Immer häufiger empfehlen Experten, so bald als möglich auf PGP zu verzichten und die Kommunikation auf sicherere Apps wie Signal, Threema oder WhatsApp zu verlagern1. Das hat drei Gründe: Die Anzahl der möglichen Fehler bei der Nutzung von PGP ist sehr hoch. Weiterlesen

Im Jänner diesen Jahres hat der renommierte Guardian über eine potentielle Backdoor in WhatsApp berichtet. Das trifft alle hart, denn WhatsApp prahlt damit, eine sichere Messaging-Applikation zu sein. Facebook, Eigentümer von WhatsApp, hat sich aber für einen Kompromiss in der Ende-zu-Ende-Verschlüsselung entschieden, der den Komfort vor die Sicherheit stellt. Weiterlesen

Cyberduck, der einzig kontinuierlich weiterentwickelte Client zur Dateiübertragung in was weiß ich wie vielen Protokollen, und Mountain Duck, eine Cyberduck-Variante, die es ermöglicht, externe Datenspeicher als lokale Laufwerke darzustellen und zu nutzen, werden ab der nächsten Version die Verschlüsselungsfunktionen von Cryptomator enthalten. Weiterlesen

In einem Raum sind drei Personen: Alice, Bob und Eve. Alice und Bob wollen miteinander kommunizieren, ohne dass Eve versteht, worüber sie sich unterhalten. Damit sie das tun können, müssen sie ihre Nachrichten verschlüsseln. Da Eve aber im Raum anwesend ist und stets mitlesen kann, müssen sie einen Weg finden, sich öffentlich auf einen Schlüssel (zur Verschlüsselung der zukünftigen Nachrichten) zu einigen, den Eve nicht lesen kann. Weiterlesen

Die Electronic Frontiers Foundation hat eine vollseitige Anzeige im Wired-Magazin geschalten, die sich gewaschen hat. Sie spricht die Technology Community der USA an und warnt vor den potentiellen Möglichkeiten, die Protokolldateien und andere, der Datensammlung nützliche Informationen, der neuen US-Regierung bieten würden. Weiterlesen

Sobald meine Daten meinen Rechner verlassen, müssen sie gesichert und vor fremdem Zugriff geschützt, also verschlüsselt sein. Gerade beim Thema Online-Backup gilt das ganz besonders. Deshalb bin ich schon vor einiger Zeit auf die Sicherheit beim Online-Backupdienst Backblaze eingegangen und habe schon damals erwähnt, dass das Sicherheitsmodell des Anbieters eine Schwachstelle hat, nämlich… den Prozess des Entschlüsselns und Herunterladens [von wiederhergestellten Daten]. Weiterlesen

Wie der Heartbleed-Bug, der einen Großteil der Online-Verschlüsselung für lange Zeit de facto obsolet gemacht hat, funktioniert. Wie immer auf den Punkt gebracht und hervorragend von xkcd erklärt. Ihr habt eure Passwörter bereits geändert (oder alle Dienste/Services, die bis heute keine Information zum Heartbleed-Bug veröffentlicht und euch zum Ändern der Passwörter aufgefordert haben, verlassen)? Weiterlesen

Herausfinden, was sich jemand angesehen hat, obwohl die Verbindung zwischen Client und Server mittels HTTPS geschützt ist? Ja, geht; mittels Analyse der Normalverteilung von Datenmustern. We present a traffic analysis attack against over 6000 webpages spanning the HTTPS deployments of 10 widely used, industry-leading websites in areas such as healthcare, finance, legal services and streaming video. Weiterlesen

Der unverschlüsselte Up- und Download per FTP ist und bleibt ein Sicherheitsrisiko. Mein Webhost, Uberspace, erlaubt nur SFTP-Verbindungen und bietet Verbindungen per FTP „ausdrücklich nicht“ an. Mit dieser Ausschluss-Policy steht Uberspace aber offenbar ziemlich alleine da. Weiterlesen

