Hanno Böck

Probleme mit von Chipkarten erzeugten Schlüsseln (Bild: Wikimedia Commons (Public Domain)) (Wikimedia Commons (Public Domain))

Zufallszahlen: Taiwanische Bürgerzertifikate geknackt

Aufgrund schlechter Zufallszahlen konnten Kryptographen zahlreiche private Schlüssel von Chipkarten berechnen, die die taiwanische Regierung ausgibt.

1 Kommentare

Das Vertrauen in die Standardisierungsbehörde Nist bröckelt. (Bild: Nist) (Nist)

Elliptische Kurven: Die Herkunft der Nist-Kurven

Nach den jüngsten Enthüllungen fragen sich Kryptographen, welche Algorithmen von der NSA beeinflusst sein könnten. Zweifel bestehen auch bei elliptischen Kurven, die für Public-Key-Kryptographie eingesetzt werden.

24 Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft 365 Copilot sicher administrieren und integrieren

zum Artikel

Karriere Ratgeber: EU-Entgelttransparenzrichtlinie: Was Unternehmen ab 2026 konkret erwartet

zum Ratgeber

Seminar: Microsoft 365 Administration: virtueller Drei-Tage-Workshop

zum Kurs

Linux Administration: Betriebsbereitstellung - als Vorbereitung zum Linux Foundation Certified System Administrator (LFCS) (E-Learning)

E-Learning: Linux Administration: Betriebsbereitstellung - als Vorbereitung zum Linux Foundation Certified System Administrator (LFCS) (E-Learning)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

Informationssicherheitsmanager:in (d/m/w) Hochschule Bonn-Rhein-Sieg, Sankt Augustin (öffnet im neuen Fenster)

Softwareentwickler / Softwareentwicklerin (m/w/d) für Anwendungsentwicklung stiftung elektro-altgeräte register, Nürnberg (öffnet im neuen Fenster)

Systemingenieur im Bereich der Electronic Warfare Algorithmik Entwicklung (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)

Consultant (m/w/d) Fahrzeug- und Bestandsmanagement - Region Mitte und Nord SEG System-EDV und Organisationsgesellschaft mbH, Köln (öffnet im neuen Fenster)

Product Owner für Machine Learning in der Bildverarbeitung (w/m/d) Hensoldt, Oberkochen (öffnet im neuen Fenster)

Senior Software- und Systemingenieur (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)

Werkstudent für Digitalisierungsprojekte in der Mobilität (m/w/d) EWR GmbH, Remscheid (öffnet im neuen Fenster)

De-Mail bietet nur mangelhafte Verschlüsselung. (Bild: BSI) (BSI)

IMHO: Keine Krypto vom Staat

Das BSI verbreitet über Jahre eine komplett unsichere Software zur Verschlüsselung. Es ist aber nicht die einzige Panne bei staatlichen Verschlüsselungsprodukten.

18 Kommentare

GSTOOL soll Unternehmen bei Sicherheitsfragen unterstützen. (Bild: Screenshot: Golem) (Screenshot: Golem)

GSTool: BSI bedroht Sicherheitsforscher

Verschiedene Personen berichten dem Bundesamt für Sicherheit in der Informationstechnik (BSI) von einer gravierenden Sicherheitslücke in der Verschlüsselung des von der Behörde bereitgestellten Programms GSTool. Statt Dank erhalten sie juristische Drohungen.

61 Kommentare

Johns Hopkins University: Professor sollte Blogeintrag über NSA löschen

Der Informatikprofessor Matthew Green ist von seiner Universität aufgefordert worden, einen Blogbeitrag über die NSA zu entfernen. Ursprung der Anfrage war wohl die Physikfakultät, die eng mit der NSA zusammenarbeitet.

