Tag-Archive for » Verschlüsselung «

Browser Internet Explorer und Edge blocken SHA-1

Schon seit mehr als 10 Jahren gilt das SHA1-Hash-Verfahren zur Verschlüsselung von Internetseiten als geknackt. Im Februar dieses Jahres gab es dann auch den praktischen Nachweis, dass man Kollisionen, also zwei verschiedene Datensätze, die denselben Hash-Wert ergeben, berechnen kann.

Hersteller Microsoft hat schon länger angekündigt, seine beiden Browser Internet Explorer und Edge so umzustellen, dass sie auf durch SHA-1-Signaturen erzeugte HTTPS-Seiten mit Fehlermeldungen reagieren, was Mozillas Firefox und Googles Chrome  schon seit längerem machen. Seit der letzten Woche liefert der Hersteller Updates für beide Browser aus, um das geknackte Hash-Verfahren SHA-1 jetzt zu blockieren.

Genauere Details zu seiner SHA1-Blockade beschreibt Microsoft im Security Advisory 4010323, eine deutsche Übersetzung dazu finden Sie hier. Diese Updates können auch manuell downgeloadet werden, sie sind im Knowledge Base Artikel 4010323 zu finden.

Als Nachfolgemethode für das Hash-Verfahren wird von Microsoft SHA-2 empfohlen. Dessen zwei Varianten SHA256 und SHA512 werden als genügend sicher angesehen, um auch langfristig die Unterscheidbarkeit unterschiedlicher Online-Dokumente sicherstellen zu können.

Quic – die schnelle Alternative zu HTTPS

switchesandrewhartflickrccbysa2Zeit ist Geld – und deshalb hat Google erfolgreich versucht, die Verschlüsselung über TCP-Verbindungen durch das Quic-Verfahren zu ersetzen.

Denn das ist wesentlich schneller als die umständliche TCP-Variante, die zwischen das Transport Control Protol (TCP) zum reinen Datentransport und die Webanwendung mit ihrem Hypertext Transfer Protocol (HTTP) noch eine zusätzliche Transport Layer Security (TLS) eingesetzt wird – und das alles zusammen braucht weit mehr Zeit als das schnelle Quic (Quic UDP Internet Connections), das bei verschlüsselten Internetseiten deutlich schnellere Reaktionszeiten und letztlich auch viel schneller ladende Webseiten erlaubt.

Die Internet Engineering Task Force will jetzt das neue Protokoll zum Internet-Standard führen. Für Webworker, die genauer wissen möchten, wie das funktioniert, hat Golem Quic in einem ausführlichen aktuellen Artikel erklärt.

Foto: AndrewHart, Flickr, CC BY-SA 2.0

Politik plant Aktionsplan gegen Verschlüsselung

Verschluesselung2015Wer bei Google mit seiner Homepage optimal punkten will, muss seine Seiten verschlüsselt ausliefern – sonst wird die Homepage nicht so weit vorn in den Suchergebnissen gezeigt, wie es sein könnte.

Ähnlich schwierig sieht es auch schon mit unverschlüsselt transferierten Emails aus – bei so manchem Email-Provider geht das gar nicht mehr.

Politik und Sicherheit – eine Posse auf großer Bühne

Die Politik sieht Verschlüsselung aber offensichtlich eher kritisch, denn nach einem Bericht von Golem plant Frankreich gemeinsam mit Deutschland eine internationale Initiative zur Entschlüsselung verschlüsselter Kommunikation.

„Das ist eine zentrale Frage im Kampf gegen den Terrorismus“, sagte der französische Innenminister Bernard Cazeneuve am letzten Donnerstag in Paris. Zusammen mit seinem deutschen Amtskollegen Thomas de Maizière (CDU) wolle er am 23. August 2016 in Paris über eine gemeinsame europäische Initiative gegen Verschlüsselung sprechen. Das soll dann eine internationale Aktion vorbereiten, ergänzte Cazaneuve.

Weiterhin und stärker verschlüsseln!

Was will uns das sagen? De Maizière hatte sich im letzten Jahr mehrmals gegen Überlegungen gewandt, Hersteller von Handys oder Anbieter von Messengerdiensten zur Einrichtung von Hintertüren zu zwingen. Ganz im Gegenteil: Deutschland solle„Verschlüsselungsstandort Nr. 1 auf der Welt“ werden, heißt es unter anderem beispielsweise in der Digitalen Agenda der Regierung.

Offenbar nutzen die Politiker vor den anstehenden Wahlen einmal wieder die „gute Gelegenheit“, die aktuell viele terroristische Anschläge in Europa bieten, die Rechte der Bürger weiter einzuschränken und die Menschen gläserner zu machen.

Davon sollte man sich aber bezüglich seiner Internetseiten, Emails und allgemein seiner Internet-Kommunikation nicht beeindrucken lassen. Für Betreiber von Internetseiten ist die Verschlüsselung weiterhin sehr sinnvoll – egal, was die De Maizières dieser Welt dazu von sich geben…

Firefox 39 macht Ernst mit der Sicherheit

firefox-logoSeit Ende letzter Woche ist der Einsatz von SSL Version 3 durch die Internet Engineering Task Force (IETF) offiziell verboten. Dies extrem alte und fehleranfällige Protokoll ist  damit zwar nominell abgeschafft, aber diverse Anwendungen müssen das erst noch umsetzen.

Mit dem aktuellen Firefox 39 gehorcht Mozilla der Weisung der IETF und entfernt die Unterstützung für SSLv3 vollständig aus dem Browser.

Vorher war schon die veraltete Verschlüsselung  als Reaktion auf eine Sicherheitslücke namens Poodle Ende letzten Jahres abgeschaltet worden. Bei Googles Chrome gingen die Entwickler einen ähnlichen Weg.

Die Aktualisierung der Verschlüsselungsbibliothek NSS bietet jetzt auch eingebauten Schutz vor der bekannten Logjam-Attacke.

Weitere Details dazu in Deutsch finden Sie bei Golem.