：
筆記型電腦
螢幕
單眼相機Canon換SONY
Gopro增加一台
SSD增加1TB
線上編輯硬碟增加8TB Raid 1
備份硬碟增加4TB

其實如果拍攝1080P，會比4K投資的編輯、儲存、拍攝的容易、便宜許多，很多然都說我拍1080P就好了，但是我的想法是，台灣這麼美，很多地方，加上天氣與時間因素，可能幾年就只能拍到這一次。不好好記錄下來太可惜。

最近跟雙龍合作的影片是業配，就是有收錢拍攝，甚至有Youtube的網友留言說是業配就不看了。

說實話，我感謝廠商願意跟很弱勢的戶外自媒體合作，要不然光靠興趣，零用錢，是產出不了好影片的。

我跟廠商合作介紹的商品，都是我實際野外使用，裝備能夠撐過我在外面野營的風風雨雨。

再次感謝各位粉絲，特別是"頭號粉絲"長久來的支持，營火部落轉眼就要三萬訂閱了，耗時一年三個月。

請想得到我親手打磨的橡木杯墊"頭號粉絲"們，請下方留言，我會抽出三名朋友獲得，週五抽出。

不是頭號粉絲的朋友別灰心，只要多留言、分享按贊，Facebook就會自動幫你升級，這也不是我能控制的。