Verschlüsselung

Vor dem Anwaltsgerichtshof in Berlin fand heute die erste Verhandlung zu einer Klage statt, bei der Rechtsanwälte eine Ende-zu-Ende-Verschlüsselung im besonderen elektronischen Anwaltspostfach (BeA) erzwingen wollen. Das Gericht sieht aber noch viel Klärungsbedarf.

Wer würde schon einen Haustürschlüssel von außen an die Türklinke hängen, nachdem er die Tür abgeschlossen hat? Die Idee ist absurd, doch einige Banken bieten ein solches Verfahren ihren Kunden als E-Mailverschlüsselung an.

Die IETF ist verärgert, dass von der ETSI unter dem Namen ETLS oder Enterprise-TLS ein Protokoll mit Überwachungsschnittstelle veröffentlicht worden ist. Eigentlich hat die ETSI versprochen, auf den Namensbestandteil TLS zu verzichten.

Ab Januar müssen Unternehmen australischen Geheimdiensten und Strafverfolgungsbehörden Zugriff auf verschlüsselte Inhalte wie zum Beispiel Kommunikations- oder Bestandsdaten geben. Das ist der Anfang vom Ende des IT-Standorts Down Under - und Deutschland debattiert fröhlich in die gleiche Richtung.
Ein IMHO von Jan Weisensee

Das Schweizer Filehosting-Unternehmen Tresorit bietet einen kostenlosen Dienst zum Teilen großer Dateien per Webbrowser an. Bis zu fünf Gigabyte große Dateien sollen damit möglich sein, ohne dass das Unternehmen auf die Dateien zugreifen kann.

Die FDP im Bundestag fordert ein "Recht auf Verschlüsselung". Während viele Abgeordnete die Idee prinzipiell gut finden, warnen CDU-Innenpolitiker vor den Nachteilen für die Sicherheitsbehörden.

Der Desktop-Client von Nextcloud ist in Version 2.5 erschienen. Diese bringt unter anderem eine Ende-zu-Ende-Verschlüsselung mit und die aktuelle Version vereinfacht die Bedienung.

Die europäische Standardisierungsorganisation ETSI hat eine Variante von TLS spezifiziert, die eine Überwachungsschnittstelle und schwächere Sicherheitseigenschaften hat. Bei der IETF war man zuvor mit ähnlichen Vorstößen erfolglos.

Im Verschlüsselungsmodus OCB2 wurden in kurzer Abfolge zahlreiche Sicherheitsprobleme gefunden. Breite Verwendung findet dieser Modus nicht, obwohl er Teil eines ISO-Standards ist.

Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden.
Ein Interview von Jan Weisensee

Die vergleichsweise neue VPN-Technik Wireguard entsteht unter anderem für den Linux-Kernel und soll dort endlich eingepflegt werden. Das zuständige Team hat darüber hinaus nun eine erste experimentelle Version einer Wireguard-App für iOS vorgestellt.

Eigentlich sollte die NSA-Chiffre Speck im Linux-Kernel landen. Doch Google hat seine Unterstützung dafür zurückgezogen und selbstständig einen Ersatz erstellt. Den zugrundeliegenden Modus hat Google nun abermals angepasst und damit massiv beschleunigt.

Der verschlüsselte Messenger Signal unterstützt in der Betaversion ein Feature, bei dem Nachrichten so verschickt werden, dass der Server nicht weiß, von wem die Nachricht stammt. Wer der Absender ist, sieht nur der Empfänger.

Sicherheitsforscher haben einige gravierende Lücken in der Krankenkassen-App Vivy gefunden. Unter anderem konnte auf Dokumente, die man mit dem Arzt teilte, unberechtigt zugegriffen werden.

Laser könnten Daten von Satelliten viel besser übertragen als Radiowellen. Aber was tun bei schlechtem Wetter? Forscher aus der Schweiz haben einen Weg gefunden und machen sich dabei jahrzehntealte Forschung zunutze.

Durch eine Sicherheitslücke in der Pretty-Easy-Privacy-Funktion hat die Thunderbird-Erweiterung Enigmail manchmal unverschlüsselte E-Mails versendet, die eigentlich verschlüsselt sein sollten. Die Ursache wurde gefunden und das Problem behoben.

Die neue Bundesbehörde Zitis sucht immer noch händeringend nach Hackern. Von den geplanten Haushaltsmitteln sollen Hochleistungsrechner angeschafft werden, um Verschlüsselung zu knacken.

In einer gemeinsamen Aktion kündigen die vier großen Browserhersteller an, dass sie die TLS-Versionen 1.0 und 1.1 im Jahr 2020 nicht mehr unterstützen wollen.

