Ein sehr großes Problem bei Kryptosystemen wie PGP ist die praktikable Verifikation von öffentlichen Schlüsseln. Mit dem Projekt Key Transparency will Google das nun auch für moderne Software wie Chat-Apps vereinfachen.

Die Initiative Let's Encrypt schaut auf das Jahr 2016 zurück und ist mit dem ersten vollen Jahr im Produktivbetrieb zufrieden, auch wenn es einige Probleme gab.

Einfache Lösungen für verschlüsselte Kommunikation gibt es viele - Vodafone konnte sich bei Firmenkunden offenbar nicht mit seinem Dienst Secure E-Mail durchsetzen - das Angebot wird eingestellt. Zunächst gab es widersprüchliche Angaben zur Verschlüsselung.

Weil der Kryptomessenger Signal in Ägypten blockiert wird, hat das Team um Moxie Marlinspike einen Mechanismus entwickelt, der die Nutzung der App wieder möglich machen soll. Künftig soll das automatisch für alle Nutzer gelten - egal ob sie Android oder iOS nutzen.

Nach der schwerwiegenden Sicherheitslücke stellt Netgear erste Updates zur Verfügung. Für sieben betroffene Router liegen weiterhin nur Beta-Versionen vor.

Ein Offline-Linux für Menschen mit ganz speziellen Sicherheitsbedürfnissen. Das will Discreete-Linux sein, der Nachfolger des Ubuntu Privacy Remix. Wir haben mit den Machern gesprochen.
Von Hauke Gierow

Schwache Kryptographie raus, weniger Round-Trips und damit mehr Performance - und außerdem Schmierfett für zukünftige Protokollversionen und Erweiterungen: Die Version 1.3 des TLS-Verschlüsselungsprotokolls kommt bald.
Eine Analyse von Hanno Böck

Zahlreiche Netgear-Router sind über manipulierte Webseiten angreifbar. Das Unternehmen hat für verschiedene Modelle bereits eine Beta-Firmware zum Patchen bereitgestellt.

Nach Krankenhäusern und Stadtverwaltungen hat es dieses Mal den Nahverkehr von San Francisco getroffen. Weil mehrere tausend Rechner und die die Fahrscheinautomaten eines Verkehrsbetriebes von Ransomware befallen waren, konnten Kunden kostenfrei fahren.

Ernsthaftes Arbeitswerkzeug für Autoren oder ultimatives Hipster-Gadget? Wir haben uns eine Schreibmaschine mit E-Ink-Display und Cloud-Anschluss angeschaut und fragen uns, wer das Produkt kaufen will.
Ein Test von Hauke Gierow

Erneut gibt es eine schwere Sicherheitslücke in Kabelroutern. Der Hersteller AVM vergaß offenbar einen Generalschlüssel in der Firmware der Geräte. Damit könnten Angreifer möglicherweise andere Verbindungen übernehmen.

Um die Überwachung von E-Mails in Deutschland ranken sich viele Mythen. Eine große Rolle spielt dabei eine Box, die diese Aufmerksamkeit eigentlich nicht verdient hat. Wir haben uns die technischen und rechtlichen Hintergründe der E-Mail-Überwachung in Deutschland angeschaut.
Eine Analyse von Hauke Gierow

Trotz jahrelanger Beschwerden vieler Nutzer verschlüsselt der beliebte FTP-Client Filezilla die gespeicherten Passwörter nicht. Ein privater Fork des Projekts bietet jedoch die Möglichkeit. Noch ist unklar, ob und wie sich die Funktion durchsetzt.

Immer wieder wurde der Betrieb von Krankenhäusern im Jahr 2016 durch Ransomware gestört. Eine Spezialklinik in Großbritannien hatte Glück im Unglück - und konnte mit einer Backup-Strategie größeren Schaden abwenden.

Der beliebte Messenger Signal kann nur in Verbindung mit Googles Play Services genutzt werden. Die bislang verfügbare Alternative Libre Signal muss nach einem Streit mit Gründer Moxie Marlinspike den Betrieb einstellen - wir zeigen Alternativen.
Von Hauke Gierow

Eine neue Technik erlaubt es Angreifern, die Kontrolle über ferngesteuerte Drohnen und andere Geräte zu übernehmen. Verantwortlich sind Schwächen in den Funkprotokollen der Hersteller.

Mit einer neuen Funktion in Signal können Nutzer anonym nach animierten Gifs suchen. Dazu haben die Entwickler einiges an Arbeit investiert.

