Zum Hauptinhalt Zur Navigation Zur Suche

SSL

Der Heartbleed-Bug bedroht die Verschlüsselung im Netz. (Bild: Heartbleed.com/Screenshot: Golem.de) (Heartbleed.com/Screenshot: Golem.de)

Sicherheitslücke: Keys auslesen mit OpenSSL

Update Ein Fehler in OpenSSL lässt das Auslesen von Arbeitsspeicher zu. Damit können Angreifer private Keys von Servern erhalten. Eine sichere Verschlüsselung ist nicht mehr gewährleistet. Der Bug betrifft sehr viele Web- und Mailserver im Internet.
/ 90 Kommentare
Erneut gerät die BSAFE-Bibliothek von RSA Security ins Zwielicht. (Bild: RSA Security) (RSA Security)

Dual EC: Angriff auf Zufallsgenerator mit Hintertür

Update Schwächen im Zufallsgenerator Dual EC DRBG lassen sich praktisch ausnutzen, um TLS-Verbindungen anzugreifen. Eine TLS-Erweiterung, die nie standardisiert wurde, erleichtert die Attacke enorm. Schon länger wird vermutet, dass Dual EC eine Hintertür der NSA enthält.
/ 4 Kommentare
Chrome stürzt beim Schicken kurzer Schlüsselaustausch-Parameter ab. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Diffie-Hellman: Unsinnige Krypto-Parameter

Ein kurzer Schlüsselaustausch bringt Chrome zum Absturz, andere Browser akzeptieren völlig unsinnige Parameter für einen Diffie-Hellman-Schlüsselaustausch. Im Zusammenhang mit den jüngst gefundenen TLS-Problemen könnte das ein Sicherheitsrisiko sein.
/ 30 Kommentare
Auch bei GnuTLS heißt es: "goto fail". (Bild: Screenshot Gitorious) (Screenshot Gitorious)

GnuTLS: Fehlerhafte Zertifikate akzeptiert

In der Verschlüsselungsbibliothek GnuTLS ist ein Fehler gefunden worden, der dazu führen kann, dass bösartige, gefälschte Zertifikate akzeptiert werden. Ähnlich wie bei der kürzlich bei Apple entdeckten Lücke spielt ein "goto fail" eine Rolle.
/ 100 Kommentare
Die Golem Newsletter : Das Wichtigste für Techies und IT-Leader auf einen Blick. Jetzt abonnieren
Firefox meldet eine gehackte Webseite mit Malware. (Bild: Mozilla) (Mozilla)

Webspace: Sicherheitsrisiko FTP

Wer eine eigene Webseite betreibt, überträgt sie meist per FTP zum Webhoster. Dabei kommt häufig keine Verschlüsselung zum Einsatz. Kein einziger großer Provider weist seine Kunden auf diese Risiken adäquat hin; bei manchen Providern ist eine verschlüsselte Verbindung überhaupt nicht möglich.
/ 65 Kommentare
Der Triple-Handshake-Angriff ermöglicht böswilligen Servern, sich als Nutzer auszugeben. (Bild: Secure-resumption.com) (Secure-resumption.com)

TLS: Sicherheitslücke bei Client-Authentifizierung

Erneut gibt es Probleme mit dem TLS-Protokoll. Mit der Triple-Handshake-Attacke kann ein bösartiger HTTPS-Server einem weiteren Server vorgaukeln, er hätte das Zertifikat eines Nutzers. Die meisten Anwender sind von dem Angriff vermutlich nicht betroffen.
/ 21 Kommentare
Mac OS X 10.9.2 schließt die SSL-Lücke. (Bild: Andreas Donath/Golem.de) (Andreas Donath/Golem.de)

Gotofail: OS X 10.9.2 patcht SSL-Lücke

Das Update für Mavericks auf OS X 10.9.2 steht zum Download bereit. Auch wenn Apple das nicht ausdrücklich betont, schließt der Patch die Lücke bei der Behandlung von SSL-Verbindungen. Jeder Mac-Nutzer sollte das Update also schleunigst installieren.
/ 27 Kommentare
Sicherheitslücke bei iOS 6 und 7 geschlossen (Bild: Andreas Donath/Golem.de) (Andreas Donath/Golem.de)

iOS und OS X: BSI warnt vor Apples SSL-Lücke

Über seinen Bürgerservice informiert das Bundesamt für Sicherheit in der Informationstechnik über die gravierenden Lücken in Apples Betriebssystemen. Patches für iOS 6 und 7 und das Apple TV gibt es, ein Update für OS X steht aber immer noch aus.
/ 6 Kommentare
Https-Verbindungen in Chrome (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Chrome: OpenSSL statt NSS

