Googles Browser wird künftig Nutzer bei Zertifikaten mit kurzen Schlüsseln und anderen Problemen warnen. Auch eine neue Technologie namens Certificate Transparency, die betrügerische Zertifizierungsstellen identifiziert, soll bald genutzt werden.
Der umstrittene Zufallsgenerator Dual_EC_DRBG wurde von der BSafe-Bibliothek als Standardeinstellung genutzt. Jetzt warnt deren Hersteller RSA Security davor.
Nach den jüngsten Enthüllungen fragen sich Kryptographen, welche Algorithmen von der NSA beeinflusst sein könnten. Zweifel bestehen auch bei elliptischen Kurven, die für Public-Key-Kryptographie eingesetzt werden.
Das BSI verbreitet über Jahre eine komplett unsichere Software zur Verschlüsselung. Es ist aber nicht die einzige Panne bei staatlichen Verschlüsselungsprodukten.
Verschiedene Personen berichten dem Bundesamt für Sicherheit in der Informationstechnik (BSI) von einer gravierenden Sicherheitslücke in der Verschlüsselung des von der Behörde bereitgestellten Programms GSTool. Statt Dank erhalten sie juristische Drohungen.
Der Informatikprofessor Matthew Green ist von seiner Universität aufgefordert worden, einen Blogbeitrag über die NSA zu entfernen. Ursprung der Anfrage war wohl die Physikfakultät, die eng mit der NSA zusammenarbeitet.
Die NSA soll auch in der Lage sein, verschlüsselte Verbindungen zu knacken. Ein Überblick über kryptographische Algorithmen und deren mögliche Probleme.
Ein Javascript-Bookmarklet ist in der Lage, den privaten Schlüssel zu einem Account des Filehosters Mega zu extrahieren. Die Frage ist: Ist das eine Sicherheitslücke?
Neuere Versionen des TLS-Standards verbessern die Verschlüsselung und verhindern bestimmte Angriffe. Das nützt aber praktisch nichts, denn ein aktiver Angreifer kann die Nutzung eines älteren TLS-Standards erzwingen.
Die Webseite Sourceforge liefert seit einiger Zeit bei beliebten Windows-Projekten einen neuen Installer aus, der dem Nutzer die Installation von werbefinanzierter Software anbietet. Betroffen ist etwa das FTP-Programm FileZilla.
Der Zufallsgenerator von OpenSSL liefert unter bestimmten Umständen bei mehreren Aufrufen identische Werte, wenn er aus mehreren parallel ablaufenden Prozessen desselben Programms aufgerufen wird.
Beim Aufbau von TLS-Verbindungen kann Firefox künftig Informationen über die Gültigkeit eines Zertifikats mitliefern. Das sogenannte OCSP Stapling wird damit von allen großen Browsern unterstützt, aber bei den Servern gibt es noch Probleme.
Die TLS-Schnittstelle von Windows lädt automatisch fehlende Zertifizierungsstellen nach. Das sowieso schon kritisierte System der TLS-Zertifizierung wird dadurch noch unsicherer.
Update Das E-Mail-Programm auf Blackberry-Smartphones überträgt Zugangsdaten für IMAP-Konten auf den Server des Herstellers. Dem Nutzer wird das nicht mitgeteilt.
Die von Mozilla entwickelte Verschlüsselungsbibliothek NSS unterstützt in der aktuellen Version den aktuellen TLS-Standard 1.2. Das könnte die in Firefox und Chrome verwendete SSL-Verschlüsselung verbessern. Die Unterstützung für AES im authentifizierten Modus GCM fehlt allerdings noch.
Das Chatsystem Cryptocat benutzte über lange Zeit unzureichende Zufallszahlen zur Erzeugung von Schlüsseln. Sämtliche privaten Schlüssel lassen sich dadurch brechen.
Normalerweise ist verschlüsselte Kommunikation nur sicher, solange die benutzten Schlüssel geheim bleiben. Anders ist das mit einer cleveren Technologie, die auf dem Diffie-Hellman-Verfahren basiert. Die Möglichkeit hierfür ist in TLS vorhanden, aber Browser und Server müssen sie auch nutzen.
Die Xiph-Foundation arbeitet mit Daala ebenfalls an einem patentfreien Videocodec der nächsten Generation. Unterstützt wird das Projekt von Mozilla. Zuletzt hatte Google seinen Codec VP9 als Konkurrenz zu HEVC präsentiert.