Detlef Granzow bietet unter kryptochef.de (sic!) KRYPTO, das „sicherste Daten Verschlüsselungs Programm der Welt“ (sic!) für 130 Euro an. Zu den besonderen Merkmalen der geschmackvoll gestalteten „Hoch Sicherheits Daten Verschlüsselungs Software für Windows“ (sic!) gehört zum Beispiel… die absolut technisch höchste Verschlüsselungstiefe von 256 Bit und die maximal mögliche dynamische Schlüssellänge die überhaupt auf Computern möglich ist, und das auch noch mehrfach in einem Durchlauf. Weiterlesen

Im Schriftstück IP/14/70 28/01/2014 der Europäischen Kommission wird ein Satz aus Viviane Redings Rede anlässlich des heutigen Tags des Datenschutzes betont zitiert: „Die EU kann mit ihren Bemühungen zur Wiederherstellung des Vertrauens nur dann glaubwürdig und Vorbild für andere Kontinente sein, wenn sie das eigene Haus in Ordnung bringt.“ Stichwort „das eigene Haus in Ordnung bringen“. Weiterlesen

Ich habe mich unlängst mit Philipp über die Notwendigkeit eines Containerprogramms wie BoxCryptor zur Verschlüsselung von Dateien in Cloudspeicherdiensten (insbesondere dem weit verbreiteten Dropbox) unterhalten. Dabei hat sich herausgestellt, dass Philipp die iOS-Funktionalitäten von BoxCryptor überhaupt nicht benötigt und Dropbox hauptsächlich alleine zu Zwecken der Datensicherheit (im Sinne von „kontinuierliches Backup“) benutzt: wichtige Projektdateien sollen bei einem Festplattencrash in einem sicheren Onlinespeicher überleben. Weiterlesen

Ein Fehler, der seit spätestens 2005 bekannt ist, führt nun dazu, dass selbst Microsoft, für gewöhnlich immer ein paar Jahre zu spät, empfiehlt, den RC4-Algorithmus nicht mehr zu verwenden und, wo möglich, zu deaktivieren. Der Algorithmus ermöglich es, Webserver-Daten in Echtzeit zu entschlüsseln. Weiterlesen

Scheinbar ist es der NSA gelungen, SSL bzw. HTTPS-Verbindungen zu knacken, internationale Verschlüsselungsstandards zu beeinflussen und die Zusammenarbeit mit Technologiekonzernen auszubauen. Der Name dieses Angriffs auf die dem Internet zugrundeliegenden Verschlüsselungstechnologien: Bullrun. Some of the agency’s most intensive efforts have focused on the encryption in universal use in the United States, including Secure Sockets Layer, or SSL; virtual private networks, or VPNs; and the protection used on fourth-generation, or 4G, smartphones. Weiterlesen

Whistle.im ist ein weiterer Messaging-Dienst, der das größte Problem des Platzhirschen WhatsApp (ähnlich, wie das auch Threema versucht) beseitigen will: Whistle.im ist „Secure instant messaging made in Germany“ und biete sichere Ende-zu-Ende-Verschlüsselung. Quatsch und Fuckup, meint dazu Nexus auf einer vom CCC gehosteten Website, die whistle.im als „FaaS – Fuckup as a Service“ vernichtend beurteilt. Weiterlesen

Das ging ja schnell. Gerade wurde die Möglichkeit in Google Chrome, Passwörter im Klartext anzusehen, angeprangert, schon ist die – etwas eigenartige – Antwort des Google Chrome Browser Security Tech Lead Justin Schuh da. The only strong permission boundary for your password storage is the OS user account. Weiterlesen

