美国NIST发布首套对抗量子计算黑客的算法

摘要：美国国家标准与技术研究院（NIST）今天发布了一项具有历史意义的声明，分享了第一套专门用于防范系统和网络受到量子计算机攻击的算法。量子计算机大大扩展了普通计算机可处理的信息量，这使它们比目前使用的安全产品更胜一筹，因为这些产品是为传统计算系统设计的。 NIST 的最新进展是一个长达八年的项目的一部分，该项目在决定使用哪种软件来防范量子计算机之前，在全球范围内征集了各种算法。全世界的互联网流量、金融系统以及公共和私人通信基础设施都依赖于算法，这些算法可以防止未经授权的用户读取仅供少数人使用的私人信息。然而，这些算法为各行各业提供了数万亿美元的安全保障，却无法抵御传统计算机的攻击，因为传统计算机无法满足破解软件所需的计算要求。对于量子计算，研究人员担心，格罗弗算法和肖尔算法等系统几乎可以绕过当今所有的保护软件。美国国家标准与技术研究院（NIST）的最新公告试图解决其中的一些担忧，该部门公布了三种新算法，旨在保护数据免受量子计算机的攻击。最重要的是，NIST 指出这些算法现在就可以使用。这些算法可在其网站上共享，每个软件包都包含软件代码和实施说明。这三种新的量子保护算法基于 CRYSTALS-Kyber、CRYSTALS-Dilithium 和 Sphincs+ 标准。在收到来自各国的 85 种算法后，NIST 挑选出了这些算法，并于 2023 年发布了它们的草案。第一个标准，CRYSTALS-Kyber，是唯一一个专注于通用加密的标准。该标准用于保护网络信息，NIST 将其命名为"基于模块晶格的密钥封装机制标准"（Module-Lattice-Based Key-Encapsulation Mechanism Standard），简称 ML-KEM。剩下的两个侧重于数字签名，计算机利用数字签名来验证文件、信息和其他数据的真实性。CRYSTALS-Dilithium 和 Sphincs+ 分别被称为基于模块晶格的数字签名算法（ML-DSA）和基于无状态散列的数字签名算法（SLH-DSA），用于保护数字签名。其中，ML-DSA 是 NIST 的主要防线，后备标准是 SLH-DSA，在 ML-DSA 遭到破坏时使用。SLH-DSA 并非 NIST 正在研究的唯一备份标准。虽然这三个标准已经公开发布，但该机构正在制定另外两个标准，相信"总有一天会成为备份标准"。其中一个针对一般加密，另一个针对数字签名。通用加密标准涵盖三种算法，该机构希望在今年晚些时候发布两种标准。NIST 的数字签名备份更加多样化。其中，NIST 将在"不久的将来"宣布 15 种评估算法。不过，该机构坚持认为，这些标准将只是今天宣布的算法的备份，这些算法已经准备好实施。 原文：https://m.cnbeta.com.tw/view/1442143.htm

