verschlüsselung

Zugriff der KI von Drittanbietern auf meine Dropbox-Daten

Ihr solltet prüfen, ob die Einstellung "Zugang für Drittanbieter-KI" in euren Dropbox-Accounts aktiv ist und sie gegebenenfalls deaktivieren. Oder gleich eine ordentliche Verschlüsselungsebene einziehen, damit das Theater ein für alle Mal ein Ende hat.

Über den USB-Stick mit Bitcoins im Wert von 235 Mio. USD

Da hält einer einen verschlüsselten USB-Stick mit 235 Millionen USD drauf und weiß das Passwort nicht mehr. Ein Startup schafft es, diese Art von USB-Stick zu knacken, aber nun will der Besitzer den Stick nicht entschlüsseln lassen.

VeraCrypt 1.26.7

VeraCrypt, ein Nachfolger des plötzlich verschwundenen TrueCrypt, wurde nach mehr als eineinhalb Jahren, aktualisiert.

Trumps DMs und Entwürfe auf Twitter

Aus dem Trump-Prozess geht hervor: Twitter löscht nicht, DMs sind nicht wirklich privat und es existiert immer irgendwo ein Archiv von Dingen, von denen man nicht will, dass es existiert. Eigentlich nichts Neues, aber eine gute Erinnerung.

Passwörter und Einmalpasswörter in einer App?

Ist es sicher bzw. falsch, Passwörter und Einmalpasswörter in ein und derselben App zu speichern, fragt man sich im Firmenblog von 1Password, einem Service, mit dem man Passwörter und Einmalpasswörter in ein und derselben App speichern kann.

Datenleck bei der Letzten Generation

Ein Datenleck der Letzten Generation offenbarte besonders geschützte personenbezogene Daten von Mitgliedern und Interessenten. Darunter auch die Bereitschaft, fürs Anliegen ins Gefängnis zu gehen. Autsch!

Boxcryptor wird Dropbox

Dropbox hat Kerntechnologien von Boxcryptor gekauft und wird sie in seine Produkte integrieren. Das ist dann wohl das Ende von Boxcryptor in seiner jetzigen Form.

Telegram verschlüsselt? Nope.

Moxie Marlinspike (Gründer von Signal) wundert sich über die Bezeichnung von Telegram als „verschlüsselter Messenger“. Denn immerhin: Telegram stores all your contacts, groups, media, and every message you’ve ever sent…

Cryptomator 1.6.

Neues bei Cryptomator, denn die Version 1.6 kündigt sich an! Neues Tresorformat. Automatisches Locking der Tresore - da wird am Herzen der App gearbeitet. Sehr gut! Sobald 1.6 draußen ist, werde ich es mal wieder testen.

WhatsApp führt verschlüsselte Backups ein

WhatsApp, nicht gerade ein Liebkind auf meinem Blog, aber doch immer irgendwie bemüht, für Sicherheit zu sorgen, beginnt sich zu mausern und führt verschlüsselte Backups ein. Damit ist WhatsApp mit…

WhatsApp kann Nachrichten doch lesen? Moment, bitte!

Auf ProPublica wird behauptet, Facebook würde WhatsApp-Nachrichten mitlesen. Das Medien und Social-Media-Echo ist groß, andere Medien – bspw. die Futurezone – titeln „Facebook liest bei WhatsApp-Nachrichten mit„. Soetwas ist für…

Apples Fehler: Policy statt Unmöglichkeit

Ben Thompson beleuchtet in einem Beitrag, wie sehr sich Apple mit der Ankündigung, Bildanalysen am jeweiligen Device eines Users durchzuführen und von dort weg auf mögliche Problemfälle zu reagieren, in…

Dammbruch bei Apple

Apple will Kinder schützen. Deshalb hat der Konzern ein aus drei Elementen bestehendes System gebaut, das die Möglichkeiten von Verschlüsselung dramatisch reduziert, ein Einfallstor für zukünftige Begehrlichkeiten bildet und in…

VeraCrypt, „extremely complex“ 🔒

VeraCrypt – sozusagen der Nachfolger von TrueCrypt – scheint wirklich sehr hart zu knacken zu sein. Attacking BitLocker, LUKS or FileVault 2 is straightforward: read the disk header, figure out…