26 Kommentare

Spezialchip zum Angriff auf das Verschlüsselungsverfahren DES (Bild: Electronic Frontier Foundation) (Electronic Frontier Foundation)

Verschlüsselung: Was noch sicher ist

Die NSA soll auch in der Lage sein, verschlüsselte Verbindungen zu knacken. Ein Überblick über kryptographische Algorithmen und deren mögliche Probleme.

216 Kommentare

Umstrittenes Verfahren: Key-Erstellung im Browser (Bild: Screenshot Hanno Böck) (Screenshot Hanno Böck)

Mega: Eine Sicherheitslücke - oder auch nicht

Ein Javascript-Bookmarklet ist in der Lage, den privaten Schlüssel zu einem Account des Filehosters Mega zu extrahieren. Die Frage ist: Ist das eine Sicherheitslücke?

30 Kommentare

Verbindung mit Google nach Downgrade-Attacke (Bild: Screenshot Hanno Böck) (Screenshot Hanno Böck)

Browser: Downgrade-Angriffe auf TLS

Neuere Versionen des TLS-Standards verbessern die Verschlüsselung und verhindern bestimmte Angriffe. Das nützt aber praktisch nichts, denn ein aktiver Angreifer kann die Nutzung eines älteren TLS-Standards erzwingen.

12 Kommentare

E-Learning: Linux Administration: Skripte, Container und Automatisierung (E-Learning)

zum Kurs

Seminar: Microsoft 365 Copilot Administration: virtueller Ein-Tages-Workshop

zum Kurs

Seminar: Web Development mit React, TypeScript & Next.js: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: Linux Administration: Troubleshooting (E-Learning)

zum Kurs

Der neue Installer von FileZilla. (Bild: Screenshot / Hanno Böck) (Screenshot / Hanno Böck)

Sourceforge: Streit um Adware-Installer

Die Webseite Sourceforge liefert seit einiger Zeit bei beliebten Windows-Projekten einen neuen Installer aus, der dem Nutzer die Installation von werbefinanzierter Software anbietet. Betroffen ist etwa das FTP-Programm FileZilla.

73 Kommentare

Schlechte Zufallszahlen führen zu Sicherheitsproblemen. (Bild: Screenshot / Hanno Böck) (Screenshot / Hanno Böck)

OpenSSL: Fork und der Zufall

Der Zufallsgenerator von OpenSSL liefert unter bestimmten Umständen bei mehreren Aufrufen identische Werte, wenn er aus mehreren parallel ablaufenden Prozessen desselben Programms aufgerufen wird.

35 Kommentare

HTTPS-Verbindung in Firefox - künftig mit OCSP Stapling (Bild: Mozilla) (Mozilla)

Firefox: Mitgelieferte Gültigkeitsprüfung für Zertifikate

Beim Aufbau von TLS-Verbindungen kann Firefox künftig Informationen über die Gültigkeit eines Zertifikats mitliefern. Das sogenannte OCSP Stapling wird damit von allen großen Browsern unterstützt, aber bei den Servern gibt es noch Probleme.

1 Kommentare

Zertifikate für den Internet Explorer unter Windows 7 (Bild: Screenshot Golem.de) (Screenshot Golem.de)

SSL/TLS: Problematisches Nachladen von Zertifizierungsstellen

Die TLS-Schnittstelle von Windows lädt automatisch fehlende Zertifizierungsstellen nach. Das sowieso schon kritisierte System der TLS-Zertifizierung wird dadurch noch unsicherer.

19 Kommentare

Das Blackberry Q10 (Bild: Karlis Dambrans/Flickr/Creative Commons BY 2.0) (Karlis Dambrans/Flickr/Creative Commons BY 2.0)

Blackberry: E-Mail-Zugangsdaten bleiben nicht auf dem Telefon

Update Das E-Mail-Programm auf Blackberry-Smartphones überträgt Zugangsdaten für IMAP-Konten auf den Server des Herstellers. Dem Nutzer wird das nicht mitgeteilt.

