Verschlüsselung

Wegen fehlender Ende-zu-Ende-Verschlüsselung rät der Bundesdatenschutzbeauftragte von der Nutzung von Zoom ab. Doch was wäre eine Alternative?

Mit den aktuellen Insider-Builds von Windows lässt sich erstmals DNS über HTTPS auf Betriebssystemebene aktivieren.

Der IT-Dienstleister bestätigt nun auch offiziell, dass Matrix für Verschlusssachen genutzt werden soll.

Dafür waren große Umbauarbeiten an der Oberfläche notwendig. Das Team des freien Matrix-Chats hat mehr als drei Jahre daran gearbeitet.

Eine Erweiterung von WebRTC soll verschlüsselte Videostreams weiterleiten können.

Die russischen Eigner haben ICQ neu aufgelegt, machen aber widersprüchliche Angaben zur Sicherheit. Verschlüsselung gibt es nicht.

Für den Kampf gegen Kindesmissbrauch könnten die USA Ende-zu-Ende-Verschlüsselung praktisch verbieten. Dagegen dürfte es Widerstand geben.

Die elektronische Patientenakte soll schon von 2021 an Gesundheitsdaten speichern. Ein sinnvoller Datenschutz folgt erst ein Jahr später.

Kein Internet, kein Problem: Der Messenger Briar funktioniert auch ohne und bietet starke Anonymisierung.
Von Moritz Tremmel

Die Coronavirus-Pandemie schränkt auch die Arbeit der Justiz stark ein. Hinzu kommen Probleme mit dem BeA.

Auch ohne Hintertür von Apple können US-Ermittler inzwischen die aktuellen iPhones auslesen. Dennoch beklagen sie sich über den hohen Aufwand für das Entsperren der Geräte.

Der Enthüllungsjournalist Glenn Greenwald ist ein entschiedener Gegner des brasilianischen Präsidenten Bolsonaro. Nun bekommt er in seinem Gastland Ärger mit der Justiz nach einem Leak.

Auf Bitten des FBI hat Apple offenbar vor zwei Jahren Pläne für ein iPhone-Backup in der iCloud verworfen. Einer Reuters-Quelle zufolge wollte Apple dadurch einem Streit mit Beamten aus dem Weg gehen - geholfen hat es indes nicht.

Ein Hashwert soll eindeutig sein, doch für SHA-1 gilt das nicht mehr. Forscher zeigten, dass sie verschiedene Dateien auffüllen können, um den gleichen SHA-1-Hash zu erzeugen und illustrierten dies anhand von GnuPG-Signaturen.

36C3 Von 2021 an soll jeder Kassenpatient auf Wunsch eine elektronische Patientenakte erhalten. Doch die Zugangssysteme sind nach Ansicht des CCC nicht so gut geschützt, wie Politik und Anbieter es versprechen.

Die Bundeswehr soll künftig einen eigenen verschlüsselten Messenger zur Kommunikation nutzen. Dafür wird derzeit der Einsatz des Open-Source-Projekts Matrix getestet. Die Verwaltung der Bundesregierung probiert aber auch andere Lösungen aus.

Im Mai hat das BSI verkündet, OpenPGP für den Dienstgebrauch freigegeben zu haben. Etwas später sind Pressemitteilung und Zulassung kommentarlos von der Webseite verschwunden. Golem.de hat die Zulassungsdokumente eingesehen und zeigt den holprigen Weg des BSI vom Ja über das Nein zum Vielleicht.
Von Moritz Tremmel

Der Truecrypt-Audit des BSI, über den wir gestern berichtet hatten, stammte von den Firmen Sirrix - heute Rohde und Schwarz - und Escrypt. Sirrix entwickelte daraufhin einen Fork namens TrustedDisk, der als Open Source veröffentlicht werden sollte - was nie passiert ist.
Ein Bericht von Hanno Böck

The German Federal Office for Information Security has created a detailed analysis of the software Truecrypt in 2010. The results ended up in the drawer, the public was not informed about the found security risks.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2010 eine umfangreiche Analyse der Verschlüsselungssoftware Truecrypt erstellen lassen. Die Ergebnisse landeten in der Schublade, die Öffentlichkeit wurde über die zahlreichen gefundenen Sicherheitsrisiken nicht informiert.
Ein Bericht von Hanno Böck

Forscher haben auf einem Rechencluster eine 795 Bit große Zahl faktorisiert. Das RSA-Verschlüsselungs- und Signaturverfahren basiert darauf, dass Faktorisierung schwierig ist. Für die praktische Sicherheit von RSA mit modernen Schlüssellängen hat dieser Durchbruch heute aber wenig Bedeutung.

