Ein Facebook-Manager ist in Brasilien festgenommen worden, weil Whatsapp sich weigert, einer richterlichen Anordnung nachzukommen. Das Unternehmen soll Gesprächsverläufe von Drogenhändlern herausgeben.

Kein moderner Browser unterstützt das alte SSL-Protokoll Version 2. Trotzdem kann es zum Sicherheitsrisiko werden, solange Server es aus Kompatibilitätsgründen unterstützen. Es muss nicht einmal derselbe Server sein.
Von Hanno Böck

Im Streit um das iPhone des Terroristen Farook bekommt Apple indirekt Rückendeckung von einem US-Bundesrichter. Vorbei ist der Streit damit aber noch nicht. Außerdem will Apple seine Position vor dem US-Kongress begründen.

Verfassungswidrig und gefährlich nennt Apple die Aufforderung der Regierung, bei der Entschlüsselung des iPhones eines Terroristen zu helfen. Der Konzern beruft sich darauf, dass Code der Meinungsfreiheit unterliegt.
Von Hauke Gierow

Der Streit um das iPhone des Attentäters von San Bernadino verleitet alle Seiten zu vielerlei Spekulationen. Forensik-Experten schlagen weitere Verfahren vor, um Daten zu extrahieren. Und der FBI-Chef empfiehlt: "Einfach mal durchatmen".

Veracrypt ist einer der beliebtesten Nachfolger des eingestellten Truecrypt - ein Update bringt jetzt neue Funktionen. Außerdem soll das Laden von Containern deutlich schneller vonstattengehen - bislang einer der größten Kritikpunkte an dem Programm.

Kritik an Thüringens Verfassungsschutzpräsident Stephan Kramer: Er hat nach Hintertüren in Verschlüsselungstechnik verlangt. Netzpolitiker und Datenschützer hingegen bestehen auf der Verschlüsselung als digitaler Selbstverteidigung.

Viele App-Entwickler für Mac nutzen das Sparkle-Framwork für praktische Auto-Updates - und machen damit zahlreiche Mac-Programme angreifbar. Betroffen sind nicht nur VLC und uTorrent.

Sogenannte Captive Portals, Vorschaltseiten, die in vielen WLANs zum Einsatz kommen, sind ein fragwürdiger Hack, der bald zu technischen Problemen führen wird. Trotzdem will die Bundesregierung ihnen jetzt Gesetzesrang verschaffen.

Veracrypt soll Systeme sicherer verschlüsseln als der populäre Vorgänger Truecrypt. Wir haben uns angesehen, wie das geht - mit Windows und sogar mit parallel installiertem Linux. In unserer Anleitung gehen wir die zahlreichen teils verwirrenden Optionen durch.
Von Jörg Thoma

Das laut Hersteller besonders sichere und widerstandsfähige Turing Phone soll anstelle von Android jetzt plötzlich mit Sailfish OS erscheinen. In einer E-Mail an die Vorbesteller wird als Auslieferungszeitpunkt jetzt April 2016 genannt.

OpenSSL hat mit einem Sicherheitsupdate eine Sicherheitslücke im Diffie-Hellman-Schlüsselaustausch behoben, deren Risiko als "hoch" eingestuft wird. Allerdings dürfte kaum jemand von der Lücke praktisch betroffen sein.

Lenovos Chef kündigte zwar im Interview vor einigen Wochen an, künftig sichere Software einsetzen zu wollen - im Fall eines Programms zur Dateiübertragung funktioniert das jedoch noch nicht besonders gut.

Die aktuelle Version des Firefox nutzt für Videos nun H.264 oder, sollte dies nicht verfügbar sein, das freie VP9. Die Hinweisseiten für Zertifikatsfehler sind neu gestaltet und der Videochat Firefox Hello verlässt offiziell die Beta-Phase.

Die Krypto-Arbeitsgruppe der IETF hat RFC 7748 veröffentlicht. Darin spezifiziert sind die zwei elliptischen Kurven Curve25519 und Curve447. Sie sind das Ergebnis einer langen Diskussion.

Ein Mitglied der State Assembly in Kalifornien will den Verkauf von verschlüsselungsfähigen Smartphones ohne Hintertür verbieten und hat dafür einen Gesetzesvorschlag erarbeitet. Ihm geht es vor allem darum, Menschenhandel zu verhindern, denn die Beweise finden sich in verschlüsselten Smartphones.