50 Kommentare

Verschlüsselung im Galois-/Counter-Mode (Bild: NIST) (NIST)

TLS 1.2: Bald bessere Verschlüsselung für Firefox und Chrome

Die von Mozilla entwickelte Verschlüsselungsbibliothek NSS unterstützt in der aktuellen Version den aktuellen TLS-Standard 1.2. Das könnte die in Firefox und Chrome verwendete SSL-Verschlüsselung verbessern. Die Unterstützung für AES im authentifizierten Modus GCM fehlt allerdings noch.

9 Kommentare

Ein eigenes OS - und ein eigener Computer (Bild: André Fachat / Montage: Golem.de) (André Fachat / Montage: Golem.de)

Podcast Besser Wissen: Unix auf dem 6502?

Woher der Begriff Acid eigentlich kommt, ist etwas unklar. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: 303 für alle!

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Schlüsselerzeugung in Cryptocat (Bild: Cryptocat/Screenshot: Golem.de) (Cryptocat/Screenshot: Golem.de)

Cryptocat: Verschlüsseltes Chatsystem gebrochen

Das Chatsystem Cryptocat benutzte über lange Zeit unzureichende Zufallszahlen zur Erzeugung von Schlüsseln. Sämtliche privaten Schlüssel lassen sich dadurch brechen.

18 Kommentare

Mayhem forscht nach Bugs in Software. (Bild: Mayhem) (Mayhem)

Automatisierte Bugsuche: 1.200 Crashes in Debian

Mit dem automatisierten Tool Mayhem sucht ein Forscherteam nach Bugs und möglichen Sicherheitslücken. Erstes Ergebnis: 1.200 Crash-Bugs in Debian.

28 Kommentare

Sichere Verbindung mit ECDHE zu Google (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Perfect Forward Secrecy: Zukunftssicher per Schlüsselaustausch

Normalerweise ist verschlüsselte Kommunikation nur sicher, solange die benutzten Schlüssel geheim bleiben. Anders ist das mit einer cleveren Technologie, die auf dem Diffie-Hellman-Verfahren basiert. Die Möglichkeit hierfür ist in TLS vorhanden, aber Browser und Server müssen sie auch nutzen.

49 Kommentare

Dalaa: patentfreier Videocodec der nächsten Generation (Bild: Xiph.org/Screenshot: Golem.de) (Xiph.org/Screenshot: Golem.de)

Daala: Dritter im Codec-Kampf

Die Xiph-Foundation arbeitet mit Daala ebenfalls an einem patentfreien Videocodec der nächsten Generation. Unterstützt wird das Projekt von Mozilla. Zuletzt hatte Google seinen Codec VP9 als Konkurrenz zu HEVC präsentiert.

7 Kommentare

Flutkatastrophe in Sachsen-Anhalt (Bild: Michel Vorsprach/CC BY) (Michel Vorsprach/CC BY)

Flutkatastrophe: Ein Spendenkonzert, die Gema und das Prinzip

Die Veranstalter eines Benefizkonzerts für die Opfer der Flutkatastrophe wollten eigentlich sämtliche Einnahmen und Spenden an Betroffene in den Flutregionen spenden. Das ginge aber nicht, sagt die Gema.

211 Kommentare

Atari-Gründer Nolan Bushnell (Bild: Game Developers Conference) (Game Developers Conference)

Computerspiele: Atari-Gründer warnt vor Onlinezwang

Der Atari-Gründer Nolan Bushnell warnt die Spielebranche: Sie tue nichts, um dafür zu sorgen, dass heutige Spiele auch in Zukunft verfügbar bleiben. Besonders der heute oft übliche Onlinezwang mache ihm Sorgen.

62 Kommentare

Bundeswirtschaftsminister Rösler will Netzneutralität regeln. (Bild: DLR German Aerospace Center) (DLR German Aerospace Center)

Telekom-Drosselung: Verordnung zur Netzneutralität geplant

Update Wirtschaftsminister Philipp Rösler will offenbar noch vor der Bundestagswahl einen Vorstoß zur Regelung der Netzneutralität einbringen. Auch der Routerzwang mancher Anbieter soll künftig fallen.