Ich habe aus der Notwendigkeit Paranoia, TrueCrypt bei Bedarf zu laden und wichtige Dokumente sicher dorthin zu sichern eine Hazel-Abfolgeregel erstellt, die die Inhalte im Ordner „Dokumente“ bei jeder Änderung in einen hochverschlüsselten TrueCrypt-Container container.tc, der als Laufwerk mit der Bezeichnung Dokumente geladen wird, kopiert. Weiterlesen

Beim ersten Start von Google Chrome bietet der Browser an, verschiedene Einstellungen (und Bookmarks) aus Safari oder anderen Browsern zu übernehmen. Dabei werden Passwörter im Klartext abgespeichert. By using words like “confidential information” and “stored in your keychain”, OSX describes the state of your saved password’s current security. Weiterlesen

CryptoParty

Für die elfte CryptoParty (im Metalab) war der Themenbereich „Sicheres Speichern von Daten“ festgelegt worden. Die hier passenden Stichworte sind Festplattenverschlüsselung/Full Disk Encryption, Verschlüsselung von CDs, DVDs und USB-Sticks, FileVault, BitLocker, Luks und TrueCrypt. Die dazugehörigen Fragen am Anfang der Party zielten auf Bewusstseinsbildung ab: Die Verschlüsselung von USB-Sticks (und anderen Medien) ist nicht automatisch eine Notwendigkeit zur Verschleierung „geheimer“ Informationen. Weiterlesen

Bei all der Freude um mit PGP/GPG-geschützte E-Mails, in TrueCrypt-Containern gesicherte Dateien, Server-Zertifikate, in Passwortmanagern gespeicherte, superkomplizierte Passwörter und andere Möglichkeiten der Verschlüsselung und Datensicherung, darf man niemals die Kehrseite kryptografisch gesicherter Daten vergessen, die hier schon einmal präsentiert wurde: Wer seine (Widerrufs-) Zertifikate, Passwörter oder Keys verliert, verliert den Zugang zu seinen verschlüsselten Daten für immer und ewig. Weiterlesen

Wichtige Dokumente, also – um das zu verdeutlichen – Rechnungen, Verträge, Unterschriftenmuster, Baupläne, Wohnungsgrundrisse, Kostenvoranschläge, Reisedaten, Urkunden, eingescannte Handschriften, Testamente, Kontoauszüge, Lebensläufe, Bewerbungsschreiben, Krankenakten, Röntgenbilder, Befunde, Steuererklärungen, Steuerbescheide, Zeugnisse, Liebesbriefe, Kopien und Scans offizieller Dokumente, Tickets, Zertifikate, Tonaufzeichnungen der eigenen Stimme, Interviews, Tagebücher, Audionachrichten, alle Bilder, die zuhause oder in den Räumlichkeiten der Familie gemacht wurden, Dateien jeder Art, die Informationen über sexuelle Neigungen, religiöse Ausrichtung oder politische Einstellung preisgeben oder den Rückschluss darauf möglich machen, Passwortdateien, Bewegungsdaten (wie zB GPS-Tracks oder mit solchen Daten ausgestattete Fotos), Adresssammlungen, Kundendaten, Sitzungsprotokolle, Analysen und Statistiken sowie Backups und E-Mails, die solche Daten enthalten, gehören immer und ohne Ausnahme, selbst auf Computern mit verschlüsselten Festplatten, in einem verschlüsselten Container – und sonst nirgendwo! Weiterlesen

Ein Abschnitt aus dem erstaunlich kultivierten und sachlichen Chat mit Edward Snowden im Guardian. Is encrypting my email any good at defeating the NSA survelielance? Id my data protected by standard encryption? Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Weiterlesen

Im an sich wohlklingenden Statement Apples zur Consumer Privacy wird die Ende-zu-Ende-Verschlüsselung von iMessage (und FaceTime) als unknackbar präsentiert. For example, conversations which take place over iMessage and FaceTime are protected by end-to-end encryption so no one but the sender and receiver can see or read them. Weiterlesen

