Daniel Bleichenbacher
-
Webauthn: Passwortloses Einloggen mit schlechter Kryptographie
Das neue Webauthn-Protokoll soll sichere Logins ohne Passwörter ermöglichen. Doch ein Security-Audit bescheinigt den bisherigen Implementierungen in Chrome, Firefox und Edge angreifbare Kryptographie.
18.09.20185 Kommentare -
TLS-Check: Qualys bestraft fehlendes Forward Secrecy
Perfect Forward Secrecy, AEAD und keine Anfälligkeit für Robot sind künftig wichtige Kriterien im SSL-Test von Qualys. Wer diese Kriterien nicht unterstützt, wird ab März schlechter bewertet. Auch Nutzer von Symantec-Zertifikaten werden gewarnt.
08.02.20183 Kommentare -
ROBOT-Angriff: 19 Jahre alter Angriff auf TLS funktioniert immer noch
Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, gilt das besonders für populäre Webseiten, darunter Facebook, Paypal und Produkte von mindestens acht verschiedenen Herstellern.
Von Hanno Böck12.12.201740 Kommentare -
TLS 1.3: Die Zukunft der Netzverschlüsselung
Schwache Kryptographie raus, weniger Round-Trips und damit mehr Performance - und außerdem Schmierfett für zukünftige Protokollversionen und Erweiterungen: Die Version 1.3 des TLS-Verschlüsselungsprotokolls kommt bald.
Eine Analyse von Hanno Böck13.12.201610 Kommentare -
Drown-Angrifff: Ein Drittel der HTTPS-Server angreifbar
Kein moderner Browser unterstützt das alte SSL-Protokoll Version 2. Trotzdem kann es zum Sicherheitsrisiko werden, solange Server es aus Kompatibilitätsgründen unterstützen. Es muss nicht einmal derselbe Server sein.
Von Hanno Böck01.03.201620 Kommentare
-
Sicherheitslücken: XML-Verschlüsselung mit vielen Fallstricken
Zahlreiche Sicherheitslücken plagen die Standards zum Verschlüsseln und Signieren von XML-Daten. Obwohl die Lücken schon viele Jahre bekannt sind, finden sich nach wie vor viele verwundbare Produkte.
16.11.201511 Kommentare -
RSA-CRT: RSA-Angriff aus dem Jahr 1996 wiederentdeckt
Eine Optimierung von RSA-Signaturen kann bei fehlerhaften Berechnungen den privaten Schlüssel verraten. Bekannt ist dieser Angriff schon seit 1996, ein Red-Hat-Entwickler hat jetzt herausgefunden, dass es immer noch verwundbare Hard- und Software gibt.
04.09.20159 Kommentare -
Firefox/Chrome: BERserk hätte verhindert werden können
Die Sicherheitslücke BERserk ist nur deshalb ein Problem, weil einige Zertifizierungsstellen sich nicht an gängige Empfehlungen für RSA-Schlüssel halten. Mit BERserk akzeptieren Firefox und Chrome gefälschte Zertifikate.
01.10.20143 Kommentare -
RSA-Signaturen : Acht Jahre alte Sicherheitslücke kehrt zurück
In der NSS-Bibliothek ist eine Sicherheitslücke entdeckt worden, mit der sich RSA-Signaturen fälschen lassen. Betroffen sind die Browser Chrome und Firefox, für die bereits Updates erschienen sind. Es handelt sich um eine Variante der Bleichenbacher-Attacke von 2006.
25.09.20147 Kommentare -
Bleichenbacher-Angriff: TLS-Probleme in Java
In der TLS-Bibliothek von Java wurde ein Problem gefunden, welches unter Umständen das Entschlüsseln von Verbindungen erlaubt. Es handelt sich dabei um die Wiederbelebung eines Angriffs, der bereits seit 1998 bekannt ist.
17.04.201423 Kommentare
Daniel Bleichenbacher