Die Entschlüsselung eines
mit AES verschlüsselten Textes
erfolgt durch Anwendung der inversen Transformationen in umgekehrter
Reihenfolge. Die dafür benötigte inverse S-Box wird aus der
vorhandenen S-Box berechnet. Die Rundenschlüssel werden wie bei der
Verschlüsselung berechnet, aber in der umgekehrten Reihenfolge
angewendet.
Die inversen Transformationen sind:
"Verfahren der Kryptographie, Teil 7: AES-Entschlüsselung und -Sicherheit" vollständig lesen
Cyberkriminelle verbreiten ihre Schadsoftware vor allem über
Drive-by-Infektionen. Auf harmlosen Websites eingeschleuster Schadcode
nutzt Schwachstellen im Browser oder in dessen Plug-ins aus, um Schadcode
auf den Rechnern nichtsahnender Besucher einzuschleusen.
Dabei werden meist mehrere Exploits, also Code zum Ausnutzen von
Schwachstellen, nacheinander durchprobiert. So lange, bis der Angriff
erfolgreich war oder der Cyberkriminelle sein Pulver verschossen hat.
Besonders gefährlich sind dabei die so genannten 0-Day-Exploits, die
sich gegen Schwachstellen richten, für die es beim ersten
Bekanntwerden der Angriffe noch keine Patches gibt.
Weiterlesen
auf entwickler.de!
Carsten Eilers
Der Advanced Encryption Standard, abgekürzt AES, ist der offizielle
Nachfolger von DES. Als abzusehen war, das DES nicht mehr lange sicher sein
würde, wurde vom US-amerikanischen National Institute of Standards and
Technology (NIST) am 2. Januar 1997 die Suche nach einem Nachfolger
offiziell
eingeleitet.
"Verfahren der Kryptographie, Teil 6: Der Advanced Encryption Standard (AES)" vollständig lesen
DES verschlüsselt 64 Bit lange Klartextblöcke. Da die zu
verschlüsselnden Daten i.d.R. deutlich länger sind und nicht
zwingend Blockweise vorliegen, wurden verschiedene Betriebsarten für
Blockchiffren wie DES entwickelt und teilweise genormt.
Elektronisches Codebuch (ECB)
"Verfahren der Kryptographie, Teil 5: Betriebsarten für Blockchiffren" vollständig lesen
Was sich im Netz alles so ansammelt, ist ganz schön verräterisch.
Allein genommen, aber erst recht, wenn man verschiedene Quellen miteinander
verknüpft. Auch mit der Anonymität sieht es dann oft auch nicht
besonders gut aus.
Wir hinterlassen ständig Spuren im Netz, die schon einzeln viel
über uns und unser Umfeld verraten. Verknüpft man diese Spuren,
erfährt man noch viel mehr. Heutzutage verbirgt man so etwas gerne
hinter dem Begriff „Big Data“. Das klingt so schön
harmlos – in diesen Datenbergen findet man ja bestimmt sowieso
nichts. Dabei zeigt doch vor allem Google immer wieder, was man alles
finden kann, wenn man weiß, wie man suchen muss.
Wer sucht, der findet – auch in großen Datenmengen!
Weiterlesen
auf entwickler.de!
Carsten Eilers
Im
Entwickler Magazin 3.16
ist ein Artikel über die aktuellen Angriffe auf SSL und TLS
erschienen: DROWN und CacheBleed.
Mal wieder gefährden veraltete Algorithmen die Sicherheit von SSL und
TLS, und dazu kommt dann noch ein Hardware-Problem. Und beides innerhalb
eines Tages gemeldet. Wenn das so weitergeht stehen SSL/TLS mal wieder
turbulente Zeiten bevor.
"Drucksache: Entwickler Magazin 3.16 - Die aktuellen Angriffe auf SSL/TLS" vollständig lesen
Im
Entwickler Magazin 3.16
ist ein Artikel über Angriffe auf das Domain Name System DNS erschienen.
Das Domain Name System (DNS) ist quasi das Telefonbuch des Internets.
Niemand merkt sich IP-Adressen, stattdessen werden Domain-Namen verwendet.
Die dann vom Computer in die IP-Adressen der zugehörigen Server
umgewandelt werden. Indem beim zuständigen Nameserver nachgefragt
wird, welche Adresse denn zu einem bestimmten Namen gehört.
"Drucksache: Entwickler Magazin 3.16 - Angriffsziel DNS" vollständig lesen
Auch am April-Patchday 2016 hatte Microsoft mal wieder mit
0-Day-Schwachstellen und -Exploits zu kämpfen. Zum Glück sind
die gefährlicheren davon aber "nur" 0-Day-Schwachstellen, für die
es bisher keine Exploits gibt. Die gibt es diesmal nur für zwei
Privilegieneskalations-Schwachstellen im Windows-Kernel. Mit anderen
Worten: In meiner
Übersicht
über die kritischen 0-Day-Schwachstellen und -Exploits des Jahres 2016
ändert sich diesmal nichts.
Es gibt aber auch schlechte Nachrichten: Microsoft hat am Patchday auch
die Updates für die aktuelle, bereits für Angriffe ausgenutzte
0-Day-Schwachstelle
im Flash Player für die Browser, die ihn integriert haben, ausgeliefert.
Die es von Adobe für die normale Version des Flash Players bereits seit
letzter Woche gibt.
0-Day-Exploits für Privilegien-Eskalation im Windows-Kernel
"Die 0-Days von Microsofts April-Patchday" vollständig lesen
Im
windows.developer 5.16
ist ein Artikel über die Vorträge erschienen, die auf den
32. Chaos Communication Congress (32C3) rund um die neuen und alten
Versuche zur Schwächung von Kryptographie gehalten wurden.
Update 2.6.2016:
Der Artikel wurde jetzt auch online
auf entwickler.de
veröffentlicht.
Ende des Updates
2015 war für die Kryptographie ein ereignisreiches Jahr. So bahnt sich
zum Beispiel ein neuer Crypto-War an, gleichzeitig haben die Nachwirkungen
des letzten ihr unschönes Gesicht gezeigt. Da trifft es sich gut, dass
es auf dem 32. Chaos Communication Congress eine passende Auswahl an
Vorträgen gab.
"Drucksache: Windows Developer 5.16 - Crypto Wars und ihre Folgen" vollständig lesen
DES war lange Zeit der Standard (da der einzige offizielle) für die
symmetrische Verschlüsselung von Daten. Entsprechend gross war seine
Verbreitung. Und auch als schon absehbar, war, dass die Sicherheit schon
bald nicht mehr ausreichend war wurde es weiter eingesetzt - selbst dann
noch, als mit AES der Nachfolger veröffentlicht wurde. Inzwischen ist
das Geschichte, trotzdem möchte ich einige Beispiele hier vorstellen.
DES beim Einloggen
"Verfahren der Kryptographie, Teil 4: Anwendungsbeispiele für den Data Encryption Standard (DES)" vollständig lesen