100 Kommentare

Content Security Policies sollen vor Cross-Site-Scripting schützen. (Bild: virtualforge.de/Screenshot: Golem.de) (virtualforge.de/Screenshot: Golem.de)

Content Security Policy: Schutz vor Cross-Site-Scripting

Mit der Version 23 soll Firefox offiziell Unterstützung für Content Security Policy erhalten. Die ermöglicht es Webentwicklern, Angriffe durch Cross-Site-Scripting (XSS) deutlich zu erschweren.

17 Kommentare

Der Blogger Vorsprach wollte für Alt Lostau hochauflösendes Kartenmaterial zur aktuellen Flutkatastrophe und sollte dafür zahlen. (Bild: vorsprach.de) (vorsprach.de)

Open Data: Teure Hochwasserdaten

Update Expensive Data: Ein Blogger aus Sachsen-Anhalt wollte mit hochauflösenden Karten der Überschwemmung die Hilfsmaßnahmen erleichtern. Auf Open Data hoffte er aber vergeblich: Für die Daten des Zentrums für Satellitengestützte Kriseninformation sollte er 800 Euro bezahlen.

165 Kommentare

Konferenzgebäude der Google I/O in San Francisco (Bild: Justin Sullivan/Getty Images) (Justin Sullivan/Getty Images)

VP9: Googles neuer Videocodec

In Kürze will Google die finale Version des neuen freien Videocodecs VP9 veröffentlichen. Dieser soll besser als H.264 sein, wird an dessen Nachfolger H.265 aber wohl nicht heranreichen.

55 Kommentare

Wer Bitcoins in reale Währungen tauschen will, muss sich verifizieren lassen. (Bild: Mt. Gox) (Mt. Gox)

Mt. Gox: Bitcoin-Tauschdienst führt Verifikation ein

Benutzer des Bitcoin-Tauschservices Mt. Gox müssen künftig ihre Identität verifizieren lassen - zumindest dann, wenn sie Bitcoins in andere Währungen umtauschen möchten.

16 Kommentare

Wie funktioniert Bitcoin? (Bild: George Frey/Getty Images) (George Frey/Getty Images)

Bitcoin: Kryptographie der virtuellen Währung

Hinter der Digitalwährung Bitcoin steckt ein komplexes System aus kryptographischen Techniken. Zentral ist die sogenannte Block Chain - ein ewiges Logfile, in dem alle Bitcoin-Transaktionen verzeichnet sind.

70 Kommentare

Benjamin Mako Hill kämpft gegen Antifeatures. (Bild: Hanno Böck) (Hanno Böck)

Antifeatures: Freie Software gegen Bevormundung

Linuxtag 2013 Einige Hard- und Softwarehersteller betreiben enormen Aufwand, um Funktionen auf ihren Geräten einzuschränken. MIT-Forscher Benjamin Mako Hill bezeichnet diese als "Antifeatures" - und sieht freie Software als Möglichkeit, sie einzudämmen.

153 Kommentare

Ein schwules Pärchen im Spiel Tomodachi Collection: New Life (Bild: AshLynxJ/Screenshot: Golem.de) (AshLynxJ/Screenshot: Golem.de)

Homosexualität in Spielen: Bug oder Feature?

Im Spiel Tomodachi Collection: New Life für den Nintendo 3DS ist es möglich, dass Männer einander heiraten. Nintendo bezeichnet das als Bug - und erntet dafür Empörung.