Nicht die DSGVO verhindert funktionierende Videokonferenzen

Der deutsche IT-Rechtsanwalt Chan-Jo Jun postet einen beherzten Aufruf zum Thema verschlüsseltes Video-Conferencing. Sein Anlassfall: das Homeschooling in Deutschland, welches – und das dringt sogar bis Österreich durch, obwohl wir…

Nur Verschlüsselung schützt

Der hamburgische Beauftragte für Datenschutz ist nach dem Privacy-Shield-Urteil des EuGH der Meinung, dass auch die auf Standardvertragsklauseln basierende Datenübermittlung in Drittstaaten konsequenterweise ungültig sein muss. Wenn die Ungültigkeit des…

Cryptomator 1.5.

Wie konnte ich das nur so lange liegen lassen? Cryptomator, die mir sympathische, aber noch vor einiger Zeit leider nicht für den produktiven Betrieb reife Verschlüsselungssoftware für Cloudspeicherdienste, ist vor einigen Tagen in Version 1.5 erschienen.

In meinen Augen ist das sichere und kontrollierte Verschlüsseln von bei solchen Diensten irgendwo hochgeladenen Dateien keine Option, sondern es sollte grundsätzlich den Normalzustand darstellen. Ja, Dropbox, OneDrive, Google Drive usw, verschlüsseln die Daten schon auch selbst, aber sie alle verfügen über die nötigen Mittel und Wege, um an die unverschlüsselten Daten heranzukommen. Cloudverschlüsselungsprogramme wie Cryptomator (oder alternativ Boxcryptor) schieben dem einen Riegel vor: Sie verschlüsseln die Daten, noch bevor sie hochgeladen werden. Somit würde jemand, der die Daten in der Cloud entschlüsselt, abermals mit verschlüsselten Daten konfrontiert sein.

Natürlich werde ich Cryptomator 1.5 ausprobieren, vor allem mit großen Dateien, und nachher hier bescheid geben.

Mehr und sicherer Speicher bei Microsoft OneDrive.

Microsoft OneDrive bringt zwei Neuerungen: Mehr Speicher in den Personal-Speicherplänen und - viel wesentlicher - einen neuen, sichereren Speicher namens OneDrive Personal Vault.

Personal Vault is a protected area in OneDrive that you can only access with a strong authentication method or a second step of identity verification, such as your fingerprint, face, PIN, or a code sent to you via email or SMS. Your locked files in Personal Vault have an extra layer of security, keeping them more secured in the event that someone gains access to your account or your device. […] Personal Vault adds to the robust privacy and security that OneDrive currently offers, including file encryption at rest and in transit, suspicious activity monitoring, ransomware detection and recovery, mass file deletion notification and recovery, virus scanning on download for known threats, and version history for all file types.

Okay, das klingt ja alles vielversprechend. Vor allem ist ein zweiter Faktor, denn darauf scheint es ja hinauszulaufen, immer eine gute Idee, um persönliche, wichtige oder womöglich jetzt oder in Zukunft kompromittierende Daten zu schützen. Zumindest ist das in jedem Fall besser als wenn die Daten ohne zusätzliche Sicherung in der Cloud liegen.

Besser wäre allerdings eine Zero-Knowledge-Policy seitens des Anbieters. Noch viel besser eine technische Lösung, die es für den Anbieter des Cloudspeichers in jeglicher Hinsicht unmöglich macht, die darauf abgelegten Daten auslesen zu können: Ende-zu-Ende-Verschlüsselung durch Software von Drittanbietern, wie zum Beispiel Boxcryptor oder Cryptomator. Beide Programme bieten vollständige Ende-zu-Ende-Verschlüsselung an, die man bei der alltäglichen Arbeit gar nicht bemerkt.

Espionage 3.7.