Die Veranstalter eines Benefizkonzerts für die Opfer der Flutkatastrophe wollten eigentlich sämtliche Einnahmen und Spenden an Betroffene in den Flutregionen spenden. Das ginge aber nicht, sagt die Gema.
Der Atari-Gründer Nolan Bushnell warnt die Spielebranche: Sie tue nichts, um dafür zu sorgen, dass heutige Spiele auch in Zukunft verfügbar bleiben. Besonders der heute oft übliche Onlinezwang mache ihm Sorgen.
Update Wirtschaftsminister Philipp Rösler will offenbar noch vor der Bundestagswahl einen Vorstoß zur Regelung der Netzneutralität einbringen. Auch der Routerzwang mancher Anbieter soll künftig fallen.
Mit der Version 23 soll Firefox offiziell Unterstützung für Content Security Policy erhalten. Die ermöglicht es Webentwicklern, Angriffe durch Cross-Site-Scripting (XSS) deutlich zu erschweren.
Update Expensive Data: Ein Blogger aus Sachsen-Anhalt wollte mit hochauflösenden Karten der Überschwemmung die Hilfsmaßnahmen erleichtern. Auf Open Data hoffte er aber vergeblich: Für die Daten des Zentrums für Satellitengestützte Kriseninformation sollte er 800 Euro bezahlen.
In Kürze will Google die finale Version des neuen freien Videocodecs VP9 veröffentlichen. Dieser soll besser als H.264 sein, wird an dessen Nachfolger H.265 aber wohl nicht heranreichen.
Benutzer des Bitcoin-Tauschservices Mt. Gox müssen künftig ihre Identität verifizieren lassen - zumindest dann, wenn sie Bitcoins in andere Währungen umtauschen möchten.
Hinter der Digitalwährung Bitcoin steckt ein komplexes System aus kryptographischen Techniken. Zentral ist die sogenannte Block Chain - ein ewiges Logfile, in dem alle Bitcoin-Transaktionen verzeichnet sind.
Linuxtag 2013 Einige Hard- und Softwarehersteller betreiben enormen Aufwand, um Funktionen auf ihren Geräten einzuschränken. MIT-Forscher Benjamin Mako Hill bezeichnet diese als "Antifeatures" - und sieht freie Software als Möglichkeit, sie einzudämmen.
Im Spiel Tomodachi Collection: New Life für den Nintendo 3DS ist es möglich, dass Männer einander heiraten. Nintendo bezeichnet das als Bug - und erntet dafür Empörung.
Ein Unternehmen hat sich die Marke "Hackathon" schützen lassen und Rechnungen an Nutzer des Begriffs versendet. Jetzt soll aber alles nur ein großes Missverständnis gewesen sein. Der Begriff "Hackathon" wird für zahlreiche Veranstaltungen genutzt, die erste fand vermutlich bereits 1999 statt.
Das einst als Twitter-Alternative gepriesene Projekt Identi.ca stellt auf eine neue Software um. Das ändert auch seinen Charakter - künftig bietet Identi.ca ein vollständiges soziales Netzwerk statt einen Microblogging-Dienst.
In der Software Strongswan, die unter Linux und anderen Unix-Systemen für IPsec-Verbindungen eingesetzt wird, wurden ungültige Signaturen für das ECDSA-Verfahren akzeptiert. Eine gravierende Sicherheitslücke, die mehrere Jahre unentdeckt blieb.
Ein Fehler im Zufallszahlengenerator von NetBSD kann dazu führen, dass kryptografische Schlüssel mit einer Entropie von lediglich 32 Bit erzeugt werden. Vor allem SSH-Schlüssel sind betroffen.
Cisco führt mit einem Update neue Passwort-Hashes ein. Was zur Erhöhung der Sicherheit dienen sollte, bewirkt das Gegenteil: Die neue Hash-Funktion lässt sich deutlich leichter angreifen, sie nutzt nur eine Iteration von SHA256 und kommt ohne Salt aus.
Ein Team um den Kryptografen Dan Bernstein präsentiert neue Sicherheitsprobleme in der von TLS genutzten RC4-Stromverschlüsselung. Praktisch umsetzbar ist der Angriff nur in seltenen Fällen, die Autoren rechnen aber damit, dass er künftig noch verbessert wird.
Die Freie Universität Berlin plant eine Kooperation mit Apple, um Vorlesungsinhalte Externen bereitzustellen. Die Nutzung soll exklusiv mit der iTunes-Software möglich sein.