119 Kommentare

Hackathons gibt es schon seit 1999. (Bild: Tobias Schwarz/Reuters) (Tobias Schwarz/Reuters)

nachtausgabe.de: Markenstreit um Hackathons

Ein Unternehmen hat sich die Marke "Hackathon" schützen lassen und Rechnungen an Nutzer des Begriffs versendet. Jetzt soll aber alles nur ein großes Missverständnis gewesen sein. Der Begriff "Hackathon" wird für zahlreiche Veranstaltungen genutzt, die erste fand vermutlich bereits 1999 statt.

6 Kommentare

Identi.ca wechselt zu Pump.io und ähnelt damit einem sozialen Netzwerk wie Facebook. (Bild: Identi.ca) (Identi.ca)

Microblogging: Umbau bei Identi.ca

Das einst als Twitter-Alternative gepriesene Projekt Identi.ca stellt auf eine neue Software um. Das ändert auch seinen Charakter - künftig bietet Identi.ca ein vollständiges soziales Netzwerk statt einen Microblogging-Dienst.

5 Kommentare

Kritische Sicherheitslücke in der freien IPsec-Implementierung (Bild: Strongswan) (Strongswan)

Strongswan: IPsec-Implementierung akzeptiert leere Signaturen

In der Software Strongswan, die unter Linux und anderen Unix-Systemen für IPsec-Verbindungen eingesetzt wird, wurden ungültige Signaturen für das ECDSA-Verfahren akzeptiert. Eine gravierende Sicherheitslücke, die mehrere Jahre unentdeckt blieb.

5 Kommentare

Für Bitcoin gibt es inzwischen zahlreiche Alternativen. (Bild: Glen Cooper/CC BY 2.0) (Glen Cooper/CC BY 2.0)

Virtuelle Währungen: Alternativen zu Bitcoin

Der Erfolg der Digitalwährung Bitcoin reizt Nachahmer. Litecoin, Ripple, PPCoin und andere versprechen, Probleme des Haupt-Bitcoin-Systems zu umgehen.

37 Kommentare

Die Sicherheit von NetBSD ist durch den fehlerhaften Zufallsgenerator vermindert. (Bild: NetBSD) (NetBSD)

Fehler im Zufallsgenerator: NetBSD erzeugt schwache Schlüssel

Ein Fehler im Zufallszahlengenerator von NetBSD kann dazu führen, dass kryptografische Schlüssel mit einer Entropie von lediglich 32 Bit erzeugt werden. Vor allem SSH-Schlüssel sind betroffen.

20 Kommentare

Cisco hat per Update ein schwaches Passwort-Hashing verteilt. (Bild: Justin Sullivan/Getty Images) (Justin Sullivan/Getty Images)

Cisco: Schwache Passwort-Hashes

Cisco führt mit einem Update neue Passwort-Hashes ein. Was zur Erhöhung der Sicherheit dienen sollte, bewirkt das Gegenteil: Die neue Hash-Funktion lässt sich deutlich leichter angreifen, sie nutzt nur eine Iteration von SHA256 und kommt ohne Salt aus.

15 Kommentare

Dan J. Bernstein (Bild: Alexander Klink / Wikipedia (CC BY 3.0)) (Alexander Klink / Wikipedia (CC BY 3.0))

SSL/TLS: Schwächen in RC4 ausnutzbar

Ein Team um den Kryptografen Dan Bernstein präsentiert neue Sicherheitsprobleme in der von TLS genutzten RC4-Stromverschlüsselung. Praktisch umsetzbar ist der Angriff nur in seltenen Fällen, die Autoren rechnen aber damit, dass er künftig noch verbessert wird.

7 Kommentare

FU-Vorlesungen bald über iTunes? (Bild: ZE Studienberatung) (ZE Studienberatung)

Freie Universität: Lehrinhalte nur über iTunes

Die Freie Universität Berlin plant eine Kooperation mit Apple, um Vorlesungsinhalte Externen bereitzustellen. Die Nutzung soll exklusiv mit der iTunes-Software möglich sein.

295 Kommentare

Kurse

Podcast Besser Wissen