佛罗里达州因禁止实验室培育肉类的立法被起诉

摘要：培育肉类公司 Upside Foods 就佛罗里达州禁止实验室培育肉类一事提起诉讼，认为该州禁止销售培育肉类的立法违宪。佛罗里达州州长罗恩-德桑蒂斯（Ron DeSantis）于今年 5 月将该禁令签署为法律，并将该立法描述为"对全球精英计划的一种反击，他们计划强迫世界食用培养皿或虫子中生长的肉类，以实现其独裁目标"。 在周一向联邦法院提起的诉讼中，Upside Foods 和非营利性公共利益律师事务所正义研究所（Institute of Justice）声称，佛罗里达州的实验室培育肉类禁令是为了保护该州的养牛业，而该法律是违宪的。诉状称，SB 1084 违反了宪法的至高无上和商业条款，以及两项规范肉类和家禽产品检验和分销的联邦法律。正义研究所资深律师保罗-谢尔曼（Paul Sherman）在周二的新闻发布会上说："我们的宪法赋予国会创建和实施全国共同市场的权力，这样人们就可以自己决定在州际市场上购买什么产品。各州根本无权将自己与美国农业部和食品及药物管理局批准的产品隔绝开来"。传统肉类产品的替代品，包括植物肉和养殖肉，已成为自由派和保守派文化战争中的一个焦点问题。因此，提供动物性产品替代品的公司发现自己已成为州一级法律的目标，这些法律限制或直接禁止它们销售产品。Upside 和正义研究所认为，佛罗里达州禁止养殖肉类的目的是保护该州的养牛业免受州外竞争的影响。因此，该禁令违反了禁止州保护主义的《商业条款》的 "休眠方面"，Upside 声称。诉状指出，在签署活动中，佛罗里达州州长罗恩-德桑蒂斯（Ron DeSantis）身旁站满了养牛场主，"他在讲台前发表讲话，讲台上的标语写着'拯救我们的肉牛'"。佛罗里达州农业专员威尔顿-辛普森（Wilton Simpson）被列为被告，他称这场诉讼 "荒唐可笑"。"实验室培育的'肉类'尚未被证明对消费者足够安全，而自由主义议程正在推动这种做法，以关闭农场。食品安全事关国家安全，而我们的农民是第一道防线，"辛普森在一份声明中说。"各州是民主的实验室，佛罗里达州有权不做企业的小白鼠。把科学肉类实验留给加利福尼亚吧。但 Upside 的投诉称，佛罗里达州禁止实验室培育肉类是出于保护主义，而非食品安全，并指出 DeSantis 宣布禁令的新闻发布会就是证据。2022 年，美国食品和药物管理局称 Upside 的产品可以安全食用，次年，美国农业部批准销售 Upside 和竞争对手 Good Meat 的产品。Upside公司认为，佛罗里达州的禁令也损害了该公司在美国其他地方的业务。佛罗里达州在全美率先禁止种植肉类，这激发了全国各地的模仿立法。阿拉巴马州于今年 5 月禁止实验室培育肉类，但该立法要到 10 月才生效。亚利桑那州、肯塔基州、爱荷华州、密歇根州、纽约州、宾夕法尼亚州、田纳西州、德克萨斯州和西弗吉尼亚州的立法者也提出了类似的禁令。在诉状中，Upside 公司和司法研究所声称，"越来越多相互冲突的州法律对种植肉的管理 "使得 Upside 公司与全国性肉类经销商的合作变得更加困难，"这些经销商一般不会销售他们无法在每个州合法销售的产品"。根据向佛罗里达州北区法院提交的诉状，在佛罗里达州对实验室培育肉类的禁令于7月1日生效之前，Upside公司已经开始与迈阿密的一位厨师合作。这位在诉状中没有透露姓名的厨师已经开始与Upside公司计划于2025年2月20日在迈阿密南滩葡萄酒与美食节上举办一场品尝会。诉状称，Upside 公司还计划在今年 12 月初的迈阿密巴塞尔艺术博览会上分销其产品，并 "在迈阿密和塔拉哈西确定了其他有兴趣分销其产品的厨师"。诉状称，佛罗里达州的禁令现在排除了这些活动的可能性，因为 Upside 的参与可能导致其自身及其潜在商业伙伴受到刑事处罚。Upside 要求法院宣布佛罗里达州的种植肉禁令违宪，并发布针对该法律的初步和永久禁令。在新闻发布会上，IJ 律师谢尔曼说，Upside 希望禁令在巴塞尔艺术展之前生效。谢尔曼说："如果消费者不喜欢种植肉，有一个简单的解决办法。他们可以不吃。但他们不能替其他消费者做这个决定"。 原文：https://m.cnbeta.com.tw/view/1442141.htm

拥有AI处理能力的PC已占第二季度电脑出货量的14%

摘要：支持人工智能的个人电脑正在缓慢但稳步地渗透市场。根据 Canalys 的最新数据，2024 年第二季度全球人工智能 PC 出货量为 880 万台。在截至 6 月 30 日的三个月期间，这相当于所有笔记本电脑和台式机出货量的 14%，虽然数量不多，但意义重大。 该市场分析公司称，在人工智能个人电脑中，60%是使用苹果公司带有神经引擎的M系列芯片的Mac电脑。Windows占其余大部分份额（39%），运行微软操作系统的AI PC连续增长127%。其中，联想凭借 Yoga Slim 7x 和 ThinkPad T14s 等产品成为本季度领先的个人电脑供应商，惠普也凭借 Omnibook X 14 和 EliteBook Ultra G1 等产品崭露头角。戴尔也参与其中，在其 Latitude、Inspiration 和 XPS 系列中推出了 Copilot+ PC。即使现在有了所有新的基于 Windows 的人工智能 PC，本季度的出货量也相对较低，这是因为大多数新机器都是在本季度末才到货的。Canalys 将人工智能 PC 定义为带有专用芯片组或块的笔记本电脑或台式机，用于在本地而非云端运行人工智能工作负载。首席分析师伊山-杜特（Ishan Dutt）表示，随着采用高通骁龙 X 芯片的Copilot+ PC于 6 月份推出，英特尔加紧交付酷睿 Ultra 芯片组，以及 AMD 发布 Ryzen AI 300 系列笔记本电脑 CPU，人工智能 PC 出货量强劲增长的基础已经奠定。该公司还指出，该行业今年的人工智能个人电脑出货量将达到约 4400 万台，明年将达到 1.03 亿台。 原文：https://m.cnbeta.com.tw/view/1442142.htm

