Dezember 2014 Archiv

Spiegel publiziert Dokumente über Krypto-Brechprogramme der NSA

Der Spiegel publizierte heute diesen Haufen Dokumente über die Krypto-Brechprogramme der NSA. PGP und OTR scheinen zumindest bis zur Abfassung der Dokumente sicher gewesen zu sein.

Pwgen 2.07 schließt Sicherheitslücke

Der Kommandozeilen-Passwortgenerator pwgen hatte Schwachstellen beim Zufallsgenerator (CVE-2013-4440 und CVE-2013-4442). Das ermöglichte einem Angreifer unter bestimmten Umständen, den Suchraum nach erzeugten Passwörtern mit etwas zusätzlichem Wissen über den Maschinenkontext einzugrenzen. Ich empfehle das Update auf Version 2.07.

Perfect Forward Secrecy

Gestern aufgezeichnet, heute entschlüsselt – dieses Angriffszenario gilt es zu verhindern: Ein kompromittierter Schlüssel betrifft auch in der Vergangenheit geführte und verschlüsselt aufgezeichnete Kommunikation. Mit Konfiguration der Cipher-Reihenfolge für Web- und Mailserver, bei der ein Schlüsselaustausch zwischen Client und Server nach dem Diffie-Hellman-Verfahren bewerkstelligt wird, lässt sich das verhindern. HTTPS-Verbindungen lassen sich mit dem Qualys …

Weiterlesen