Nach Mozilla und Apple wird auch Google die Zertifikate von Wosign und Startcom aus dem Truststore des Chrome-Browsers entfernen. Dabei geht das Unternehmen einen entscheidenden Schritt weiter - und dürfte Admins Mehrarbeit bescheren.

Alle TLS-Zertifizierungsstellen müssen ab nächstem Herbst ihre Zertifikate vor der Ausstellung in ein öffentliches Log eintragen. Mittels Certificate Transparency kann Fehlverhalten bei der Zertifikatsausstellung leichter entdeckt werden - das TLS-Zertifikatssystem insgesamt wird vertrauenswürdiger.

Wieder ein Zertifikatsfehler, dieses Mal bei Comodo: Weil das Unternehmen nur die Inhaber der Domain im Whois prüft und einen falschen Texterkennungsalgorithmus nutzt, konnten sich Forscher ein gültiges Zertifikat für die Domain eines Mobilfunkproviders erstellen lassen.

Der Truecrypt-Fork Veracrypt wurde einem Security-Audit unterzogen. Dabei zeigten sich eine ganze Reihe von Sicherheitslücken in der Verschlüsselungssoftware. Beispielsweise eine uralte zlib-Version von 1998 und eine fehlerhafte Verwendung eines russischen Verschlüsselungsalgorithmus.

Ein Fehler bei Wartungsarbeiten bei der CA Globalsign führt zu SSL/TLS-Problemen bei Kunden weltweit. Auch wenn das Unternehmen den Fehler behoben hat, können Kunden weiterhin Probleme haben. Wir zeigen, was zu tun ist.

Mozilla hat auf der Entwicklermailingliste angekündigt, Zertifikaten von Wosign und Startcom mit der übernächsten Firefox Version 51 nicht mehr zu vertrauen. Die Version ist für den kommenden Januar geplant.

Kryptographen ist es gelungen, einen Primzahlparameter für DSA und Diffie-Hellman zu erstellen, der eine geheime Hintertür enthält. Diskutiert wurde diese Möglichkeit schon vor 25 Jahren, doch trotz der Gefahr für die Sicherheit von Verschlüsselungen wurden oft keine Gegenmaßnahmen ergriffen.

Signal-Nutzer können künftig selbstzerstörende Nachrichten versenden - ein bekanntes Feauture von anderen Messengern. Außerdem soll es einfacher werden, den Fingerprint des Gegenübers zu verifizieren.

Die bisher bei XMPP-Instant-Messengern zum Einsatz kommenden Ende-zu-Ende-Verschlüsselungen OTR und OpenPGP haben zahlreiche nervige Limitierungen, mit OMEMO steht nun ein zeitgemäßer Nachfolger zur Verfügung. Wir erklären die technischen Hintergründe - und sagen, wie man es benutzt.
Von Daniel Gultsch

Großbritannien bewirbt sich um die absurdeste Auslegung von Anti-Terror-Gesetzen. Einem angeblichen Terroristen wird vorgeworfen, dass er sein Blog mit HTTPS verschlüsselt hat. Hoffentlich haben die Richter nicht verstanden, was sie getan haben.
Ein IMHO von Hauke Gierow

Die chinesische Zertifizierungsstelle Wosign will den drohenden Abschied aus Mozillas Root-Programm offenbar mit drastischen Maßnahmen verhindern - der CEO muss gehen, die Firma wird aufgespaltet. Die rückdatierten SHA-1-Zertitikate erklärt Wosign mit einem Systemfehler.

Apple tut, was Mozilla bislang nur erwägt: Wosign und Startcom werden aus dem Truststore von iOS und MacOS entfernt. Eine Möglichkeit zur erneuten Bewerbung ist offenbar nicht vorgesehen.

Viele IT-Unternehmen veröffentlichten regelmäßig Transparenzberichte über Datenabfragen durch Regierungen. Die Hersteller von Signal haben jetzt erstmals Details bekanntgegeben.

Bei der Privatsphäre seiner Nutzer macht Apple keine Kompromisse, sagt das Unternehmen. Behördendokumente aus den USA zeigen, auf welche Daten Apple dennoch Zugriff hat - und unter welchen Bedingungen sie weitergegeben werden.

Nach mehreren Problemen mit Startcom- und Wosign-Zertifikaten will Mozilla den Zertifikaten der Unternehmen offenbar das Vertrauen entziehen. Auch Google könnte diesem drastischen Schritt folgen.

