NSS - Network Security Services

Mit der TLS-Erweiterung SNI können beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP gehostet werden. Dabei könnte jedoch der Name der Domain von Dritten belauscht werden. Ein Vorschlag der IETF sieht nun vor, SNI zu verschlüsseln.

Das BSI hat für ein Projekt verschiedene Kryptobibliotheken untersuchen lassen, behält die Ergebnisse jedoch für sich. Golem.de liegt die Analyse mit vielen Details über die Bibliotheken NSS, LibreSSL und Botan dank des Informationsfreiheitsgesetzes vor, darf sie aber nicht veröffentlichen.
Von Hanno Böck

"Tausende von Verbesserungen" verspricht Matthew Miller, Projektleiter der Linux-Distribution Fedora für die aktuelle Version 27. Unter anderem kommen ein neues Gnome, ein 32-Bit-UEFI und ein Fokus-Wechsel von Paketen hin zu Komponenten.

Mit der aktuellen Version 57 des Firefox alias Quantum räumt Mozilla seinen Browser gehörig um. Alte Addons fliegen raus und die Oberfläche bekommt ein neues Aussehen. Schneller wird der Browser dank Rust und dem Ausbau der Multi-Prozess-Architektur, was Jahre an Vorarbeit erfordert hat.
Von Sebastian Grüner

Schwache Kryptographie raus, weniger Round-Trips und damit mehr Performance - und außerdem Schmierfett für zukünftige Protokollversionen und Erweiterungen: Die Version 1.3 des TLS-Verschlüsselungsprotokolls kommt bald.
Eine Analyse von Hanno Böck

Mozilla hat auf der Entwicklermailingliste angekündigt, Zertifikaten von Wosign und Startcom mit der übernächsten Firefox Version 51 nicht mehr zu vertrauen. Die Version ist für den kommenden Januar geplant.

Mit der Volksverschlüsselung soll jeder verschlüsseln können - also zumindest jeder, der einen E-Perso, einen Telekom-Festnetz-Account oder einen Registrierungscode besitzt. Zum offiziellen Start des Projektes gibt es aber weder Quellcode noch ein Written Offer im Sinne der GPL.
Von Hauke Gierow

Forschern ist es gelungen, RSA-Verschlüsselungsoperationen von OpenSSL mittels eines Cache-Timing-Angriffs zu belauschen und so den privaten Key zu knacken. Der Cachebleed-Angriff nutzt dabei Zugriffskonflikte auf den Cache-Speicher.

Neue Angriffe gegen TLS: Krypto-Forscher präsentieren mit Sloth mehrere Schwächen in TLS-Implementierungen und im Protokoll selbst. Am kritischsten ist ein Angriff auf Client-Authentifizierungen mit RSA und MD5.

Eine Optimierung von RSA-Signaturen kann bei fehlerhaften Berechnungen den privaten Schlüssel verraten. Bekannt ist dieser Angriff schon seit 1996, ein Red-Hat-Entwickler hat jetzt herausgefunden, dass es immer noch verwundbare Hard- und Software gibt.

SSLv3 ist aus Firefox 39 endgültig entfernt worden, und RC4 ist nur noch temporär für einige wenige Seiten erlaubt. Das Mozilla-Team erweitert den Schutz des Browsers vor Malware, daneben gibt es noch viele kleinere Neuerungen.

Die Poodle-Sicherheitslücke offenbarte eine Schwäche in der alten SSL-Version 3. Wie sich herausstellte, sind auch viele fehlerhafte TLS-Implementierungen betroffen - ganze zehn Prozent aller Server.

Linux-Nutzer können das HTML5-Streaming von Netflix nun ohne Einschränkungen mit dem Chrome-Browser nutzen. Eine Ankündigung dazu gibt es bisher nicht, die Unterstützung ist aber seit längerem in Vorbereitung.

Die Sicherheitslücke BERserk ist nur deshalb ein Problem, weil einige Zertifizierungsstellen sich nicht an gängige Empfehlungen für RSA-Schlüssel halten. Mit BERserk akzeptieren Firefox und Chrome gefälschte Zertifikate.

In der NSS-Bibliothek ist eine Sicherheitslücke entdeckt worden, mit der sich RSA-Signaturen fälschen lassen. Betroffen sind die Browser Chrome und Firefox, für die bereits Updates erschienen sind. Es handelt sich um eine Variante der Bleichenbacher-Attacke von 2006.

Es fehlt wohl nur ein Bibliotheksupdate, um den HTML5-Player von Netflix auch auf Linux anbieten zu können. Das Filtern des User-Agents soll nach dem Update beendet werden, berichtet ein Mitarbeiter.

