Daniel Bleichenbacher

Mit Schlüsseln statt Passwörtern einloggen: Bei Webauthn muss noch an der Sicherheit gefeilt werden. (Bild: Flober81) (Flober81)

Webauthn: Passwortloses Einloggen mit schlechter Kryptographie

Das neue Webauthn-Protokoll soll sichere Logins ohne Passwörter ermöglichen. Doch ein Security-Audit bescheinigt den bisherigen Implementierungen in Chrome, Firefox und Edge angreifbare Kryptographie.

/ 5 Kommentare

SSL Labs vergibt Noten für die TLS-Konfiguration. (Bild: SSLLabs / Screenshot Golem.de) (SSLLabs / Screenshot Golem.de)

TLS-Check: Qualys bestraft fehlendes Forward Secrecy

Perfect Forward Secrecy, AEAD und keine Anfälligkeit für Robot sind künftig wichtige Kriterien im SSL-Test von Qualys. Wer diese Kriterien nicht unterstützt, wird ab März schlechter bewertet. Auch Nutzer von Symantec-Zertifikaten werden gewarnt.

/ 3 Kommentare

Workshops und Weiterbildungen: Microsoft-365-Admin werden leicht gemacht

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: IT-Risikomanagement-Schulung

zum Kurs

E-Learning: IT Sicherheitstests und Ethical Hacking mit Kali Linux (E-Learning)

zum Kurs

Server Operations Coordinator Deutsche Rentenversicherung Bund, Berlin,Homeoffice (öffnet im neuen Fenster)

Bankorganisator (m/w/d) mit IT-Superkräften VR Bank Weimar eG, Weimar (öffnet im neuen Fenster)

Bürofachkraft / Team-Assistenz (m/w/d) im Backoffice mit Sekretariatserfahrung + DATEV-Grundkenntnissen MSW GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft, Berlin (öffnet im neuen Fenster)

Knowledge & Learning Manager Financial Solutions (w/m/d) HUK-COBURG Versicherungsgruppe', Coburg (öffnet im neuen Fenster)

IT Security & Cloud Engineer (m/w/d) Schwerpunkt Microsoft 365 & Informationssicherheit GBG Forschungs GmbH, Neu-Isenburg (öffnet im neuen Fenster)

Senior DevOps & Platform Engineer (m/w/d) Hygi.de GmbH & Co. KG, Telgte (öffnet im neuen Fenster)

SAP Solution Consultant Scheduling (w/m/d) SEW-EURODRIVE GmbH & Co KG, Bruchsal (öffnet im neuen Fenster)

Repair Administrator - Luftfahrt / MRO (m/w/d) Nord-Micro GmbH & Co. KG, Frankfurt am Main (öffnet im neuen Fenster)

Return of Bleichenbacher's Oracle Threat - Immer wieder sorgt ein uralter Angriff auf RSA für Ärger. Das Problem: Der Verschlüsselungsstandard PKCS #1 v1.5. (Bild: Ange Albertini) (Ange Albertini)

ROBOT-Angriff: 19 Jahre alter Angriff auf TLS funktioniert immer noch

Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, gilt das besonders für populäre Webseiten, darunter Facebook, Paypal und Produkte von mindestens acht verschiedenen Herstellern.

/ 40 Kommentare / Von Hanno Böck

Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf. (Bild: PMRMaeyaert, Wikimedia Commons) (PMRMaeyaert, Wikimedia Commons)

TLS 1.3: Die Zukunft der Netzverschlüsselung

Schwache Kryptographie raus, weniger Round-Trips und damit mehr Performance - und außerdem Schmierfett für zukünftige Protokollversionen und Erweiterungen: Die Version 1.3 des TLS-Verschlüsselungsprotokolls kommt bald.

/ 10 Kommentare / Eine Analyse von Hanno Böck

Ertrinken in alten Protokollfehlern? Der DROWN-Angriff zeigt wieder einmal, wie fragil die TLS-Verschlüsselung ist. (Bild: Sarah Madden) (Sarah Madden)

Drown-Angrifff: Ein Drittel der HTTPS-Server angreifbar

Kein moderner Browser unterstützt das alte SSL-Protokoll Version 2. Trotzdem kann es zum Sicherheitsrisiko werden, solange Server es aus Kompatibilitätsgründen unterstützen. Es muss nicht einmal derselbe Server sein.

/ 20 Kommentare / Von Hanno Böck

Ein Tool zum Testen zahlreicher Schwachstellen von XML-Verschlüsselungsimplementierungen. (Bild: Juraj Somorovsky) (Juraj Somorovsky)

Sicherheitslücken: XML-Verschlüsselung mit vielen Fallstricken

Zahlreiche Sicherheitslücken plagen die Standards zum Verschlüsseln und Signieren von XML-Daten. Obwohl die Lücken schon viele Jahre bekannt sind, finden sich nach wie vor viele verwundbare Produkte.

/ 11 Kommentare

Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium. (Bild: Hillstone) (Hillstone)

RSA-CRT: RSA-Angriff aus dem Jahr 1996 wiederentdeckt

Eine Optimierung von RSA-Signaturen kann bei fehlerhaften Berechnungen den privaten Schlüssel verraten. Bekannt ist dieser Angriff schon seit 1996, ein Red-Hat-Entwickler hat jetzt herausgefunden, dass es immer noch verwundbare Hard- und Software gibt.

/ 9 Kommentare

Firefox/Chrome: BERserk hätte verhindert werden können

Die Sicherheitslücke BERserk ist nur deshalb ein Problem, weil einige Zertifizierungsstellen sich nicht an gängige Empfehlungen für RSA-Schlüssel halten. Mit BERserk akzeptieren Firefox und Chrome gefälschte Zertifikate.

/ 3 Kommentare

Seminar: ISO 27001 Foundation mit Zertifikat: virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: Microsoft Power Automate: Flows erstellen & Prozesse automatisieren – virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: 1x1 des Schwachstellenmanagements: Vulnerabilities & Patches – Ein-Tages-Workshop

zum Kurs

Seminar: KI-Einsatz in der IT-Sicherheit: Pentesting, Schwachstellenscans, Reporting – virtueller Zwei-Tage-Workshop

zum Kurs

Das veraltete RSA-Padding-Verfahren führt zu Sicherheitsproblemen. (Bild: Hanno Böck) (Hanno Böck)

RSA-Signaturen: Acht Jahre alte Sicherheitslücke kehrt zurück

Update In der NSS-Bibliothek ist eine Sicherheitslücke entdeckt worden, mit der sich RSA-Signaturen fälschen lassen. Betroffen sind die Browser Chrome und Firefox, für die bereits Updates erschienen sind. Es handelt sich um eine Variante der Bleichenbacher-Attacke von 2006.

/ 7 Kommentare

Das Padding von RSA schafft Probleme. (Bild: Chris Meyer) (Chris Meyer)

Bleichenbacher-Angriff: TLS-Probleme in Java

In der TLS-Bibliothek von Java wurde ein Problem gefunden, welches unter Umständen das Entschlüsseln von Verbindungen erlaubt. Es handelt sich dabei um die Wiederbelebung eines Angriffs, der bereits seit 1998 bekannt ist.

/ 23 Kommentare

Kurse