Vertrauenswürdige Zeitstempel sind Siegel für die Datenintegrität mit einem vertrauenswürdigen Datum und Uhrzeit zu dem die Zertifizierung stattfand. Klares Ziel ist hier die sichere Verfolgung der Erstellungs- und Änderungszeit eines Dokuments. Niemand – auch nicht der Besitzer des Dokuments – sollte nach Erstellen des Zeitstempels in der Lage sein, das Dokument zu ändern, ohne die …
Kategorie: Security
Jan 31
GPG auf mehreren mobilen Geräten
Bisher war ich recht zögerlich, GPG-Schlüssel auf mobilen Geräten auszurollen. Zu groß waren mein Bedenken, mit dem Gerät auch meine digitale Identität zu verlieren. Hier eine technische Lösung, mit dem sich der Schlüsselverlust prinzipiell handhaben lässt – ohne eine neue Identität erschaffen zu müssen. Hauptschlüssel sind Nachweis unserer Online-Identität und damit sehr kostbar. Wenn ein …
Dez 20
Pwgen 2.07 schließt Sicherheitslücke
Der Kommandozeilen-Passwortgenerator pwgen hatte Schwachstellen beim Zufallsgenerator (CVE-2013-4440 und CVE-2013-4442). Das ermöglichte einem Angreifer unter bestimmten Umständen, den Suchraum nach erzeugten Passwörtern mit etwas zusätzlichem Wissen über den Maschinenkontext einzugrenzen. Ich empfehle das Update auf Version 2.07.
Jan 01
Akustische Kryptoanalyse: Das Klimpern des Schlüsselbundes
Daniel Genkin, Adi Shamir (das S in RSA) und Eran Tromer haben kurz vor Weihnachten einen interessanten Seitenkanalangriff auf die RSA-Verschlüsselung mit GnuPG publiziert. Ich lese gerade das 57-seitige Originalpapier „RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis“ dazu. Darin gelang es ihnen, in normaler Büroumgebung 4096-Bit lange private Schlüssel über die Analyse des akustischen Geräusches, …
Aug 16
ejabberd-Passwörter im Klartext
Es gibt im Jahr 2013 noch Serverdienste, die Benutzerpasswörter im Klartext speichern. So – wie gerade getestet – ejabberd. ejabberd ist eine Jabber-Implementierung. Mit ein paar Zeilen extrahiert der Administrator die Kennwörter: ejabberdctl ejabberd@localhost dump dump.txt cat dump.txt | grep „{passwd,{“ >passtmp.txt sed -e ’s/{passwd,{„//g;s/“,“/ /g;s/“},“/ /g;s/“}.//g‘ passtmp.txt >passwd.txt Ist laut Datum vom Original-Post seit …
Aug 07
Gib mir mal schnell den Fingerabdruck deines SSL-Serverzertifikats!
SSL-Zertifikate zu prüfen gehört zur grundlegenden Internethygiene. SSL-Zertifikate dienen dazu, Krypto-Schlüssel auszutauschen, mit der die Kommunikation durch Verschlüsselung vertraulich wird. Die Gefahr besteht jedoch, dass ein Angreifer eigene Schlüssel einschleußt, um die Inhalte der Kommunikation abzuhören – die sogenannte Man-in-the-Middle Attack. Daher stellt sich beim Importieren von Zertifikaten die Frage: Handelt es sich tatsächlich um …
Okt 10
SHA-3: Neue kryptografische Hashfunktion
Ich wollte schon früher berichten, nach einem Kurzurlaub an der See ist es jetzt soweit… Letzte Woche wählte das National Institute of Standards and Technology (NIST) den Gewinner der NIST hash function competition. Ziel dieses öffentlichen Wettbewerb war es, eine neue kryptografische Hash-Funktion SHA-3 zu entwickeln. Keccak – der Beitrag der NXP- und STMicroelectronics-Mitarbeiter Guido …
Neueste Kommentare