Tao Effect hat gestern Espionage 3.7 mit ein paar optischen Updates für macOS Mojave veröffentlicht. Ich habe Espionage vor ein paar Jahren hier kurz erwähnt, bin aber nie näher darauf eingegangen. Espionage ist eine Menubar-Applikation, die, ähnlich 1Password, einen Tresor erstellt, der Schlüssel für vom Betriebssystem erstellte, verschlüsselte Container bereithält, die anstelle von Ordnern gemountet werden können. Zusätzlich zum Container, der tatsächlich verschlüsselte Daten enthält, erstellt Espionage aber noch weitere, quasi nutzlose Container, die für einen Plausible Deniability-Zugang herhalten können. Das Projekt ist meiner Meinung nach ziemlich interessant und weist auch einen entscheidenden Vorteil gegenüber dem gewöhnlichen macOS-Schlüsselbund auf, in dem man ja auch die Passwörter für verschlüsselte Container sichern kann: Anstatt der Triple-DES-Verschlüsselung kommt Scrypt als Verschlüsselungsalgorithmus zum Einsatz. Dennoch habe ich Espionage aktuell nicht in Verwendung, weil ich persönlich ein Problem mit den langen Entwicklungszyklen habe: Das letzte Update vor der Version 3.7 (Oktober 2018) war im September 2016, die aktuellste Jahreszahl im Supportforum ist 2017 und, vor allem, weil mir eine Synchronisationsfunktion fehlt. Es gibt zwar einen Workaround mit Dropbox, den ich vor einiger Zeit auch ausprobiert habe, aber nach nicht mal einer Woche gab es irgendein Problem und einer der verschlüsselten Container konnte nicht mehr geöffnet werden.

Ein Grund mehr für Verschlüsselung in der Cloud.

Zusätzlich zu vielen offenen Fragen, die unverschlüsselte Daten eo ipso auf Cloudspeichern hervorrufen, gibt es noch einen Grund mehr für die Verschlüsselung eben dieser Daten. Gehen sie verloren, entfällt, wenn ich den Text richtig interpretiere, die Benachrichtigungspflicht; keine Anrufe mit Entschuldigungen, keine E-Mails mit Erklärungen... Das kann - man denke an Anwaltskanzleien, Ärzte, Versicherungsunternehmen udgl. - Imageschäden und Vertrauensverlust abwenden.

Die Benachrichtigung der betroffenen Person […] ist nicht erforderlich, wenn […] der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung.

Art 34 Abs 3a DSGVO

Titel und bisheriger Inhalt dieses Artikels scheinen die  Verschlüsselungsempfehlung auf Cloudspeicher einzuschränken, aber bitte, verschlüsselt eure Daten einfach immer und überall. Ein Laptop ist schneller gestohlen als einem lieb ist, ein USB-Stick schnell verloren. Verschlüsselung ist kein Hindernis, erfolgt vollautomatisch und man bemerkt sie gar nicht, wenn sie einmal eingerichtet ist. Es ist wirklich nicht viel mehr als irgendwo im System eine Einstellung zu ändern oder, um zum Cloudspeicherthema zurück zu kommen, Software wie Boxcryptor oder Cryptomator zu installieren.

Nachtrag zu Mountain Duck & Cryptomator: Boxcryptor.

Ich habe vor einiger Zeit von der Kombination aus Mountain Duck & Cryptomator geschwärmt, weil ich in dieser Programmkombination endlich die Möglichkeit sah, Cloudspeicher bequem und sicher nutzen zu können: Mountain…

Die Zeit von PGP ist vorbei.

Immer häufiger empfehlen Experten, so bald als möglich auf PGP zu verzichten und die Kommunikation auf sicherere Apps wie Signal, Threema oder WhatsApp zu verlagern1. Das hat drei Gründe:
  1. Die Anzahl der möglichen Fehler bei der Nutzung von PGP ist sehr hoch. (Zuletzt hat sich das Adobe Security-Team mit der Veröffentlichung des eigenen Private Key blamiert.)
  2. Apps wie Threema, Signal und WhatsApp sind hingegen kinderleicht zu bedienen und deren (ohnedies sicherere) Verschlüsselung verschwindet, einmal eingerichtet, in den Hintergrund. Ein Nutzer kann fast keine Fehler machen.
  3. iOS-Devices2 sind mittlerweile sicherer als selbst mit einer Festplattenvollverschlüsselung ausgestattete Computer.
Und wenn sowohl das Betriebssystem als auch die Apps und die darin genutzten Protokolle allesamt sicherer sind als ein auf einem umständlich gesicherten Computer von einem erfahrenen User genutztes PGP, dann bedeutet das im Klartext: Die Zeit von PGP ist vorbei.

  1. Oder Protokolle wie XMPP+OTR oder XMPP+OMEMO zu benutzen. Hier eine Liste von Clients
  2. Siehe zB diese Tweets von Zeynep Tufekci und Matthew Green

Über die WhatsApp-Backdoor, die „keine“ ist.

