IETF

Ein neuer Verschlüsselungsmodus für TLS: ChaCha20 im Poly1305-Modus wurde jetzt standardisiert. (Bild: BeenAroundAWhile / Wikimedia Commons) (BeenAroundAWhile / Wikimedia Commons)

RFC 7905: ChaCha20-Verschlüsselung für TLS standardisiert

Mit RFC 7905 gibt es nun eine Spezifikation, um den Verschlüsselungsalgorithmus ChaCha20 im Poly1305-Modus in TLS zu nutzen. Der von Dan Bernstein entwickelte Algorithmus ist insbesondere auf Geräten ohne Hardware-AES-Unterstützung schneller als mögliche Alternativen.

2 Kommentare

Wenn ein Staat den Zugang zu Code unterbinden möchte, könnte Github künftig darauf hinweisen. (Bild: Github.com) (Github.com)

HTTP 451: Github weist auf Zensur und staatliche Löschaufträge hin

Der neue HTTP-Statuscode 451 soll auf staatliche Zensurmaßnahmen und ähnliche Löschaufforderungen durch Behörden hinweisen. Der Projekthoster Github hat den Status nun umgesetzt und liefert auch einen Grund dafür mit.

21 Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Eigene AI Agents entwickeln und Workflows automatisieren

zum Artikel

Karriere Ratgeber: Wer krank zur Arbeit geht, zahlt wochenlang dafür

zum Ratgeber

Seminar: Advanced Python – Advanced Programming Techniques: 3-Day Virtual Seminar (English)

zum Kurs

E-Learning: PowerShell Komplettpaket: 3 Kurse im Paket (E-Learning)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Fachinformatiker (m/w/d) als Softwaretester Thüringer Staatslotterie AöR, Suhl (öffnet im neuen Fenster)

Informationssicherheitsbeauftragter (m/w/d) qards GmbH, München,Saarbrücken (öffnet im neuen Fenster)

System Engineer Windows / Active Directory (m/w/d) Finanz Informatik GmbH & Co. KG, Frankfurt am Main,Münster,Hannover (öffnet im neuen Fenster)

Gruppenleitung Enterprise Application (m/w/d) Steag Iqony Group, Essen (öffnet im neuen Fenster)

Application Engineer* Robotics & Vision HARTING Applied Technologies GmbH, Espelkamp (öffnet im neuen Fenster)

Schwachstellenmanager (m/w/d) Finanz Informatik GmbH & Co. KG, Münster,Hannover,Frankfurt am Main (öffnet im neuen Fenster)

Hybrid Cloud Manager (m/w/d) speira GmbH, Grevenbroich (öffnet im neuen Fenster)

Senior DevOps / Platform Engineer (m/w/d) für Kubernetes & API-Plattform Deep Content GmbH, Hannover (öffnet im neuen Fenster)

Kostenlose, offene WLAN-Zugänge sind in Deutschland selten verfügbar. Wird das so bleiben? (Bild: Bence Damokos/Wikimedia Commons) (Bence Damokos/Wikimedia Commons)

Captive Portals: Ein Workaround, der bald nicht mehr funktionieren wird

Sogenannte Captive Portals, Vorschaltseiten, die in vielen WLANs zum Einsatz kommen, sind ein fragwürdiger Hack, der bald zu technischen Problemen führen wird. Trotzdem will die Bundesregierung ihnen jetzt Gesetzesrang verschaffen.

99 Kommentare

Neue elliptische Kurven sollen den Schlüsselaustausch sicherer machen. (Bild: HandsLive, flickr) (HandsLive, flickr)

Curve25519/Curve447: Neue elliptische Kurven von der IETF

Die Krypto-Arbeitsgruppe der IETF hat RFC 7748 veröffentlicht. Darin spezifiziert sind die zwei elliptischen Kurven Curve25519 und Curve447. Sie sind das Ergebnis einer langen Diskussion.

1 Kommentare

MAC-Adressen könnten zur Verfolgung von Personen genutzt werden. (Bild: Flickr.com, Christiaan Colen) (Flickr.com, Christiaan Colen)

Linux: Networkmanager 1.2 verbessert Privatsphäre der Nutzer

Linux-Nutzer können mit der kommenden Version 1.2 des Networkmanagers ihre Privatsphäre schützen, indem Mac-Adressen zufällig erzeugt und IPv6-Adressen abgesichert werden. Weitere neue Funktionen verbessern den Umgang mit der Software.