老视频：杰夫·贝索斯1997年的BBC访谈 询问互联网购物何时会兴起

摘要：今年早些时候，亚马逊公布了2024 年第一季度1433 亿美元的收入。但在 27 年前，英国广播公司（BBC）曾想知道互联网彻底改变购物方式的预言何时才能成真，并采访了当地的面包师、书商，甚至杰夫-贝索斯（Jeff Bezos），让我们回顾这段老视频。 最初于 1997 年 11 月播出的《金钱节目》报道最近被添加到了BBC Archive YouTube 频道。在报道中，记者尼尔斯-布莱斯（Nils Blythe）在信息高速公路上进行了一次模拟旅行，并与当时在网上商务方面取得不同程度成功的零售商进行了交谈，其中还配有 90 年代的蓝屏特效和图形。其中包括英国的一家小型面包店，它在国际上销售烘焙食品每年都能获得数千美元的销售额；还有英国的连锁超市 Sainsbury's，它在利用互联网、电话甚至传真销售食品杂货方面取得了中等程度的成功。布莱斯还采访了杰夫-贝索斯，他在两年前刚刚创办了在线图书零售商亚马逊网站。贝索斯在采访中表示，亚马逊的图书目录超过 250 万册，是最大的实体书店库存量的十倍，并预言"在若干年后......网络图书销售将成为一个非常大的业务"。他的预测基本正确，四年后亚马逊才首次实现盈利。 原文：https://m.cnbeta.com.tw/view/1442140.htm

持有特斯拉股票的得克萨斯州法官回避特斯拉广告商诉讼案

摘要：德克萨斯州的一名法官被指派审理两起涉及埃隆-马斯克的 X 平台的案件，在有报道称他持有特斯拉股票后不久，他已回避了其中一起案件。 美国地区法院法官里德-奥康纳（Reed O'Connor）被指派审理 X 公司最近因广告商抵制其服务而对广告商提起的反垄断诉讼，以及另一起针对Media Matters的案件。本周二，奥康纳向法院书记员提交了一份通知，要求自己回避反垄断诉讼。截至周二下午，他似乎仍被指派处理Media Matters案。根据财务披露，奥康纳持有的特斯拉股票介于 15001 美元和 50000 美元之间，披露的信息还显示他投资了联合利华，不过，独立法律记者克里斯-盖德纳（Chris Geidner）在 X 上指出，联合利华是广告商案的被告。这或许可以解释为什么他只回避了两起 X 案件中的一起。报道对奥康纳的公正性和 X 在这个特定法庭提起诉讼的动机提出了质疑。据 NPR 报道，德克萨斯州北部的联邦法院与其他许多随机分配法官的法院不同，它是根据案件提交到哪个部门来分配给法官的。这让原告对谁将审理他们的案件有了不同寻常的确定性。虽然马斯克最近表示，他计划将 X公司迁往德克萨斯州，但 X公司和诉讼被告的总部都不在德克萨斯州。X 没有立即回应置评请求。批评者指责 X公司"择地诉讼"，即寻找同情自己的法官或地区来立案。反垄断专家认为，X 公司很难证明广告商的抵制行为违反了法律，这更凸显了他们的论点。前司法部反垄断主管比尔-贝尔（Bill Baer）告诉 BBC，一般来说，"出于政治动机的抵制行为并不违反反垄断法。根据我们的第一修正案，它是受保护的言论"。全球负责任媒体联盟（Global Alliance for Responsible Media，GARM）是由世界广告主联合会（WFA）创建的一个广告主联盟，也是 X 诉讼案的被告之一。《商业内幕》报道称，该组织认为有必要动用其有限的资金来应对诉讼。不过，X 的法律策略在最近的另一起诉讼中适得其反。加州法官驳回了 X 对非营利组织"反数字仇恨中心"的诉讼，称该诉讼是"因被告的言论而对其进行惩罚"。 原文：https://m.cnbeta.com.tw/view/1442139.htm