Obwohl bei der Entwicklung von TLS 1.3 versucht wurde, Probleme mit bestehenden fehlerhaften Geräten zu vermeiden, gibt es beim Start erneut Schwierigkeiten. Verantwortlich dafür: Vorab-Versionen von OpenSSL und Geräte von Cisco und Palo Alto Networks.

Ein Bug in der Pretty-Easy-Privacy-Funktion des Enigmail-Plugins für Thunderbird sorgt dafür, dass manchmal Mails, die eigentlich verschlüsselt sein sollten, unverschlüsselt verschickt werden. Der Bug betrifft nur die Windows-Version von Enigmail.

Telefonanrufe via Telegram können die persönliche IP-Adresse verraten. Neue Optionen sollen dies auch auf dem Desktop verhindern können. Grundsätzliche Probleme bleiben jedoch ungelöst.

Ein neuer Standard soll endlich dafür sorgen, dass die Transportverschlüsselung zwischen Mailservern vernünftig abgesichert wird. Dafür wird über HTTPS eine Policy veröffentlicht.

Um beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP zu hosten, wird die TLS-Erweiterung SNI genutzt. Diese verrät unter Umständen aber den Servernamen. Cloudflare hat den IETF-Entwurf für verschlüsselte SNI umgesetzt, Browserunterstützung soll folgen.

PGP-Signaturen sollen gewährleisten, dass eine E-Mail tatsächlich vom korrekten Absender kommt. Mit einem simplen Trick kann man bei vielen Mailclients scheinbar signierte Nachrichten erstellen - indem man die entsprechende Anzeige mittels HTML fälscht.
Von Hanno Böck

Das neue Webauthn-Protokoll soll sichere Logins ohne Passwörter ermöglichen. Doch ein Security-Audit bescheinigt den bisherigen Implementierungen in Chrome, Firefox und Edge angreifbare Kryptographie.

Ein alter Angriff neu durchgeführt: Forschern ist es gelungen, den Schutzmechanismus gegen die zehn Jahre alte Cold-Boot-Attacke zu umgehen. Angreifbar sind eingeschaltete verschlüsselte Rechner.

Tesla macht es den Fahrern des Model S einfach. Sie brauchen keinen Schlüssel - ein Chip reicht aus, um das Elektroauto zu öffnen und zu starten. Belgische Forscher haben herausgefunden, dass sich der Chip klonen und das Auto in Sekundenschnelle klauen lässt.

Eine Sicherheitslücke im Anwaltspostfach BeA konnte nicht behoben werden, da es sich um ein grundlegendes Designproblem handelt. Die Bundesrechtsanwaltskammer hat das gelöst, indem sie das Problem wegdefinierte - mit einer abenteuerlichen Begründung: Der Schutz der Nachrichten ist nicht so wichtig, nur die Anhänge müssen geschützt sein.

Mit der NSA-Chiffre Speck wollte Google ursprünglich den Speicher von Low-End-Android-Smartphones verschlüsseln, doch nun hat das Unternehmen seine Unterstützung dafür zurückgezogen. Die umstrittene Verschlüsselung wird deshalb wieder aus dem Linux-Kernel entfernt.

Telekommunikationsanbieter sollen nach Wunsch der Innenminister der Five-Eyes-Staaten Techniken zur Entschlüsselung ihrer Dienste entwickeln.

Das besondere elektronische Anwaltspostfach (BeA) soll am heutigen Montag wieder starten. Es war seit Dezember vergangenen Jahres aufgrund zahlreicher Sicherheitslücken offline. Nach wie vor sind viele Fragen in Sachen Sicherheit ungeklärt.
Von Hanno Böck

Seit Januar konnte die Verschlüsselung auf Basis des Signal-Protokolls in Skype getestet werden, jetzt ist sie allgemein verfügbar. Private Konversationen sind nur zwischen zwei Personen möglich und müssen bestätigt werden. Auch andere Einschränkungen gibt es, damit eine Unterhaltung sicher bleibt.

Die verschlüsselten Nachrichten von Messenger-Apps wecken immer wieder die Begehrlichkeiten von Ermittlern. Nach einem ähnlichen Versuch bei Whatsapp soll Facebook nun Zugriff auf seinen Messenger gewähren.

Verschlüsselungsalgorithmen auf Basis elliptischer Kurven sollen kompakte Geräte im Internet der Dinge sicherer machen. Wir erklären, wie - und wo die Grenzen liegen.
Von Anna Biselli

Das Auslesen von Mobilfunk-Geräten kann Ermittlern wichtige Hinweise liefern. Deutsche Behörden nutzen nach Angaben der Bundesregierung dazu die Software verschiedener Hersteller. Der CCC kritisiert den "Wildwuchs an Auslese-Tools".