42 Kommentare

Twittervogel verhaftet: Die Türkei ist eines von vielen Ländern, in denen das Internet zensiert wird. (Bild: Ozan Kose/Getty Images) (Ozan Kose/Getty Images)

Neuer HTTP-Fehlercode: 451 - diese Seite wird zensiert

Die HTTP-Fehlermeldung "404 - Seite nicht gefunden" kennt jeder. Jetzt gibt es einen neuen Statuscode für zensierte Inhalte. Seine Zahlenfolge ist keineswegs zufällig gewählt.

85 Kommentare / Von

DSLTE: Intel und Ericsson konkurrieren mit Telekom-Hybrid-Technik

Mit der Hybridtechnik von Intel und Ericsson sollen Datenraten von bis zu 300 MBit/s durch Bündelung möglich sein. Es ist eine Kampfansage an Huawei, die Telekom und Viprinet.

8 Kommentare

Namensgeber für die Kompression: Brötchen oder auf schweizerdeutsch: Brötli (Bild: Wikimedia, Wouter Hagens) (Wikimedia, Wouter Hagens)

Brotli: Mozilla und Google finden "bro" unpassend

Die Abkürzung "bro" für die Brotli-Kompression halten die Beteiligten von Google und Mozilla für unangemessen, da diese einige Menschen verärgern könnte. Mit der neuen Abkürzung "br" wird Brotli auch mehr Erfolg bei der Standardisierung zugetraut.

135 Kommentare

Seminar: Microsoft Power Apps, Power Automate & AI Builder: virtueller Ein-Tages-Workshop

zum Kurs

Seminar: IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: KI AI Act Training für Anwender mit Zertifikat: virtueller Ein-Tages-Workshop

zum Kurs

Seminar: Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop

zum Kurs

Die Videolan-Community vereint einen großten Teil der freien Software zur Multimediaunterstützung. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Lizenzkostenfreier Videocodec: Aus drei mach eins

In der Alliance for Open Media wollen Webfirmen einen neuen freien Videocodec erstellen, wofür es jedoch gleich drei mögliche Kandidaten gibt. Deren Entwickler sagen auf der VLC-Jahreskonferenz zwar, dass es noch keine konkreten Pläne für eine Zusammenarbeit gebe, tatsächlich hat die aber schon längst begonnen.

19 Kommentare / Von Sebastian Grüner

Populäre Webbrowser: bald ohne RC4 (Bild: Interactiveme) (Interactiveme)

Verschlüsselung: Microsoft, Google und Mozilla schalten RC4 2016 ab

Es ist ein überfälliger Schritt: Microsoft, Google und Mozilla haben angekündigt, den unsicheren Verschlüsselungsalgorithmus RC4 ab 2016 in ihren Produkten endgültig nicht mehr zu verwenden. Ein konkretes Datum nennt bislang jedoch nur Mozilla.

6 Kommentare

Bei GMX und Web.de lassen sich E-Mails per PGP verschlüsseln. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

IT-Sicherheit: GMX und Web.de bieten PGP und führen DANE ein

Mehr Sicherheit bei den E-Mail-Diensten GMX und Web.de: Ab sofort können Anwender ihre E-Mails per PGP verschlüsseln. Zusätzlich wollen die beiden Dienste den E-Mail-Verkehr zwischen Servern mit dem offenen Standard DANE absichern.

47 Kommentare

Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes (Bild: Dan Kaminsky) (Dan Kaminsky)

Clickjacking: Mehr Web-Usability durch sichtbare Iframes

Def Con 23 Der Sicherheitsforscher Dan Kaminsky schlägt einen neuen Standard vor, mit dem Webseiten in Iframes kontrollieren können, ob sie gerade sichtbar sind. Viele unelegante Lösungen, die wegen sogenannter Clickjacking-Angriffe nötig sind, wären damit vermeidbar.

24 Kommentare

Die Icann könnte im Juli 2016 aus der Aufsicht der US-Regierung entlassen werden. (Bild: Andrew Cowie/AFP/GettyImages) (Andrew Cowie/AFP/GettyImages)

Vorschlag zu Icann-Übergabe: Es wird kompliziert

CSC, IFR, SCWG: Mehrere neue Gremien sollen in Zukunft die Arbeit der Internetverwaltung Icann kontrollieren und organisieren. Bis Anfang September kann der 199-seitige Reformvorschlag kommentiert werden. Doch im US-Senat formiert sich Widerstand.

4 Kommentare

Edward Snowden (Bild: Wikileaks.org/Screenshot: Golem.de) (Wikileaks.org/Screenshot: Golem.de)

Anonymisierung: Edward Snowden fordert mehr Schutz für Internetnutzer

Die Identität sollte im Internet von der Person nachhaltig getrennt werden: Diesen Appell richtete Edward Snowden an die Teilnehmer des 93. Treffens der Mitglieder der Internet Engineering Task Force und machte dazu auch einige Vorschläge.