In Frankreich und der Schweiz gibt es sie schon, in Deutschland sucht man noch danach: Messenger für die Bundesbehörden. Der Bundesdatenschutzbeauftragte schlägt vor, sich an der französischen Lösung zu orientieren, während die Bundespolizei mit XMPP experimentiert.

Eine Klage von Rechtsanwälten, die fordern, dass im besonderen elektronischen Anwaltspostfach (BeA) eine Ende-zu-Ende-Verschlüsselung umgesetzt wird, ist vorerst gescheitert. Der Anwaltsgerichtshof mochte den Argumenten der Kläger nicht folgen, eine Revision ist aber möglich.

Mit einem Timing-Angriff lassen sich Signaturschlüssel auf Basis elliptischer Kurven aus TPM-Chips extrahieren. Mal wieder scheiterten Zertifizierungen daran, diese Fehler frühzeitig zu finden.

Google plant, dass der Chrome-Browser künftig Mixed Content in Webseiten komplett blockiert. Das heißt, HTTP-Subressourcen können dann nicht mehr in HTTPS-Seiten geladen werden.

Mussten sich Nutzer früher Enigmail und GnuPG installieren, soll Thunderbird bald alles, was man zur Verschlüsselung von E-Mails mit PGP braucht, mitbringen. Das bedeutet aber auch das Ende von Enigmail in Thunderbird.

Erstmals haben die USA mit einem anderen Staat den schnellen Austausch von elektronischen Beweismitteln vereinbart. Großbritannien akzeptiert den Zugriff von US-Behörden "ohne rechtliche Hürden".

Facebooks Bemühungen um einen besseren Datenschutz scheinen nicht allen Regierungen zu gefallen. Die USA, Großbritannien und Australien wollen weiterhin Zugriff auf Textnachrichten haben. Das beschütze "unsere Kinder", heißt es in einem Brief an Mark Zuckerberg.

Forscher konnten zeigen, wie sie mit einem Timing-Angriff die privaten Schlüssel von Signaturen mit elliptischen Kurven auslesen konnten. Verwundbar sind Chips, deren Sicherheit eigentlich zertifiziert wurde.

Passwortgeschützte PDF-Dateien bieten wenig Sicherheit. Ein Angreifer, der die Dateien manipulieren kann, kann dafür sorgen, dass deren Inhalt geleakt wird. Abhilfe gibt es nicht, dafür müsste das Dateiformat geändert werden.

Ein Abkommen zwischen den USA und Großbritannien soll der Polizei den einfacheren Zugriff auf die Social-Media-Plattformen ermöglichen. Das Abkommen enthält jedoch mehrere Beschränkungen und soll bereits im Oktober unterzeichnet werden.

Als Reaktion auf die katastrophale Koordination rund um die Sicherheitslücken Meltdown und Spectre hat der Linux-Entwickler Thomas Gleixner Software für eine verschlüsselte Mailingliste erstellt und als Open Source veröffentlicht.

Neben Kryptohandys dürfen Behördenmitarbeiter nun auch auf iPhones Vertrauliches miteinander besprechen - vorausgesetzt, sie verwenden eine App der Telekom.

Die großen Browser-Hersteller wollen im kommenden Frühjahr die alten TLS-Versionen 1.0 und 1.1 komplett deaktivieren. Die Firefox-Entwickler werden das in ihrer Nightly-Version testen.

Um das Internet als Einheit zu erhalten und damit Nutzer weiterhin das notwendige Vertrauen in die Technik haben können, formuliert das Internet Architecture Board nun klare Richtlinien, denen Gesetzgeber folgen sollten.

