Kategorienarchiv: Security

Jan 31

GPG auf mehreren mobilen Geräten

Bisher war ich recht zögerlich, GPG-Schlüssel auf mobilen Geräten auszurollen. Zu groß waren mein Bedenken, mit dem Gerät auch meine digitale Identität zu verlieren. Hier eine technische Lösung, mit dem sich der Schlüsselverlust prinzipiell handhaben lässt – ohne eine neue Identität erschaffen zu müssen. Hauptschlüssel sind Nachweis unserer Online-Identität und damit sehr kostbar. Wenn ein …

Weiter lesen »

Dez 20

Pwgen 2.07 schließt Sicherheitslücke

Der Kommandozeilen-Passwortgenerator pwgen hatte Schwachstellen beim Zufallsgenerator (CVE-2013-4440 und CVE-2013-4442). Das ermöglichte einem Angreifer unter bestimmten Umständen, den Suchraum nach erzeugten Passwörtern mit etwas zusätzlichem Wissen über den Maschinenkontext einzugrenzen. Ich empfehle das Update auf Version 2.07.

Jan 01

Akustische Kryptoanalyse: Das Klimpern des Schlüsselbundes

Daniel Genkin, Adi Shamir (das S in RSA) und Eran Tromer haben kurz vor Weihnachten einen interessanten Seitenkanalangriff auf die RSA-Verschlüsselung mit GnuPG publiziert. Ich lese gerade das 57-seitige Originalpapier „RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis“ dazu. Darin gelang es ihnen, in normaler Büroumgebung 4096-Bit lange private Schlüssel über die Analyse des akustischen Geräusches, …

Weiter lesen »

Aug 16

ejabberd-Passwörter im Klartext

Es gibt im Jahr 2013 noch Serverdienste, die Benutzerpasswörter im Klartext speichern. So – wie gerade getestet – ejabberd. ejabberd ist eine Jabber-Implementierung. Mit ein paar Zeilen extrahiert der Administrator die Kennwörter: ejabberdctl ejabberd@localhost dump dump.txt cat dump.txt | grep „{passwd,{“ >passtmp.txt sed -e ’s/{passwd,{„//g;s/“,“/ /g;s/“},“/ /g;s/“}.//g‘ passtmp.txt >passwd.txt Ist laut Datum vom Original-Post seit …

Weiter lesen »

Aug 07

Gib mir mal schnell den Fingerabdruck deines SSL-Serverzertifikats!

SSL-Zertifikate zu prüfen gehört zur grundlegenden Internethygiene. SSL-Zertifikate dienen dazu, Krypto-Schlüssel auszutauschen, mit der die Kommunikation durch Verschlüsselung vertraulich wird. Die Gefahr besteht jedoch, dass ein Angreifer eigene Schlüssel einschleußt, um die Inhalte der Kommunikation abzuhören – die sogenannte Man-in-the-Middle Attack. Daher stellt sich beim Importieren von Zertifikaten die Frage: Handelt es sich tatsächlich um …

Weiter lesen »

Okt 10

SHA-3: Neue kryptografische Hashfunktion

Ich wollte schon früher berichten, nach einem Kurzurlaub an der See ist es jetzt soweit… Letzte Woche wählte das National Institute of Standards and Technology (NIST) den Gewinner der NIST hash function competition. Ziel dieses öffentlichen Wettbewerb war es, eine neue kryptografische Hash-Funktion SHA-3 zu entwickeln. Keccak – der  Beitrag der NXP- und STMicroelectronics-Mitarbeiter Guido …

Weiter lesen »