Category: Security

Vertrauenswürdige Zeitstempel

Vertrauenswürdige Zeitstempel sind Siegel für die Datenintegrität mit einem vertrauenswürdigen Datum und Uhrzeit zu dem die Zertifizierung stattfand. Klares Ziel ist hier die sichere Verfolgung der Erstellungs- und Änderungszeit eines Dokuments. Niemand – auch nicht der Besitzer des Dokuments – sollte nach Erstellen des Zeitstempels in der Lage sein, das Dokument zu ändern, ohne die …

Continue reading

GPG auf mehreren mobilen Geräten

Bisher war ich recht zögerlich, GPG-Schlüssel auf mobilen Geräten auszurollen. Zu groß waren mein Bedenken, mit dem Gerät auch meine digitale Identität zu verlieren. Hier eine technische Lösung, mit dem sich der Schlüsselverlust prinzipiell handhaben lässt – ohne eine neue Identität erschaffen zu müssen. Hauptschlüssel sind Nachweis unserer Online-Identität und damit sehr kostbar. Wenn ein …

Continue reading

Pwgen 2.07 schließt Sicherheitslücke

Der Kommandozeilen-Passwortgenerator pwgen hatte Schwachstellen beim Zufallsgenerator (CVE-2013-4440 und CVE-2013-4442). Das ermöglichte einem Angreifer unter bestimmten Umständen, den Suchraum nach erzeugten Passwörtern mit etwas zusätzlichem Wissen über den Maschinenkontext einzugrenzen. Ich empfehle das Update auf Version 2.07.

Akustische Kryptoanalyse: Das Klimpern des Schlüsselbundes

Daniel Genkin, Adi Shamir (das S in RSA) und Eran Tromer haben kurz vor Weihnachten einen interessanten Seitenkanalangriff auf die RSA-Verschlüsselung mit GnuPG publiziert. Ich lese gerade das 57-seitige Originalpapier „RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis“ dazu. Darin gelang es ihnen, in normaler Büroumgebung 4096-Bit lange private Schlüssel über die Analyse des akustischen Geräusches, …

Continue reading

ejabberd-Passwörter im Klartext

Es gibt im Jahr 2013 noch Serverdienste, die Benutzerpasswörter im Klartext speichern. So – wie gerade getestet – ejabberd. ejabberd ist eine Jabber-Implementierung. Mit ein paar Zeilen extrahiert der Administrator die Kennwörter: ejabberdctl ejabberd@localhost dump dump.txt cat dump.txt | grep „{passwd,{“ >passtmp.txt sed -e ’s/{passwd,{„//g;s/“,“/ /g;s/“},“/ /g;s/“}.//g‘ passtmp.txt >passwd.txt Ist laut Datum vom Original-Post seit …

Continue reading

Gib mir mal schnell den Fingerabdruck deines SSL-Serverzertifikats!

SSL-Zertifikate zu prüfen gehört zur grundlegenden Internethygiene. SSL-Zertifikate dienen dazu, Krypto-Schlüssel auszutauschen, mit der die Kommunikation durch Verschlüsselung vertraulich wird. Die Gefahr besteht jedoch, dass ein Angreifer eigene Schlüssel einschleußt, um die Inhalte der Kommunikation abzuhören – die sogenannte Man-in-the-Middle Attack. Daher stellt sich beim Importieren von Zertifikaten die Frage: Handelt es sich tatsächlich um …

Continue reading

SHA-3: Neue kryptografische Hashfunktion

Ich wollte schon früher berichten, nach einem Kurzurlaub an der See ist es jetzt soweit… Letzte Woche wählte das National Institute of Standards and Technology (NIST) den Gewinner der NIST hash function competition. Ziel dieses öffentlichen Wettbewerb war es, eine neue kryptografische Hash-Funktion SHA-3 zu entwickeln. Keccak – der  Beitrag der NXP- und STMicroelectronics-Mitarbeiter Guido …

Continue reading