Fast unbemerkt haben Entwickler eine weitere Sicherheitslücke in der Kryptobibliothek GnuTLS geschlossen. Anwendungen, die die Bibliothek nutzen, müssen jedoch ebenfalls angepasst werden.

Die Spezifikation der TLS-Verschlüsselung ist ein Gemischtwarenladen aus exotischen Algorithmen und nie benötigten Erweiterungen. Es ist Zeit für eine große Entrümpelungsaktion.
Von Hanno Böck

Der Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Wir haben die wichtigsten Infos zusammengefasst.
Von Hanno Böck

Ein kurzer Schlüsselaustausch bringt Chrome zum Absturz, andere Browser akzeptieren völlig unsinnige Parameter für einen Diffie-Hellman-Schlüsselaustausch. Im Zusammenhang mit den jüngst gefundenen TLS-Problemen könnte das ein Sicherheitsrisiko sein.

In der Verschlüsselungsbibliothek GnuTLS ist ein Fehler gefunden worden, der dazu führen kann, dass bösartige, gefälschte Zertifikate akzeptiert werden. Ähnlich wie bei der kürzlich bei Apple entdeckten Lücke spielt ein "goto fail" eine Rolle.

Der Chrome-Browser von Google wird künftig für TLS-Verbindungen auf allen Plattformen die Bibliothek OpenSSL verwenden. Die ursprünglich von Netscape entwickelte Bibliothek NSS könnte dadurch an Bedeutung verlieren.

30C3 2013 war kein gutes Jahr für die Verschlüsselung. Auch jenseits des NSA-Skandals gab es etliche Schwachstellen, die zwar bereits bekannt waren, 2013 aber akut wurden.

Mit Nidium haben Entwickler eine von Grund auf neu entwickelte Browser-Engine vorgestellt. Sie ist für künftige Generationen von Web-Apps ausgelegt, die sich nicht von Desktop-Apps oder nativen mobilen Apps unterscheiden.

Die TLS-Schnittstelle von Windows lädt automatisch fehlende Zertifizierungsstellen nach. Das sowieso schon kritisierte System der TLS-Zertifizierung wird dadurch noch unsicherer.

Die von Mozilla entwickelte Verschlüsselungsbibliothek NSS unterstützt in der aktuellen Version den aktuellen TLS-Standard 1.2. Das könnte die in Firefox und Chrome verwendete SSL-Verschlüsselung verbessern. Die Unterstützung für AES im authentifizierten Modus GCM fehlt allerdings noch.

Ein Team um den Kryptografen Dan Bernstein präsentiert neue Sicherheitsprobleme in der von TLS genutzten RC4-Stromverschlüsselung. Praktisch umsetzbar ist der Angriff nur in seltenen Fällen, die Autoren rechnen aber damit, dass er künftig noch verbessert wird.

Forscher der Royal Holloway University in London haben eine Möglichkeit gefunden, um die im Web genutzten Verschlüsselungsverfahren SSL, TLS und DTLS auszuhebeln. Betroffen sind praktisch alle Implementierungen.

Für die Groupware Kolab haben Entwickler ein Evolution-Plugin veröffentlicht. Ein Kolab-Frontend für Gnome gab es bislang nicht. Das Plugin lässt sich gegenwärtig nur unter Ubuntu 10.04 installieren.

Mozilla-Entwickler David Dahl hat mit DOMCrypt eine Firefox-Erweiterung entwickelt, die im Browser ein Objekt mit Verschlüsselungsfunktionen bereitstellt. Sie könnte künftig direkt in Browser integriert werden, um die Sicherheit der Nutzerdaten zu erhöhen.

Ulrich Drepper hat einen Ausblick auf die Version 10 der GNU-C-Bibliothek (Glibc) gegeben. Die neue Version ist unter anderem zu POSIX 2008 kompatibel.

Die Linux Foundation hat eine erste Beta der Linux Standard Base 4.0 (LSB) veröffentlicht. Sie enthält neue Werkzeuge für Programmierer und eine Spezifikation für Shellskripte. Die fertige Version soll noch 2008 erscheinen.

Die Entwicklung von Mozillas Onlinedienst Weave macht Fortschritte und wurde in einer neuen Entwicklerversion veröffentlicht. Die Onlinedienste sollen künftig den Browser Firefox ergänzen, wobei Lesezeichen, besuchte Webseiten oder Browsereinstellungen auf einem Server gespeichert werden, so dass sie leicht auf andere Rechner übertragen werden können.

Der Linux-Anbieter Red Hat hat seine Sicherheitssoftware Certificate System komplett als Open Source veröffentlicht. Die Lösung ist zum Indentitätsmanagement in heterogenen Umgebungen bestimmt und setzt eine vollständige Public-Key-Infrastruktur ein. Durch die Veröffentlichung der bisher nicht frei erhältlichen Komponenten lässt sich das Certificate System nun in andere Open-Source-Lösungen integrieren.