26 Kommentare

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Nicht immer wird man beim Berufseinstieg mitgenommen. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Per Anhalter durch die IT-Branche

Die Nachschlagephase von RC4 bei einem Alphabet der Größe eines Bytes. (Bild: Matt Crypto/Public Domain) (Matt Crypto/Public Domain)

Verschlüsselung: Der lange Abschied von RC4

Er ist angreifbar - und die NSA liest angeblich mit: Die Internet Engineering Taskforce hat den Einsatz des einst beliebtesten Verschlüsselungsalgorithmus RC4 untersagt. Doch Sicherheit lässt sich nicht einfach verordnen.

22 Kommentare / Von Hauke Gierow

Puzzles sollen Server vor DDoS-Angriffen über TLS schützen. (Bild: Flickr.com Brad Montgomery - CC-BY-2.0) (Flickr.com Brad Montgomery - CC-BY-2.0)

IETF: Rätselaufgaben gegen DDoS-Angriffe auf TLS

Ein Akamai-Mitarbeiter beschreibt, wie mit einfachen Rechenaufgaben DDoS-Angriffe durch Clients auf TLS-Verbindungen minimiert werden könnten. Die Idee ist zwar noch ein Entwurf, könnte aber als Erweiterung für TLS 1.3 standardisiert werden.

24 Kommentare

Firefox 39 verzichtet auf alte Verschlüsselungstechnik. (Bild: Mozilla - CC-BY-SA 3.0) (Mozilla - CC-BY-SA 3.0)

Mozilla: Firefox 39 schmeißt alte Krypto raus

SSLv3 ist aus Firefox 39 endgültig entfernt worden, und RC4 ist nur noch temporär für einige wenige Seiten erlaubt. Das Mozilla-Team erweitert den Schutz des Browsers vor Malware, daneben gibt es noch viele kleinere Neuerungen.

39 Kommentare

Die Poodle-Sicherheitslücke hat das Ende von SSL Version 3 besiegelt. (Bild: Living in Monrovia/Wikimedia Commons/CC by-sa 2.0) (Living in Monrovia/Wikimedia Commons/CC by-sa 2.0)

Verschlüsselung: SSL Version 3 soll endgültig verschwinden

Seit der Poodle-Attacke ist klar, dass das uralte Protokoll SSL 3 nicht mehr sicher ist. Mit RFC 7568 gibt es jetzt ein offizielles Dokument, das den Einsatz des ursprünglich von Netscape entwickelten Verschlüsselungsprotokolls verbietet.

10 Kommentare

Dan Bernstein hat Chacha20 entwickelt. (Bild: Ordercrazy, Wikimedia Commons) (Ordercrazy, Wikimedia Commons)

Ersatz für RC4: Expertengremium standardisiert Chacha20

Ein Expertengremium der Internet Research Task Force hat mit Chacha20 eine Stromchiffre als Ersatz für RC4 standardisiert. Genaue Regeln für die Verwendung in TLS stehen aber noch aus.

3 Kommentare

Die IETF hat HTTP/2 offiziell als Standard veröffentlicht. (Bild: IETF) (IETF)

RFC-Veröffentlichung: HTTP/2-Standard endgültig erschienen

Der RFC-Standard zu HTTP/2 ist von der IETF offiziell veröffentlicht worden. Die Protokollversion ist damit unveränderlich und kann künftig nur durch einen neuen Standard revidiert werden.

12 Kommentare

Bestimmte Bits im RC4-Schlüsselstrom sind bei selten auftretenden schwachen Schlüsseln vorhersehbar. (Bild: Imperva) (Imperva)

Verschlüsselung: Kryptographen zeigen neue Angriffe gegen RC4

Eine bislang wenig beachtete Schwäche von RC4 nutzt der Kryptograph Itsik Mantin für seine neue Angriffsmethode. Ein weiterer kürzlich vorgestellter Angriff betrifft IMAP-Verbindungen.

Kommentare

Immer mehr Probleme im alten Verschlüsselungsalgorithmus RC4 werden bekannt. (Bild: SeppVei/Wikimedia Commons) (SeppVei/Wikimedia Commons)

IETF: RC4 in TLS offiziell nicht mehr erlaubt

Die RC4-Verschlüsselung darf laut dem neuen RFC 7465 nicht mehr für TLS-Verbindungen genutzt werden. Der Algorithmus gilt schon lange als problematisch, Details über neue Angriffe sollen in Kürze veröffentlicht werden.

