Verschlüsselung

Googles Browser wird künftig Nutzer bei Zertifikaten mit kurzen Schlüsseln und anderen Problemen warnen. Auch eine neue Technologie namens Certificate Transparency, die betrügerische Zertifizierungsstellen identifiziert, soll bald genutzt werden.

Jan Krissler hatte wenig Mühe, den Fingerabdruckscanner im iPhone 5S zu überwinden. Im Interview erklärt er, warum Passwörter meist besser sichern als Biometrie.

Der umstrittene Zufallsgenerator Dual_EC_DRBG wurde von der BSafe-Bibliothek als Standardeinstellung genutzt. Jetzt warnt deren Hersteller RSA Security davor.

Aufgrund schlechter Zufallszahlen konnten Kryptographen zahlreiche private Schlüssel von Chipkarten berechnen, die die taiwanische Regierung ausgibt.

Da es kaum nachvollziehbar sei, was Apps auf dem Smartphone machen, sollten Nutzer nicht millionenfach ihre Fingerabdrücke dort ablegen, warnt der Hamburger Datenschutzbeauftragte Johannes Caspar. Kim Dotcom sieht die NSA hinter dem Plan.

Virenschutz und Firewall machen den elektronischen Personalausweis nicht sicher, sagen die Hacker vom Chaos Computer Club. Sicherheitssoftware nennen sie Snake-Oil, die moderne Schadsoftware oft nicht erkennt.

Dass die US-Regierung das Tor-Projekt mitfinanziert, ist kein Geheimnis. Nach den jüngsten Enthüllungen um die US-Geheimdienste wird jedoch darüber spekuliert, ob Tor grundsätzlich sicher ist.

Nach den jüngsten Enthüllungen fragen sich Kryptographen, welche Algorithmen von der NSA beeinflusst sein könnten. Zweifel bestehen auch bei elliptischen Kurven, die für Public-Key-Kryptographie eingesetzt werden.

Die Linux-Entwickler wehren sich dagegen, den Code für den Zufallsgenerator in Intels Ivy-Bridge-Chips zu entfernen. Er nutzt Nists SP800-90-Standard. Dort wird eine Hintertür der NSA vermutet.

Das National Institute of Standards and Technology (Nist) rät von der Nutzung des Zufallszahlenstandards Dual_EC_DRBG ab, nachdem aus den Dokumenten von Edward Snowden bekanntwurde, dass der Algorithmus eine mögliche Hintertür der NSA enthält. Der Standard soll nun neu überprüft werden.

Der Informatikprofessor Matthew Green ist von seiner Universität aufgefordert worden, einen Blogbeitrag über die NSA zu entfernen. Ursprung der Anfrage war wohl die Physikfakultät, die eng mit der NSA zusammenarbeitet.

Die NSA soll auch in der Lage sein, verschlüsselte Verbindungen zu knacken. Ein Überblick über kryptographische Algorithmen und deren mögliche Probleme.

Der Verantwortliche für das Merkelphone kann Hintertüren in handelsüblichen Betriebssystemen nicht ausschließen. Daher wurde der L4-Mikrokern als Betriebssystem entwickelt.

Das Vorhaben Brasiliens, eine staatliche E-Mail zu schaffen, die vor ausländischen Geheimdiensten geschützt ist, ist kein Vorbild für Deutschland. Das Bundesinnenministerium redet stattdessen über De-Mail.

Phil Zimmermann hat die E-Mail-Verschlüsselung PGP erfunden. Im Interview fordert er, gegen den Überwachungsstaat zu kämpfen und Dienste wie Whatsapp zu codieren.

Die NSA ist in der Lage, verschlüsselte Datenübertragungen im Internet zu knacken. Dazu nutze sie große Rechenkapazitäten, arbeite mit Herstellern zusammen, um Hintertüren zu platzieren, und schwäche gezielt Verschlüsselungsstandards, berichten die New York Times, der Guardian und ProPublica gemeinsam auf Basis der Unterlagen von Edward Snowden.

Eine wissenschaftliche Studie belegt, dass Tor-Nutzer leichter zu identifizieren sind als weitläufig vermutet. Die Wahrscheinlichkeit, einen Nutzer spätestens nach sechs Monaten zu enttarnen, liegt bei 80 Prozent.

Ein Javascript-Bookmarklet ist in der Lage, den privaten Schlüssel zu einem Account des Filehosters Mega zu extrahieren. Die Frage ist: Ist das eine Sicherheitslücke?

Nutzer würden für sicher verschlüsselte E-Mails und werbefreie soziale Netzwerke zahlen. 35 Prozent sind bereit, dafür Geld auszugeben. "Das ist ein klares Signal an die Unternehmen", sagte der Chef der Verbraucherschützer.

Der Herzrhythmus ist ein individuelles Merkmal eines Menschen. Das kanadische Unternehmen Bionym nutzt ihn zur biometrischen Authentifizierung.

Der Hersteller der Trojaner- und Spionagesoftware Finfisher wirbt damit, dass seine Software auch SSL-Verbindungen abhören kann. Als neuer Mitarbeiter wird der Backtrack-Gründer Martin Johannes Münch vorgestellt.

Neuere Versionen des TLS-Standards verbessern die Verschlüsselung und verhindern bestimmte Angriffe. Das nützt aber praktisch nichts, denn ein aktiver Angreifer kann die Nutzung eines älteren TLS-Standards erzwingen.

Der Whistleblower Edward Snowden soll auch geheime Unterlagen entwendet haben, zu denen er selbst als Administrator keinen Zugang hatte - mit Hilfe von gekaperten Profilen. Die NSA überprüft weiterhin interne Sicherheitsmaßnahmen, hat aber keine Ahnung, welche Dokumente der Whistleblower mitgenommen hat.