Mit einem einfachen Trick kann ein Sicherheitsupdate von Logitech umgangen werden. Damit lassen sich weiterhin Eingaben von kabellosen Tastaturen abgreifen - oder Schadcode eintippen. Dabei hatte Logitech nicht einmal alle Sicherheitslücken behoben.

Die Bundesrechtsanwaltskammer erhofft sich vom neuen Betreiber des besonderen elektronischen Anwaltspostfachs einen zuverlässigen und sicheren Weiterbetrieb. Atos ist damit zum Ende des Jahres raus.

Vor etwa einem Jahr hat Tesla neue Schlüsselchips mit einer stärkeren Verschlüsselung herausgebracht, weil das Vorgängermodell gehackt wurde. Nun konnte ein Wissenschaftler auch diese klonen - und damit beliebige Model S öffnen und starten.

Die Verschlüsselung des Bluetooth-Protokolls lässt sich einfach aushebeln, ein Angreifer kann die Schlüssellänge kontrollieren und auf eine triviale Größe reduzieren. Abhilfe ist nicht in Sicht, die Bluetooth-Standardisierungsgruppe will die Schlüssellänge nur minimal erhöhen.

Kasachstan hat Nutzer angewiesen, ein Root-Zertifikat zur Überwachung ihrer verschlüsselten TLS-Verbindungen zu installieren. Jetzt dürfen diese das Zertifikat wieder löschen - zumindest vorläufig.

Wie lange ein kryptografisches Verfahren braucht, kann ungewollt Informationen verraten. Mit einer solchen Schwachstelle konnten Forscher Passwörter bei der WLAN-Verschlüsselung WPA3 knacken.

Mail rechtzeitig verschickt, Frist aber trotzdem versäumt: Das BeA kommt mit Umlauten nicht klar, der Absender einer Nachricht erfährt davon aber nichts.

Mit der Firmware Logitacker und einem USB-Funk-Stick für rund 10 Euro lassen sich kabellose Mäuse und Tastaturen von Logitech leicht hacken. Angreifer können mit der Software Schadcode per Funk eintippen lassen. Logitech wird nur ein Teil der Sicherheitslücken schließen.

Verschlüsselung bedeute eine rechtsfreie Zone, die Kriminelle gerne nutzen, argumentiert der US-Justizminister. Deshalb brauche es dringend Hintertüren für die Strafverfolgungbehörden. Kritiker halten dagegen und warnen vor Missbrauch.

Die Washington Post will Dokumente erhalten haben, die belegen sollen, dass Huawei ein Mobilfunknetz in Nordkorea ausgerüstet habe. Huawei hat dies dementiert.

Nach mehreren Angriffen auf OpenPGP-Schlüssel auf Schlüsselservern zieht GnuPG die Reißleine und akzeptiert keine Signaturen mehr von diesen. Damit dürfte sich auch das Web of Trust erledigt haben.

Zum Erstellen illegaler Kopien von Inhalten der Streaminganbieter Netflix oder Amazon greifen die zuständigen Gruppen offenbar direkt die genutzte Verschlüsselung an. Das geht aus einem Medienbericht hervor, der Insider zitiert.

Gleich mehrere Sicherheitslücken in kabellosen Tastaturen und Mäusen von Logitech ermöglichen nicht nur das Mitlesen der Eingaben, es kann auch Schadcode an den Rechner übermittelt werden. Logitech möchte nicht alle Lücken schließen.

Dass SKS-Keyserver anfällig für Spam-Angriffe sind, ist seit langem bekannt. Nachdem sie angegriffen wurden, raten zwei OpenPGP-Entwickler nun davon ab, das Netzwerk für PGP-Schlüssel weiter zu nutzen. Das kommt überraschend spät.

Qwant Maps steht in einer ersten Betaversion für Nutzer zur Verfügung: Der französische Suchmaschinenbetreiber verwendet Material von Openstreetmap und will auf das Speichern persönlicher Daten und Orte verzichten. Wer dennoch Orte speichern möchte, kann dies verschlüsselt tun.