8 Kommentare

Nur noch das IETF-Leitungsgremium muss HTTP/2 zustimmen. (Bild: IETF) (IETF)

IETF: HTTP 2.0 ist fertig

Die Diskussionen um den HTTP/2-Standard sind beendet. Der fertige Entwurf wird bald als RFC publiziert. HTTP/2-fähige Browser und Server sollten nicht lange auf sich warten lassen.

38 Kommentare

Firefox Hello benutzt WebRTC zum Videochat im Browser. (Bild: Mozilla/Screenshot: Golem.de) (Mozilla/Screenshot: Golem.de)

W3C: Entwurf von WebRTC 1.0 erschienen

Das W3C hat einen Entwurf für die erste stabile Version der WebRTC-Spezifikation veröffentlicht. Der Diskussionsprozess ist damit wohl fast abgeschlossen, noch gibt es aber einige Fehler.

4 Kommentare

IETF: HTTP/2-Spezifikation kurz vor Standardisierung

In wenigen Wochen könnte HTTP/2 offiziell standardisiert werden. Die zuständige Arbeitsgruppe hat die Entscheidung an das IETF-Leitungsgremium übergeben, noch sind aber Kommentare zugelassen. Zuletzt sind die Details zur Verschlüsselung erweitert worden.

5 Kommentare

Elliptische Kurven sind die Grundlage vieler moderner Public Key-Verfahren. (Bild: Tos, Wikimedia Commons) (Tos, Wikimedia Commons)

Elliptische Kurven: Microsoft akzeptiert Curve25519

Curve25519 wird voraussichtlich bald von der IETF-Kryptographie-Arbeitsgruppe standardisiert werden. Nach längeren Diskussionen um Alternativvorschläge von Microsoft hat es ein Einlenken gegeben.

58 Kommentare

Für die Verschlüsselung im Netz werden neue elliptische Kurven gesucht. (Bild: Pixabay) (Pixabay)

Bernstein gegen Microsoft: Die Suche nach neuen Kurven

Die Kryptographie-Arbeitsgruppe der IETF will neue elliptische Kurven standardisieren. Curve25519 von Daniel Bernstein gilt als Favorit, doch Microsoft-Techniker sträuben sich dagegen.

37 Kommentare

Die für den Firefox vorgesehene WebRTC-Anwendung (Bild: Mozilla/CC-BY-SA 3.0) (Mozilla/CC-BY-SA 3.0)

IETF: VP8 und H.264 werden WebRTC-Standard

Der Streit um den Standard-Codec in WebRTC ist beigelegt. Sowohl das freie VP8 als auch H.264, das Patenten und Lizenzkosten unterliegt, müssen standardmäßig genutzt werden können. Die Details sind aber etwas komplizierter.

9 Kommentare

Webseiten können Schlüssel künftig mittels Key Pinning festnageln. (Bild: Schumi4ever, WikimediaCommons, CC by-sa 3.0) (Schumi4ever, WikimediaCommons, CC by-sa 3.0)

HTTPS-Zertifikate: Key Pinning schützt vor bösartigen Zertifizierungsstellen

Eine bislang wenig beachtete HTTPS-Erweiterung mit dem Namen HTTP Public Key Pinning (HPKP) steht kurz vor ihrer Standardisierung. Durch Public Key Pinning könnten viele Probleme mit den Zertifizierungsstellen gelöst werden.

19 Kommentare

Timing-Angriffe sind ein oft unterschätztes Sicherheitsproblem. (Bild: Wilfredor/Wikimedia Commons) (Wilfredor/Wikimedia Commons)

Verschlüsselung: Encrypt-then-MAC für TLS standardisiert

Eine neue TLS-Erweiterung ermöglicht es, die Reihenfolge zwischen Authentifizierung und Verschlüsselung zu ändern. Die bisherige Methode führte zu Sicherheitsproblemen wie der Lucky-Thirteen-Attacke.

Kommentare

Unter dem Namen Projekt Hacienda suchen Geheimdienste weltweit nach Schwachstellen in Endgeräten. (Bild: NSA/GCHQ/Heise) (NSA/GCHQ/Heise)

Operation Hacienda: Die Botnets der Geheimdienste

Die NSA und das GCHQ gehen nicht gezielt gegen Gegner vor, vielmehr scannen sie mit ihrem Programm Hacienda das gesamte Netz, um über Schwachstellen sogenannte Operational Relay Boxes (ORB) einzurichten. Diese sollen den Datenverkehr der Geheimdienste verschleiern.

8 Kommentare

Die letzte Runde für Veränderungen an HTTP/2.0 hat begonnen. (Bild: IETF) (IETF)