Im Jänner diesen Jahres hat der renommierte Guardian über eine potentielle Backdoor in WhatsApp berichtet. Das trifft alle hart, denn WhatsApp prahlt damit, eine sichere Messaging-Applikation zu sein. Facebook, Eigentümer von WhatsApp, hat sich aber für einen Kompromiss in der Ende-zu-Ende-Verschlüsselung entschieden, der den Komfort vor die Sicherheit stellt.
The way WhatsApp implemented the protocol, new keys are generated when […] a user gets a new phone or reinstalls the app. Messages for the user which may have been waiting to be delivered while the user was offline are then re-encrypted and resent by the sender automatically, without the sender having had an opportunity to verify that the recipient is the person intended to receive the message. […] This re-encryption and rebroadcasting of previously undelivered messages could potentially allow a third party to intercept and read a user’s undelivered messages in a situation where, for example, they had stolen a user’s sim card. When the third party put the stolen sim card in another phone, they could then theoretically collect any messages that had not yet been delivered to the user in question.
Die Bezeichnung dieses Verhaltens als "Backdoor" ist und war schon im Jänner ein Problem, denn neu-verschlüsselte Nachrichten auf diese Art und Weise zuzustellen, ist eine "Entscheidung" und kein dem Signal-Protokoll innewohnendes Problem. Die Entscheidung, mit geänderten Keys so umzugehen, führt zur stärkeren Verbreitung einer sicheren Messagingapplikation; sie als Backdoor zu bezeichnen nur dazu, dass sich Nutzer größeren Gefahren aussetzen. Das sah der Guardian heute (!) ein. Also 5 Monate später.
Critics said that the Guardian article overstated the risk of what is known in the jargon as a man-in-the-middle attack, in which a third party could exploit the combination of offline phone, messages in transit and changed key to intercept private communications. […] Some were concerned that an overstated claim in the Guardian about risk to the security of WhatsApp would cause non-expert users to become unduly worried and needlessly abandon WhatsApp for less secure communication methods.
Ich bin zwiegespalten, was diese de facto-Entschuldigung des Guardian angeht, denn er hat ja eigentlich Recht und die Behauptung, dass hier etwas passieren könnte, ist per se nicht falsch. Auf der einen Seite kann man argumentieren, dass die Vorteile diesen einen Nachteil bei weitem überwiegen. Auf der anderen Seite klingt aber die gesamte Kritik danach, die (potentiell gefährdeten) Nutzer nur ja nicht nachdenken zu lassen. Ob das eine nachhaltige Verbesserung der Sicherheit per WhatsApp geführter Kommunikation darstellt, wage ich zu bezweifeln. Ich halte es da anders und verwende WhatsApp erst gar nicht.

Cryptomator & Cyberduck.

Cyberduck, der einzig kontinuierlich weiterentwickelte Client zur Dateiübertragung in was weiß ich wie vielen Protokollen, und Mountain Duck, eine Cyberduck-Variante, die es ermöglicht, externe Datenspeicher als lokale Laufwerke darzustellen und zu nutzen, werden ab der nächsten Version die Verschlüsselungsfunktionen von Cryptomator enthalten. Damit wird es möglich, Daten auf (externen) Servern und bei Cloudanbietern wie Dropbox, AWS, Google Drive, usw. nutzerseitig verschlüsselt zu speichern.

We are thrilled to announce the availability of transparent, client-side encryption support for Cyberduck to secure your data on any server or cloud storage. The new encryption feature is based on the excellent concepts and work of Cryptomator. Cryptomator also offers apps for iOS and Android to access your encrypted data. All vaults either created by Cyberduck, Cryptomator or their mobile apps are fully interoperable. […] the Cryptomator security architecture has many crucial advantages: Open source software that can be audited independently for security. You can rest assured there are no backdoors and no hidden vulnerabilities. […] No online service subscription or account required. You will always have access to your data without the risk of a dependent service shutting down.

Viel besser gefällt mir aber, dass das alles einfach und leicht durchführbar ist:

Starting to secure your data is as easy as creating a new Cryptomator Vault by selecting New Encrypted Vault and providing a passphrase. As soon as you try to open a folder containing a vault Cyberduck will prompt for the passphrase to unlock it. […] Uploads and downloads are transparently encrypted and decrypted respectively with no change in your usual workflow required.