Ein Zertifikat für 50 Euro - viel zu viel. Kommerzielle Dienstleister lassen sich einfache Zertifikate nach wie vor fürstlich bezahlen - auch, wenn sie eigentlich nur ein kleines Skript ausführen. Let's Encrypt zeigt, wie hoch die Kosten wirklich sind.

Ein neuer Erpressungstrojaner hat eine besonders gemeine Taktik: Verschlüsselt werden Dateien, die bereits von anderer Ransomware verschlüsselt wurden. Zum Glück gibt es Abhilfe.

Zwei Bugs im Signal-Code erlauben das Manipulieren von Attachments und einen Crash der Signal-Applikation. Updates sind im Play Store noch nicht verfügbar.

Fehler in der Sandbox, eine falsch konfigurierte Tastatur-App und Over-the-Air-Updates nun endlich verschlüsselt: Apple hat Details zu den Sicherheitsupdates der neuen mobilen Betriebssysteme bekanntgegeben.

In den kommenden Versionen von Apples Betriebssystemen gibt es zahlreiche Veränderungen unter der Oberfläche, mit weitreichenden Konsequenzen für Nutzer und Admins. Die meisten Änderungen betreffen die unterstützten Verschlüsselungsverfahren.

E-Mails zu verschlüsseln gilt schon als kompliziert, doch wie verschlüsselt man eigentlich eine ganze Mailingliste? Das Tool Schleuder soll das ermöglichen, allerdings kann der Server dabei Nachrichten mitlesen.

Wie umgehen mit unverschlüsselten Webseiten? Google will in Chrome künftig warnen, wenn unverschlüsselte Webseiten Passwörter und Kreditkartendaten abfragen. Doch das ist nur der Beginn der Planungen.

GnuPG-Entwickler Werner Koch schlägt auf der OpenPGP.conf ein neues Verfahren zur Schlüsselverteilung vor: Die Keys sollen mittels HTTPS vom Mailprovider bereitgestellt werden.

Ende 2015 veröffentlichte die Firma SEC Consult eine Untersuchung über die Gefahr von Geräten mit voreingestellten privaten Schlüsseln. Genützt hat es offenbar nichts: Die Zahl derartiger Geräte ist um 40 Prozent gestiegen, knapp 50.000 nutzen dabei sogar ein gültiges Zertifikat.

Die Ankündigung von Whatsapp, künftig die Telefonnummer der Nutzer mit Facebook zu teilen, hat bei vielen Nutzern für Empörung gesorgt. Andere Messenger scheinen davon zu profitieren.

Wie sicher ist die eigene Internetseite? Der Test mit einem neuen Tool von Browserhersteller Mozilla könnte für viele Betreiber ernüchternd sein.

OpenSSL veröffentlicht die neue Version 1.1.0. Neu hinzugekommen sind die Algorithmen ChaCha20 und X25519 sowie Unterstützung für Certificate Transparency. Vor allem aber ist das Release eine große Aufräumaktion.

Ein neuer Angriff auf TLS- und VPN-Verbindungen betrifft alte Verschlüsselungsalgorithmen wie Triple-DES und Blowfish, die Daten in 64-Bit-Blöcken verschlüsseln. Der Angriff erfordert das Belauschen vieler Gigabytes an Daten und dürfte damit nur selten praktikabel sein.

Verwirrung um die deutsch-französische Erklärung zum Kampf gegen den Terror. Während Paris Zugriff auf verschlüsselte Kommunikation fordert, will die Bundesregierung das nicht so vereinbart haben.

Die Regierungen von Deutschland und Frankreich wollen Kommunikationsdienste verpflichten, verschlüsselte Nachrichten der Nutzer zu entschlüsseln. Es bleibt unklar, wie das ohne Hintertüren gehen soll.

Die Abmahnung von Urheberrechtsverletzungen ist ein Geschäft. Viele zahlen auch, wenn sie nichts getan haben. Der Abmahnbeantworter des CCC bietet kostenlose Hilfe.

Eine kritische Sicherheitslücke in Veracrypt und Truecrypt ermöglicht Angreifern, die Existenz eines Hidden-Volumes zu beweisen. Ein Patch ist verfügbar, Nutzer müssen jedoch aktiv werden.

Eine schwerwiegende Sicherheitslücke befindet sich offenbar seit 1998 im Code von GnuPG und der dazugehörigen Bibliothek Libgcrypt. Unter bestimmten Umständen lassen sich Zufallszahlen voraussagen, die genauen Auswirkungen sind allerdings unklar.