Einmal das (kostenlose) GPG installiert und die dazugehörigen Keys generiert, lässt sich die Hochsicherheitsverschlüsselung für E-Mails problemlos (und äußerst komfortabel) in Apple Mail, Thunderbird, Postbox, etc. unter Mac OS X anwenden. Hier die Anleitung zur Installation und Konfiguration für Apple Mail, wie man sie für gewöhnlich auf CryptoPartys oder bei anderen themenrelevanten Zusammenkünften erhält. Weiterlesen

Sicheres Messaging1 durch Transport- sowie Ende-zu-Ende-Verschlüsselung. Und wenn man in den FAQs auch noch solche Hinweise findet… Wir raten Ihnen aber, uns nicht zu vertrauen und die Schlüssel beim nächsten Treffen mit einem Ihrer Kontakte persönlich zu überprüfen. Weiterlesen

Backblaze Online-Backup

Nachdem auch Evernote in diesem Jahr gehackt wurde und Benutzerdaten scheinbar nicht einmal von den größten Onlinefirmen geschützt werden können, habe ich mir das Sicherheitsmodell von Backblaze, das ich als Online-Backuplösung in sichere Backups unter Mac OS X empfehle, noch einmal genauer angesehen. Weiterlesen

Wie ist es möglich, dass Browser und Server sichere Verbindungen miteinander aufbauen? Jeff Moser beantwortet diese Frage in einem ausführlich kommentierten Ablaufprotokoll über die ersten 220 Millisekunden einer HTTPS-Verbindung. In just 220 milliseconds, two endpoints on the Internet came together, provided enough credentials to trust each other, set up encryption algorithms, and started to send encrypted traffic. Weiterlesen

Man nennt das (von xkcd wie immer hervorragend dargestellte) Prinzip auch Rubber-Hose Kryptanalyse, die ursprünglich wie folgt beschrieben wurde: You still don’t get The Master Plan, unless you resort to the rubber-hose technique of cryptanalysis. (in which a rubber hose is applied forcefully and frequently to the soles of the feet until the key to the cryptosystem is discovered, a process that can take a surprisingly short time and is quite computationally inexpensive). Weiterlesen

Warum Passwörter nicht verschlüsselt in Datenbanken gespeichert werden sollten (sondern gar nicht!) und wie man mit einem Schuh, einem Stift und einem Blatt Papier Passwörter, Hashing und Salting erklären kann. Wer es jetzt verstanden hat, liest gleich nochmal nach, warum Passwörter immer leichter zu knacken sind. Weiterlesen

Der DNS-Provider OpenDNS (nein, hat nichts mit “offen” zu tun, ganz im Gegenteil!) testet schon seit einiger Zeit ein Tool, mit dem man den Datenverkehr zwischen lokalem Rechner und DNS-Server verschlüsseln kann: DNSCrypt. Obwohl die Software noch als Preview Release gehandhabt wird, ist sie genügend stabil, um sowohl auf Mac als auch Windows produktiv eingesetzt werden zu können. Weiterlesen

Drecks WhatsApp und Drecks Spammer. Do not use WhatsApp. Really, don‘t.

Der Chaos Computer Club berichtet über die alte und nicht mehr sichere Verschlüsselung von Handygesprächen, die seit zwanzig Jahren nicht mehr aktualisiert wurde, nunmehr aber ohne großen finanziellen oder technischen Aufwand von jedem mit Amateurmitteln gebrochen werden kann. Weiterlesen

Seitdem ich meine Daten immer häufiger in der Cloud (zB Dropbox) speichere und nicht zu denjenigen gehöre, die der Neudefinition von Datenschutz („Wir versprechen, dass wir keine Einsicht in Ihre Daten nehmen“) Vertrauen schenken, habe ich nach Möglichkeiten gesucht, meine Daten einfach und sicher verschlüsseln zu können. Weiterlesen

Do NOT follow this link or you will be banned from the site! Wo niemand klickt