Ich habe von Cryptomator bislang nur einmal, nämlich in diesem Video gehört, weiß aber sonst nicht viel zur Software und habe sie auch selbst noch nicht ausprobiert. Die Verbindung von Cryptomator und Mountain Duck stelle ich mir aber als ein deutliches Signal vor, verschlüsselten Speicher komfortabel und einfach nutzen zu können.

Dass zwei europäische Unternehmen - Cryptomator wird in Deutschland und Cyber- bzw. Mountain Duck in der Schweiz entwickelt - diese potente Kombination ermöglichen, ist wohl auch ein Novum, allerdings ein willkommenes.

Neues Bedrohungsszenario: Daten.

Die Electronic Frontiers Foundation hat eine vollseitige Anzeige im Wired-Magazin geschalten, die sich gewaschen hat. Sie spricht die Technology Community der USA an und warnt vor den potentiellen Möglichkeiten, die Protokolldateien und andere, der Datensammlung nützliche Informationen, der neuen US-Regierung bieten würden. Gegen die Nutzung dieser Daten sollen sich Technologie-Unternehmen wehren, indem sie
  1. sämtlichen Datenverkehr verschlüsseln,
  2. alle Logs so bald als möglich löschen,
  3. jedes Monitoring ihrer Nutzer und jede Zensurmaßnahme publik machen und
  4. notfalls mit Hilfe der Gerichte für Nutzerrechte kämpfen.
Ausführlicher können die hier genannten Punkte in einem Artikel mit dem Titel "Tech Companies, Fix These Technical Issues Before It’s Too Late" auf der EFF-Seite nachgelesen werden. Blöd, dass das Geschäftsmodell der allergrößten Technologieunternehmen genau auf dem Sammeln von Daten basiert.

Heartbleed erklärt

Wie der Heartbleed-Bug, der einen Großteil der Online-Verschlüsselung für lange Zeit de facto obsolet gemacht hat, funktioniert. Wie immer auf den Punkt gebracht und hervorragend von xkcd erklärt. Ihr habt…

FTP ist und bleibt ein Sicherheitsrisiko

Der unverschlüsselte Up- und Download per FTP ist und bleibt ein Sicherheitsrisiko. Mein Webhost, Uberspace, erlaubt nur SFTP-Verbindungen und bietet Verbindungen per FTP „ausdrücklich nicht“ an. Mit dieser Ausschluss-Policy steht…

Kryptochef

Detlef Granzow bietet unter kryptochef.de (sic!) KRYPTO, das „sicherste Daten Verschlüsselungs Programm der Welt“ (sic!) für 130 Euro an. Zu den besonderen Merkmalen der geschmackvoll gestalteten „Hoch Sicherheits Daten Verschlüsselungs…

Das eigene Haus in Ordnung bringen: https.

Im Schriftstück IP/14/70 28/01/2014 der Europäischen Kommission wird ein Satz aus Viviane Redings Rede anlässlich des heutigen Tags des Datenschutzes betont zitiert: "Die EU kann mit ihren Bemühungen zur Wiederherstellung des Vertrauens nur dann glaubwürdig und Vorbild für andere Kontinente sein, wenn sie das eigene Haus in Ordnung bringt." Stichwort "das eigene Haus in Ordnung bringen". Ab sofort wird mkln.org per https ausgeliefert. mklnorg-per-https Wer irgendwo noch den einen oder anderen Fehler findet, möge mich bitte darüber informieren!

Dateien verschlüsselt in Dropbox speichern

Ich habe mich unlängst mit Philipp über die Notwendigkeit eines Containerprogramms wie BoxCryptor zur Verschlüsselung von Dateien in Cloudspeicherdiensten (insbesondere dem weit verbreiteten Dropbox) unterhalten. Dabei hat sich herausgestellt, dass…

RC4-Verschlüsselung deaktivieren.