微软今日修复89个安全漏洞 含多个已被黑客利用的零日漏洞

摘要：今天是微软 2024-08 的例行更新日，微软向 Windows 10/11 以及 Windows Server 等系统发布例行安全更新修复各种已知的安全漏洞。此次更新微软合计修复 89 个安全漏洞，其中包括 6 个已经遭到黑客积极利用的漏洞和 3 个公开披露的零日漏洞，第 10 个零日漏洞暂时还未发布补丁进行修复，也不清楚具体细节。 这些漏洞涉及到 Windows 的权限提升、远程代码执行和信息泄露等，包括 36 个权限提升漏洞、28 个远程代码执行漏洞。建议使用 Windows 10/11 以及 Windows Server 服务器系统的用户尽快下载安装更新，离线安装包下载地址可以看这里：[下载] 微软向 Windows 11 受支持的版本推送 2024-08 月安全补丁(附离线安装包)[下载] 微软向 Windows 10 受支持的版本推送 2024-08 月安全补丁(附离线安装包)严重级别的安全漏洞 CVE-2024-38063：Windows TCP/IP 远程代码执行漏洞借助该漏洞攻击者向目标设备发送特制的 IPv6 数据包即可触发远程代码执行，目前关于该漏洞还没有太多细节，但微软提到禁用 IPv6 后可以缓解漏洞，因为禁用后漏洞就无法利用了。严重级别的安全漏洞 CVE-2022-3775：由 Red Hat 提交，渲染某些 Unicode 序列是基于堆栈的越界写入，关于此漏洞的更多细节暂时未公开。严重级别的安全漏洞 CVE-2023-40547：由 Red Hat 提交，HTTP 启动支持中的远程代码执行可能导致安全启动被绕过，关于此漏洞的更多细节暂时未公开。被积极利用的零日漏洞 CVE-2024-38178：脚本引擎内存损坏漏洞想要触发该漏洞黑客需要诱导经过身份验证的客户端点击链接，这样黑客就不需要经过身份验证启动远程代码执行。该漏洞必须在 Microsoft Edge 浏览器的 IE 模式中点击黑客的特制链接，尽管如此韩国国家网络安全中心 NCSC 和安全公司 AhnLab 仍然发现该漏洞已经遭到黑客利用。被积极利用的零日漏洞 CVE-2024-38193：WinSock 权限提升漏洞借助该漏洞攻击者可以获取 Windows 系统的 SYSTEM 权限，该权限是 Windows 的最高权限之一，可以执行各种命令包括完整控制整个系统。该漏洞是由 Gen Digital 的 Luigino Camastra 和 Milánek 发现并提交，不过微软暂时还未透露该漏洞的更多细节和利用情况。被积极利用的零日漏洞 CVE-2024-38213：可以绕过文件来自网络的标记该漏洞已经被黑客积极利用，黑客通过创建特制的、存在错误的 LNK 快捷方式文件，引导 Windows 资源管理器进行修正并去除该文件来自网络的标记。这样用户打开文件时系统不再弹出安全警告，该漏洞由趋势科技的 Peter Girnus 发现并提交，虽然微软没有透露该漏洞是如何被利用的，但这里有更多细节：Microsoft Defender 存在缺陷可被绕过安全警告 微软可能会在后续进行修复被积极利用的零日漏洞 CVE-2024-38106：Windows 内核权限提升漏洞借助该漏洞攻击者可以通过 Windows NT 内核获得 SYSTEM 权限，微软称要想利用该漏洞攻击者需要获得竞争条件，也就是利用难度比较大，不过暂时微软并未透露该漏洞的细节。被积极利用的零日漏洞 CVE-2024-38107：Windows Power Dependency Coordinator 权限提升借助该漏洞攻击者也可以获得 SYSTEM 权限，不过微软并未透露该漏洞的更多细节。被积极利用的零日漏洞 CVE-2024-38189：Microsoft Project 远程代码执行漏洞Microsoft Project 是 Office 套件之一 (但需要单独购买)，在禁用安全策略后攻击者诱导用户打开恶意 Project 文件即可远程执行任意代码。这里的安全策略指的是 VBA 宏，目前微软已经默认禁用宏并且尝试加载宏时会弹出安全提醒，但如果用户启用宏并忽略提醒那就会中招。期待已久的一个有用的变化出现了。现在，你可以从 "开始 "菜单的 "已固定"项目拖动应用程序图标，并将它们固定到任务栏上。更新后，任务栏焦点变得更容易访问。现在，你可以按 Win + T 键启动焦点会话。之后，你可以按下任务栏上任何应用程序首字母的按键来选择它。如果有多个应用程序的首字母相同，再次按键将选择下一个图标。按下 Home 键会将焦点移至任务栏上的第一个应用程序，而按下 End 键会将焦点移至最后一个应用程序。文件资源管理器选项卡现在可以轻松复制了。右键单击任何打开的标签页，然后从右键菜单中选择 "复制标签页 "选项。 原文：https://m.cnbeta.com.tw/view/1442138.htm