Truecrypt ist von seinen anonymen Entwicklern für tot erklärt worden - und seitdem fragen sich insbesondere Windows-Nutzer, welcher Verschlüsselungslösung sie vertrauen können. Wir haben mit dem Entwickler des Truecrypt-Forks Veracrypt über Lizenzen, Geheimdienste und neue Features gesprochen.
Von Hauke Gierow

Der "Islamische Staat" verteilt angeblich einen selbst entwickelten Krypto-Messenger. Damit könnten die Terroristen staatlich angeordnete Hintertüren vermeiden.
Von Patrick Beuth

In der Anonymität des Darknets ist eine klassische Rechtsdurchsetzung nicht möglich. Herrscht deswegen totale Anarchie? Nicht ganz. Eine komplexe Selbstregulierung ermöglicht Geschäfte zwischen Unbekannten und versucht, die schlimmsten Auswüchse zu verhindern.
Von Stefan Mey

In OpenSSH ist eine Sicherheitslücke gefunden worden, die es einem böswilligen Server ermöglicht, den privaten Schlüssel des Nutzers auszulesen. Der Fehler findet sich in der Roaming-Funktion, die kaum jemand benötigt, die aber standardmäßig aktiv ist.

Nach wie vor verwenden Juniper-Geräte einen Zufallszahlengenerator, der vermutlich eine Hintertür eingebaut hat. Juniper will diesen zwar entfernen, sieht aber keine akute Gefahr. Dabei gibt es sehr klare Hinweise darauf, dass er böswillig eingebaut wurde.

Wie kann eine Verschlüsselung gleichzeitig sicher sein und eine Hintertür für Ermittler beinhalten? Die Krypto-Koryphäe David Chaum macht einen gefährlichen Vorschlag.
Von Patrick Beuth

Die automatischen Updates von Drupal können so manipuliert werden, dass recht leicht Malware eingeschleust werden kann. Bekannt ist dies wohl schon seit Jahren, Lösungen dafür werden nun erneut diskutiert.

Das Chat-Protokoll Jabber, offiziell XMPP, könnte endlich eine native Ende-zu-Ende-Verschlüsselung auf Basis von OpenPGP bekommen. Die Entwickler arbeiten bereits an einer Referenzimplementierung.

Neue Angriffe gegen TLS: Krypto-Forscher präsentieren mit Sloth mehrere Schwächen in TLS-Implementierungen und im Protokoll selbst. Am kritischsten ist ein Angriff auf Client-Authentifizierungen mit RSA und MD5.

Auf den Installationsimages für Server der Firma Hetzner fanden sich für mehrere Monate vorinstallierte SSH-Keys. Die betroffenen Server sind somit für Man-in-the-Middle-Angriffe anfällig.

32C3Der Geheimdienstausschuss des US-Senats plant offenbar eine gesetzliche Pflicht für Hintertüren in Verschlüsselungsprogrammen. Aktivisten sind aber der Ansicht, auch die nächsten Crypto Wars gewinnnen zu können.

32C3 Talks, die Albträume über mobile Kommunikation auslösen, haben beim CCC Tradition. Dieses Mal haben zwei koreanische Studenten Angriffe auf Voice over LTE vorgeführt. In Deutschland soll das angeblich nicht möglich sein.
Von Hauke Gierow

32C3 Der Start der neuen Certificate Authority Let's Encrypt hat offenbar recht gut funktioniert. Nach nur rund einem Monat im Betabetrieb ist das Projekt schon die fünftgrößte CA der Welt. Doch es gibt noch einige Aufgaben zu bewältigen.

32C3 Die Banken preisen das pushTAN-Verfahren als sicher an. Dabei ist es hochgefährlich, Onlinebanking mit zwei Apps auf demselben Smartphone zu verwenden. Die Sparkasse verteidigt ihr Angebot.

Zu Weihnachten reparieren wir alljährlich die IT der gesamten Familie. Wir fluchen, lästern - und fühlen uns gebraucht. Was für ein Schock, wenn man plötzlich feststellt, dass sich die Angehörigen hinterrücks digitalisiert haben!
Von Hauke Gierow

Eine der in Juniper-Firewalls gefundenen Hintertüren nutzt offenbar einen Zufallszahlengenerator, der mutmaßlich von der NSA kompromittiert ist. Bei der Analyse der Änderungen gibt es Hinweise, dass hier mehrere Akteure am Werk waren - und dass die Hintertür gar nicht wirklich geschlossen worden ist.

Mit Let's Encrypt können Webseitenbetreiber kostenfreie SSL-/TLS-Zertifikate erstellen. Wir haben bei großen deutschen Webhostern nachgefragt, ob sie den Dienst nutzerfreundlich in ihre Angebote integrieren wollen. Spoiler: Es wird wohl noch etwas dauern.
Von Hauke Gierow

Whatsapp-Nutzer in Brasilien mussten sich für mehrere Stunden nach einem anderen Chat-Programm umsehen, denn die Justiz des Landes hatte eine temporäre Sperre des Dienstes verfügt. Die Sperrung wurde früher als erwartet beendet. Sie dauerte insgesamt 14 Stunden an.