Ein Fehler, der seit spätestens 2005 bekannt ist, führt nun dazu, dass selbst Microsoft, für gewöhnlich immer ein paar Jahre zu spät, empfiehlt, den RC4-Algorithmus nicht mehr zu verwenden und, wo möglich, zu deaktivieren. Der Algorithmus ermöglich es, Webserver-Daten in Echtzeit zu entschlüsseln. Google Chrome hat RC4 in einem Update automatisch deaktiviert. Internet Explorer muss aktualisiert werden. In Firefox kann der Algorithmus leicht deaktiviert werden:
  1. about:config in die Adressezeile eingeben.
  2. Nach rc4 suchen.
  3. Alle Ergebnisse durch Doppelklick auf false setzen.
Nichts zu danken.

Bullrun.

Scheinbar ist es der NSA gelungen, SSL bzw. HTTPS-Verbindungen zu knacken, internationale Verschlüsselungsstandards zu beeinflussen und die Zusammenarbeit mit Technologiekonzernen auszubauen. Der Name dieses Angriffs auf die dem Internet zugrundeliegenden Verschlüsselungstechnologien: Bullrun.
Some of the agency’s most intensive efforts have focused on the encryption in universal use in the United States, including Secure Sockets Layer, or SSL; virtual private networks, or VPNs; and the protection used on fourth-generation, or 4G, smartphones.
Datenschutz: nicht mehr existent. Sicherheit: nicht mehr existent. Am besten, jemand verlinkt den Artikel nun auf Facebook. Oh, wait.

Vernichtendes Urteil für whistle.im.

Whistle.im ist ein weiterer Messaging-Dienst, der das größte Problem des Platzhirschen WhatsApp (ähnlich, wie das auch Threema versucht) beseitigen will: Whistle.im ist "Secure instant messaging made in Germany" und biete sichere Ende-zu-Ende-Verschlüsselung. Quatsch und Fuckup, meint dazu Nexus auf einer vom CCC gehosteten Website, die whistle.im als "FaaS - Fuckup as a Service" vernichtend beurteilt.
Die aktuellen Analysen [von whistle.im] kratzen bisher nur an der Oberfläche und decken eklatante Sicherheitsmängel und ein grundlegendes Missverständnis kryptographischer Algorithmen auf. Statt sich mit existierenden Lösungen zu beschäftigen und diese zu verbessern, wird hier durch den Versuch ein neueres, bunteres Verfahren zu entwickeln eine cryptographische Bauchlandung vollzogen.
"Cryptographische Bauchlandung". Uff…

Antwort auf Google Chromes Passwort-Problem.

Das ging ja schnell. Gerade wurde die Möglichkeit in Google Chrome, Passwörter im Klartext anzusehen, angeprangert, schon ist die - etwas eigenartige - Antwort des Google Chrome Browser Security Tech Lead Justin Schuh da.
The only strong permission boundary for your password storage is the OS user account. So, Chrome uses whatever encrypted storage the system provides to keep your passwords safe for a locked account. Beyond that, however, we've found that boundaries within the OS user account just aren't reliable, and are mostly just theater.
Moment. Da gibt es noch ganz andere Sätze wie Justin Schuhs Antwort auf die Kritik des Autors direkt:
what you're proposing is that that we make users less safe than they are today by providing them a false sense of security and encouraging dangerous behavior.
Okay. Ganzen Eintrag lesen!

Hazel: Dateien bei Bedarf in TrueCrypt sichern

Ich habe aus der Notwendigkeit Paranoia, TrueCrypt bei Bedarf zu laden und wichtige Dokumente sicher dorthin zu sichern eine Hazel-Abfolgeregel erstellt, die die Inhalte im Ordner „Dokumente“ bei jeder Änderung…

Chrome: Passwörter im Klartext nach Import.

Beim ersten Start von Google Chrome bietet der Browser an, verschiedene Einstellungen (und Bookmarks) aus Safari oder anderen Browsern zu übernehmen. Dabei werden Passwörter im Klartext abgespeichert.
By using words like “confidential information” and “stored in your keychain”, OSX describes the state of your saved password’s current security. It’s the very security Chrome is about to bypass, by displaying your passwords, in plain-text, outside your keychain, without requiring a password. When you visit a website, Chrome prompts for every password it can find for that domain.
Und wer's nicht glaubt, kann ja mal mit seinem Chrome-Browser den Link chrome://settings/passwords öffnen.