Draytek hat den gut ausgestatteten Router Vigor 2860 vorgestellt. Der kann dank eines integrierten Controllers kostengünstig bis zu 20 WLAN-Access-Points zentral verwalten. Zudem beherrscht er Multi-WAN für Load-Balancing und bessere Ausfallsicherheit, auch mit externen Modems.

Der Chef von Lavabit macht Andeutungen, was die Geheimdienste wirklich von ihm wollten. Er sollte den verschlüsselten E-Mail-Dienst, den auch Edward Snowden nutzte, komplett für deren Zugriff öffnen.

Update Über einen Trojaner lässt sich ein Rechner angreifen, um dann die PIN des elektronischen Personalausweises abzugreifen. Die Lücke hat der Chaos Computer Club dem ARD-Magazin Report München präsentiert.

Die Geheimdienstskandale führen dazu, dass die Menschen in Deutschland Big Data oft ablehnen. Nutzer sozialer Netzwerke sind zu 58 Prozent gegen das Aggregieren und Analysieren von Kundendaten.

Auf einer Cryptoparty sollen Bundestagsabgeordnete sichere Kommunikation mit End-To-End- und Festplattenverschlüsselung lernen. Viele nutzen ungeschützte externe E-Mail-Konten für dienstliche Kommunikation.

Der Zufallsgenerator von OpenSSL liefert unter bestimmten Umständen bei mehreren Aufrufen identische Werte, wenn er aus mehreren parallel ablaufenden Prozessen desselben Programms aufgerufen wird.

In Millionen von Fällen interessieren sich die Behörden für die Daten von Telekommunikationskunden. Nach Ansicht der Piraten müssen die Daten der Nutzer jedoch besser geschützt werden.

In einer symbolischen Machtdemonstration haben Geheimdienstler den britischen Guardian gezwungen, Festplatten zu zerstören, um die Berichterstattung aus dem Snowden-Archiv zu beenden. "Wir können die schwarzen Hubschrauber wieder zurückziehen", witzelte ein GCHQ-Agent.

Ein Experte von Kaspersky Lab erzählt im Gespräch mit Golem.de, welche Möglichkeiten Geheimdienste haben, um SSL anzugreifen.

IBM hat den Hersteller von Sicherheitssoftware Trusteer für 1 Milliarde US-Dollar gekauft. In das 2006 gegründete Unternehmen wurden nur 10 Millionen US-Dollar investiert. Die Software Rapport kommt bei Banken zum Einsatz.

Die Firma Verance hat einen akustischen Kopierschutz entwickelt, der erkennt, ob das Bild- und Tonmaterial im Kino abgefilmt wurde. Ist dies der Fall, schaltet sich der Blu-ray-Player nach 20 Minuten ab.

Für die De-Mail ist End-to-End-Verschlüsselung nicht im neuen Gesetz vorgeschrieben. Doch die Bundesregierung will jetzt ein Gütesiegel für Verschlüsselung entwickeln und vergeben, um dem Mittelstand sichere Produkte an die Hand zu geben. Der Minister geht davon aus, dass sich ein normaler Mittelständler mit Verschlüsselung nicht so gut auskennt.

Auf Druck der US-Regierung im NSA-Skandal haben Lavabit und Silent Circle ihre verschlüsselten E-Mail-Dienste eingestellt. Nun will Mega Ende-zu-Ende-Verschlüsselung anbieten und die Nachrichten trotzdem durchsuchbar machen.

Update Seit den Enthüllungen von Edward Snowden gilt die Verschlüsselung von E-Mails plötzlich als angesagt. Doch von einem Boom kann trotz aller Kryptopartys noch lange keine Rede sein. Wie Teenagersex, sagen Netzpolitiker.

Die Ankündigung von T-Online, GMX und Web.de zur E-Mail-Sicherheit ist laut CCC ein Sommermärchen. Den Nutzern der E-Mail-Dienste wird vorenthalten, dass eine Verschlüsselung der Verbindung zwischen den Anbietern noch nicht bedeutet, dass die E-Mails dort auch verschlüsselt abgelegt werden.

Als Reaktion auf den NSA-Skandal wollen die Telekom und United Internet die E-Mails zwischen ihren Rechenzentren verschlüsselt übertragen. Und ab 2014 sollen nur noch SSL-verschlüsselte Mails transportiert werden. Eine Ende-zu-Ende-Verschlüsselung kann das nicht ersetzen.

Nach Angaben von Whatsapp gibt es 20 Millionen aktive Anwender in Deutschland. Whistle.im will eine 2.048-Bit-End-To-End-verschlüssselte Alternative sein, bei der das Adressbuch nicht bei der NSA abgegeben wird.

Update Eltern in Hamburg sind wütend, weil ihre Kindern trotz Chipkarte ihren Fingerabdruck abgeben mussten. Ohne biometrische Erkennung soll es für die Grundschüler kein Essen gegeben haben.

Der Softwareentwickler Elliott Kember hat eine Diskussion über Chromes Umgang mit gespeicherten Passwörtern angestoßen und kritisiert, dass Chrome diese im Klartext anzeigt. Justin Schuh, der für die Sicherheit von Chrome verantwortlich ist, sieht darin kein Problem.

Der über den Webhoster Freedom Hosting verteilte Schadcode dient tatsächlich der Identifizierung von Tor-Nutzern. Das hat das Anonymisierungsprojekt bestätigt. Der Schadcode wird über eine Schwachstelle in Firefox eingeschleust.