Ein Bluetooth-Treiber für Chips der Firma CSR installiert zwei Root-Zertifikate, mit denen der Besitzer des privaten Schlüssels HTTPS-Verbindungen angreifen könnte. Offenbar handelt es sich um Testzertifikate zur Treibersignierung während der Entwicklung.

Zwischendurch gab es ein wenig Aufregung, doch jetzt sind alle Bedingungen erfüllt: Let's Encrypt hat die für eine CA notwendigen unabhängigen Audits veröffentlicht. Offensichtlich lagen diese schon seit September vor.

Die Franzosen müssen nicht um ihre offenen WLAN-Hotspots bangen. Auch das Tor-Netzwerk soll nicht blockiert werden, sagt Premierminister Manuel Valls. Tor auf technischer Ebene zu blockieren, wäre ohnehin eine ambitionierte Aufgabe, wie Beispiele zeigen.

Eigentlich sollen mit SHA1 signierte TLS-Zertifikate bald der Vergangenheit angehören. Doch in Entwicklungsländern sind noch viele Geräte in Benutzung, die den besseren SHA256-Algorithmus nicht unterstützen. Facebook und Cloudflare wollen daher alten Browsern ein anderes Zertifikat ausliefern.

Zertifikate für alle, und zwar kostenfrei! Let's Encrypt hat die öffentliche Beta gestartet. Jetzt kann jeder Webseitenbetreiber eigene Zertifikate für seine Domain erstellen - wenn sein Server die Voraussetzungen erfüllt.

Vodafones neuer E-Mail-Dienst Secure E-Mail soll den Austausch verschlüsselter E-Mails kinderleicht machen. Das Unternehmen macht jedoch in seiner Ankündigung kaum Angaben zur Sicherheit der verwendeten Verfahren. Deshalb haben wir nachgefragt - und sind verwirrt.
Von Hanno Böck und Hauke Gierow

Mit einem manuell zu installierenden TLS-Root-Zertifikat will Kasachstan offenbar alle verschlüsselten Verbindungen ins Ausland mitlesen: Das stand auf der Webseite des nationalen Telekom-Anbieters. Die Meldung ist wieder weg - die Pläne auch?

Sichere Kommunikation - jetzt auch mit zehn Fingern. So wirbt Open Whispersystems für die Betaversion des Crypto-Messengers Signal für den Desktop. Wer an der Beta teilnehmen will, muss jedoch einige Hürden überwinden.

Ein Patenttroll treibt sein Unwesen gegen Unternehmen, die die HTTPS-Verschlüsselung einsetzen. Technologieunternehmen haben sich bereits verbündet, um sich gegen den Missbrauch von Patenten zu wehren.

Zahlreiche Embedded-Geräte, darunter Router, Kameras, Telefone und vieles mehr, nutzen in der Firmware hardcodierte Schlüssel für HTTPS- und SSH-Verbindungen. Die Schlüssel werden in Kürze öffentlich bekannt sein, die verschlüsselten Verbindungen bieten damit kaum noch Schutz.

Forscher der Ruhr-Universität Bochum haben einen schon lange bekannten Angriff auf Verschlüsselungsverfahren mit elliptischen Kurven in der Praxis umsetzen können. Verwundbar ist neben Java-Bibliotheken auch ein Hardware-Verschlüsselungsgerät von Utimaco.

Offenbar gibt es eine weitere von Dell bereitgestellte Software, die ein Root-Zertifikat samt privatem Schlüssel installiert. Das Tool namens Dell System Detect ist schon früher als Sicherheitsrisiko aufgefallen.

Ein auf aktuellen Dell-Laptops vorinstalliertes Root-Zertifikat ermöglicht es Angreifern, nach Belieben HTTPS-Verbindungen mitzulesen. Eine fast identische Sicherheitslücke, verursacht durch das Programm Superfish, betraf vor einigen Monaten Lenovo-Laptops.

Die Bundesregierung hält an ihrer Position in Sachen Backdoors fest. Hintertüren in Verschlüsselungsprogrammen seien nicht nötig. Es gebe andere Möglichkeiten.

Regierung, Forschung und IT-Wirtschaft wollen die Ende-zu-Ende-Verschlüsselung in Deutschland vorantreiben. Die sichere Kommunikation solle zum Standard werden, heißt es in einer gemeinsam unterzeichneten Charta.

Zahlreiche Sicherheitslücken plagen die Standards zum Verschlüsseln und Signieren von XML-Daten. Obwohl die Lücken schon viele Jahre bekannt sind, finden sich nach wie vor viele verwundbare Produkte.