CryptoParty #11: FileVault, TrueCrypt & Angst

CryptoParty

Für die elfte CryptoParty (im Metalab) war der Themenbereich „Sicheres Speichern von Daten“ festgelegt worden. Die hier passenden Stichworte sind Festplattenverschlüsselung/Full Disk Encryption, Verschlüsselung von CDs, DVDs und USB-Sticks, FileVault,…

Bei all der Freude um Kryptografie…

Bei all der Freude um mit PGP/GPG-geschützte E-Mails, in TrueCrypt-Containern gesicherte Dateien, Server-Zertifikate, in Passwortmanagern gespeicherte, superkomplizierte Passwörter und andere Möglichkeiten der Verschlüsselung und Datensicherung, darf man niemals die Kehrseite…

TrueCrypt bei Bedarf laden und wichtige Dokumente sicher dorthin sichern

Wichtige Dokumente, also – um das zu verdeutlichen – Rechnungen, Verträge, Unterschriftenmuster, Baupläne, Wohnungsgrundrisse, Kostenvoranschläge, Reisedaten, Urkunden, eingescannte Handschriften, Testamente, Kontoauszüge, Lebensläufe, Bewerbungsschreiben, Krankenakten, Röntgenbilder, Befunde, Steuererklärungen, Steuerbescheide, Zeugnisse, Liebesbriefe,…

Edward Snowden über E-Mail-Verschlüsselung

Ein Abschnitt aus dem erstaunlich kultivierten und sachlichen Chat mit Edward Snowden im Guardian. Is encrypting my email any good at defeating the NSA survelielance? Id my data protected by…

Sichere Verschlüsselung in iMessage?

Im an sich wohlklingenden Statement Apples zur Consumer Privacy wird die Ende-zu-Ende-Verschlüsselung von iMessage (und FaceTime) als unknackbar präsentiert. For example, conversations which take place over iMessage and FaceTime are…

Verschlüsselte E-Mails mit Apple Mail: GPGTools

Einmal das (kostenlose) GPG installiert und die dazugehörigen Keys generiert, lässt sich die Hochsicherheitsverschlüsselung für E-Mails problemlos (und äußerst komfortabel) in Apple Mail, Thunderbird, Postbox, etc. unter Mac OS X…

Threema: Messaging mit Ende-zu-Ende-Verschlüsselung

Sicheres Messaging1 durch Transport- sowie Ende-zu-Ende-Verschlüsselung. Und wenn man in den FAQs auch noch solche Hinweise findet… Wir raten Ihnen aber, uns nicht zu vertrauen und die Schlüssel beim nächsten…

Sicherheit bei Backblaze

Nachdem auch Evernote in diesem Jahr gehackt wurde und Benutzerdaten scheinbar nicht einmal von den größten Onlinefirmen geschützt werden können, habe ich mir das Sicherheitsmodell von Backblaze, das ich als…

Die ersten 220 Millisekunden einer HTTPS-Verbindung.

Wie ist es möglich, dass Browser und Server sichere Verbindungen miteinander aufbauen? Jeff Moser beantwortet diese Frage in einem ausführlich kommentierten Ablaufprotokoll über die ersten 220 Millisekunden einer HTTPS-Verbindung.
In just 220 milliseconds, two endpoints on the Internet came together, provided enough credentials to trust each other, set up encryption algorithms, and started to send encrypted traffic.
Nicht abschrecken lassen, der Artikel ist verständlich!

Rubber-Hose Kryptanalyse

Man nennt das (von xkcd wie immer hervorragend dargestellte) Prinzip auch Rubber-Hose Kryptanalyse, die ursprünglich wie folgt beschrieben wurde: You still don’t get The Master Plan, unless you resort to…

Passwörter verschlüsselt speichern? Sicher nicht!

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.Mehr erfahren Video laden YouTube immer entsperren Warum Passwörter nicht verschlüsselt in Datenbanken gespeichert werden sollten (sondern gar nicht!) und…

DNS-Traffic verschlüsseln mit DNSCrypt

Der DNS-Provider OpenDNS (nein, hat nichts mit “offen” zu tun, ganz im Gegenteil!) testet schon seit einiger Zeit ein Tool, mit dem man den Datenverkehr zwischen lokalem Rechner und DNS-Server…

Verschlüsselung am Mac für Dummies

Seitdem ich meine Daten immer häufiger in der Cloud (zB Dropbox) speichere und nicht zu denjenigen gehöre, die der Neudefinition von Datenschutz („Wir versprechen, dass wir keine Einsicht in Ihre…