Red Hat hat den Directory Server 8 freigegeben, der nun den Standard-Update-Prozess über das Red Hat Network nutzen kann. Die neue Version unterstützt zusätzliche Plattformen, Sicherheitsfunktionen und IPv6.

Das neue Red Hat Enterprise Linux (RHEL) 5.1 verbessert vor allem die Virtualisierungsfunktion in Bezug auf unmodifizierte Gastsysteme wie Windows. Zusätzlich gibt es Kernel-Verbesserungen und aktualisierte Hardware-Treiber.

Es wurde bereits erwartet, ist vom Mozilla-Team aber immer noch nicht offiziell angekündigt worden: Das Sicherheits-Update für den E-Mail-Client Thunderbird findet sich auf den Mozilla-Seiten, nachdem bereits entsprechende Patches für Firefox und SeaMonkey erschienen sind. Die aktuelle Version schließt zwei Sicherheitslücken in Thunderbird.

Sun will sein Betriebssystem Solaris mit den "Trusted Extensions für Solaris 10" zum sichersten Betriebssystem auf dem Planeten machen, heißt es in einer vollmundigen Ankündigung. Die Erweiterungen sollen mehr Flexibilität bieten als das bisher erhältliche Trusted Solaris.

Wie angekündigt hat Red Hat den von AOL übernommenen Netscape Directory Server unter dem Namen Fedora Directory Server in Version 1.0 komplett als Open Source freigegeben. Der LDAP-Server soll das Management durch Zentralisierung von Anwendungseinstellungen, Benutzerprofilen, Gruppendaten, Richtlinien und Zugriffskontrollinformationen in einer netzwerkbasierten Datenbank vereinfachen.

Iomega hat die Ergebnisse seiner Geschäftstätigkeit im letzten Quartal bekannt gegeben. Demnach erzielte das Unternehmen Umsätze in Höhe von 72,9 Millionen US-Dollar und musste einen Verlust von 5,9 Millionen US-Dollar hinnehmen.

Novell hat eine Beta-Version seines neuen Open Enterprise Server veröffentlicht, der Novell NetWare und Suse Linux miteinander verbindet. So soll der Open Enterprise Server die beiden Welten verbinden, denn die Nutzer haben mit der Software die Wahl, ob sie die benötigten Dienste auf der NetWare-Plattform oder dem Suse Linux Enterprise Server 9 aufsetzen wollen.

Das Mozilla-Team hat überraschend - kurz vor Erscheinen des stabilen Zweigs von Mozilla 1.7 - eine aktualisierte Version von Mozilla 1.4.x zum Download bereitgestellt. Mit Mozilla 1.4.2 wird ein Sicherheitsloch beseitigt, das bei eingebundenen URLs falsche Angaben in der Status-Zeile anzeigte. Zudem werden einige Programmfehler bereinigt; neue Funktionen gibt es nicht.

Zum neunten Mal legt die PC-Welt mit der "Brand Awareness International 2002" die nach Eigenangaben größte internationale Marken-Image-Studie für den IT-Markt vor. Sie soll die Markenbekanntheit, das Marken-Image und das Marktpotenzial von IT-Produkten in 16 Produktsegmenten aus 284 Marken aufzeigen - von Desktop-PCs und Handys über Peripheriegeräte bis hin zu Online-Dienstleistern.

Novell bringt ab dem 15. November 2001 die deutsche Version von NetWare 6 auf den Markt. Die neue Generation des Netzwerkbetriebssystems macht Informationen aus Unternehmensnetzwerken weltweit nutzbar. Neue Funktionen wie Novell iFolder, ein virtuelles Internet-basierendes Arbeitsverzeichnis, und Novell iPrint ermöglichen das Bearbeiten und Ausdrucken von Dateien über das Internet.

Novell hat gestern in München mit NetWare 6 die nächste Generation seines Netzwerkbetriebssystems vorgestellt, das Informationen aus Unternehmensnetzwerken weltweit nutzbar machen soll. Mitarbeiter haben über einen Browser jederzeit und überall Zugriff auf wichtige Daten und Netzservices.

Das Mozilla-Team hat Anfang März die Version 3.2 der Network Security Services (NSS 3.2) veröffentlicht, die eine deutlich bessere Performance bei SSL-Verbindungen, Unterstützung von Shared Libraries und bessere Unterstützung von Tools bieten soll.

Das Mozilla-Team hat die eigene Roadmap seines Projekts überarbeitet. Dabei geht es weniger um eine Verschiebung der Termine als vielmehr um konzeptionelle Modifikationen, die der Änderung der Umstände des Projekts Rechnung tragen sollen.