Ein Cubesat auf Sabotagekurs: Noch ist das nur ein Science-Fiction-Szenario. Doch drei US-Wissenschaftler warnen, dass die Satelliten gehackt und auf Kollisionskurs mit anderen Raumfahrzeugen geleitet werden könnten. Sie fordern, dass sich Raumfahrtunternehmen dazu verpflichten, Minisatelliten mit Verschlüsselungssystemen auszustatten, um das zu verhindern.

Einer IT-Sicherheitsfirma ist es offenbar gelungen, zitierte Whatsapp-Nachrichten zu manipulieren. Whatsapp sieht darin kein Problem, weil 90 Prozent aller Nachrichten sowieso nur eins zu eins stattfänden.

Die vielfach kritisierte Blockchiffre Speck stammt von der NSA und ist im Linux-Kernel enthalten, damit auch günstigere und ältere Android-Geräte eine Dateisystemverschlüsselung bekommen. Google präsentiert nun jedoch eine eigene Alternative und Speck kann wieder entfernt werden.

Eigenen Angaben zufolge nutzt mittlerweile 50 Prozent von Facebooks Traffic TLS 1.3. Genutzt wird dies vor allem in der eigenen Infrastruktur und weltweit in allen Mobile-Apps. Die verwendete Bibliothek Fizz ist nun Open Source.

Die Videoplattform Dailymotion muss ein Bußgeld für den unzureichenden Schutz von über 80 Millionen E-Mail-Adressen bezahlen. Ein im Github-Repository des Unternehmens veröffentlichtes Admin-Passwort hatte Hackern 2016 Tür und Tor geöffnet.

Zwei Jahre nach der ersten öffentlichen Vorstellung ist die VPN-Lösung Wireguard erstmals zur Aufnahme in den Linux-Kernel vorgeschlagen worden. Bis zur endgültigen Aufnahme dürfte es zwar noch dauern, das Projekt bekommt aber viel prominente Unterstützung.

Bisher gibt es kaum Informationen zur Auswirkung der Lücke im Bluetooth-Pairing auf Linux-Systeme. Es gibt zwar einen Patch, der das Problem grundlegend löst - und damit auch für andere Verwendungszwecke als Bluetooth dienen kann. Bis der Patch die Nutzer erreicht, dauert es aber wohl noch mehrere Wochen.

Telegram Passport ist eine Funktion, mit der Nutzer ihre Ausweisdaten in eine abgesicherte Cloud hochladen können. Drittanbieter können damit das Alter und die Identität prüfen, und Nutzer müssen nicht jedes Mal ihre Daten hochladen. Ein paar offene Fragen zur Sicherheit gibt es noch.

Eine Schwachstelle bei der Implementierung der Verschlüsselung mit elliptischen Kurven im Bluetooth-Protokoll kann dazu genutzt werden, das Pairing von Bluetooth-Geräten anzugreifen. Grund dafür ist ein sogenannter Invalid-Curve-Angriff.

Mit der nun veröffentlichten Chrome-Version 68 warnt Google vor allen Webseiten, die noch mit ungeschützten HTTP-Verbindungen übertragen werden. Viele Seitenbetreiber dürfte das überraschen.

Mit der TLS-Erweiterung SNI können beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP gehostet werden. Dabei könnte jedoch der Name der Domain von Dritten belauscht werden. Ein Vorschlag der IETF sieht nun vor, SNI zu verschlüsseln.

Die Wi-Fi Alliance hat mit WPA3 einen neuen Verschlüsselungsstandard für drahtlose Netze vorgestellt. Darin werden einige Macken von früheren Standards ausgebessert, wie etwa Offline-Passwort-Angriffe unterbunden und Forward Secrecy eingeführt.

Das lange versprochene Sicherheitsgutachten zum besonderen elektronischen Anwaltspostfach (BeA) ist veröffentlicht worden. Es zeigt, wie viele Sicherheitsprobleme das BeA nach wie vor hat. Die versprochene Transparenz wird aber kaum hergestellt.
Eine Analyse von Hanno Böck

Ein aktueller Entwurf der IETF sieht vor, dass die alten TLS-Versionen 1.0 und 1.1 künftig nicht mehr benutzt werden dürfen. Ein Fallback ist explizit nicht vorgesehen.

Eine Gruppe von Anwälten hat mit Unterstützung der Gesellschaft für Freiheitsrechte eine Klage gegen die Bundesrechtsanwaltskammer eingereicht. Sie wollen eine Ende-zu-Ende-Verschlüsselung im besonderen elektronischen Anwaltspostfach (BeA) erzwingen.