Der Chrome-Browser von Google wird künftig für TLS-Verbindungen auf allen Plattformen die Bibliothek OpenSSL verwenden. Die ursprünglich von Netscape entwickelte Bibliothek NSS könnte dadurch an Bedeutung verlieren.
/ 4 Kommentare
Die Sicherheitslücke ist insbesondere bei Single-Sign-On-Apps kritisch. (Bild: Fraunhofer) (Fraunhofer)

Android-Apps: Sicherheitslücke durch fehlerhafte SSL-Prüfung

Das Fraunhofer-Institut für Sichere Informationstechnologie hat mehrere Android-Apps ausfindig gemacht, bei denen die fehlerhafte Prüfung des SSL-Zertifikats den Zugriff auf Zugangsdaten möglich macht. Nur etwa die Hälfte aller kontaktierten Hersteller hat die Sicherheitslücke bisher geschlossen.
/ 8 Kommentare
Google und Yahoo wollen stärker verschlüsseln. (Bild: Washington Post/Screenshot: Golem.de) (Washington Post/Screenshot: Golem.de)

Sicherheit: Google und Yahoo forcieren Verschlüsselung

Die beiden Internetkonzerne Google und Yahoo setzen die Verschlüsselung für ihre Kunden schneller um als bisher. Google hat seine RSA-Schlüssellänge auf 2.048 Bit erhöht, Yahoo will SSL-Verschlüsselung bis zum Ende des ersten Quartals 2014 als Standard umsetzen.
/ 11 Kommentare
Chrome ist künftig strenger bei TLS-Zertifikaten. (Bild: Google) (Google)

Chrome: Strengere Regeln für TLS-Zertifikate

Googles Browser wird künftig Nutzer bei Zertifikaten mit kurzen Schlüsseln und anderen Problemen warnen. Auch eine neue Technologie namens Certificate Transparency, die betrügerische Zertifizierungsstellen identifiziert, soll bald genutzt werden.
/ 6 Kommentare
Verbindung mit Google nach Downgrade-Attacke (Bild: Screenshot Hanno Böck) (Screenshot Hanno Böck)

Browser: Downgrade-Angriffe auf TLS

Neuere Versionen des TLS-Standards verbessern die Verschlüsselung und verhindern bestimmte Angriffe. Das nützt aber praktisch nichts, denn ein aktiver Angreifer kann die Nutzung eines älteren TLS-Standards erzwingen.
/ 12 Kommentare
Schlechte Zufallszahlen führen zu Sicherheitsproblemen. (Bild: Screenshot / Hanno Böck) (Screenshot / Hanno Böck)

OpenSSL: Fork und der Zufall

Der Zufallsgenerator von OpenSSL liefert unter bestimmten Umständen bei mehreren Aufrufen identische Werte, wenn er aus mehreren parallel ablaufenden Prozessen desselben Programms aufgerufen wird.
/ 35 Kommentare
Verschlüsselung im Galois-/Counter-Mode (Bild: NIST) (NIST)

TLS 1.2: Bald bessere Verschlüsselung für Firefox und Chrome

Die von Mozilla entwickelte Verschlüsselungsbibliothek NSS unterstützt in der aktuellen Version den aktuellen TLS-Standard 1.2. Das könnte die in Firefox und Chrome verwendete SSL-Verschlüsselung verbessern. Die Unterstützung für AES im authentifizierten Modus GCM fehlt allerdings noch.
/ 9 Kommentare
Sichere Verbindung mit ECDHE zu Google (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Perfect Forward Secrecy: Zukunftssicher per Schlüsselaustausch

Normalerweise ist verschlüsselte Kommunikation nur sicher, solange die benutzten Schlüssel geheim bleiben. Anders ist das mit einer cleveren Technologie, die auf dem Diffie-Hellman-Verfahren basiert. Die Möglichkeit hierfür ist in TLS vorhanden, aber Browser und Server müssen sie auch nutzen.
/ 49 Kommentare
Dan J. Bernstein (Bild: Alexander Klink / Wikipedia (CC BY 3.0)) (Alexander Klink / Wikipedia (CC BY 3.0))

SSL/TLS: Schwächen in RC4 ausnutzbar

Ein Team um den Kryptografen Dan Bernstein präsentiert neue Sicherheitsprobleme in der von TLS genutzten RC4-Stromverschlüsselung. Praktisch umsetzbar ist der Angriff nur in seltenen Fällen, die Autoren rechnen aber damit, dass er künftig noch verbessert wird.
/ 7 Kommentare