Skip to content

Drucksache: Windows Developer 5.16 - Crypto Wars und ihre Folgen

Im windows.developer 5.16 ist ein Artikel über die Vorträge erschienen, die auf den 32. Chaos Communication Congress (32C3) rund um die neuen und alten Versuche zur Schwächung von Kryptographie gehalten wurden.

2015 war für die Kryptographie ein ereignisreiches Jahr. So bahnt sich zum Beispiel ein neuer Crypto-War an, gleichzeitig haben die Nachwirkungen des letzten ihr unschönes Gesicht gezeigt. Da trifft es sich gut, dass es auf dem 32. Chaos Communication Congress eine passende Auswahl an Vorträgen gab.

"Drucksache: Windows Developer 5.16 - Crypto Wars und ihre Folgen" vollständig lesen

Verfahren der Kryptographie, Teil 4: Anwendungsbeispiele für den Data Encryption Standard (DES)

DES war lange Zeit der Standard (da der einzige offizielle) für die symmetrische Verschlüsselung von Daten. Entsprechend gross war seine Verbreitung. Und auch als schon absehbar, war, dass die Sicherheit schon bald nicht mehr ausreichend war wurde es weiter eingesetzt - selbst dann noch, als mit AES der Nachfolger veröffentlicht wurde. Inzwischen ist das Geschichte, trotzdem möchte ich einige Beispiele hier vorstellen.

DES beim Einloggen

"Verfahren der Kryptographie, Teil 4: Anwendungsbeispiele für den Data Encryption Standard (DES)" vollständig lesen

0-Day-Exploit für Flash Player unterwegs, Patch angekündigt

Es ist mal wieder ein 0-Day-Exploit für den Flash Player aufgetaucht. Adobe hat einen Patch für den 7. April angekündigt.

Die Schwachstelle mit der CVE-ID CVE-2016-1019 erlaubt die Ausführung eingeschleusten Codes (was auch sonst, darunter machen es die Cyberkriminellen doch gar nicht, wozu auch?), und wenn Adobe außer der Reihe patcht wird die Schwachstelle natürlich auch bereits ausgenutzt. Anfangs nur auf Systemen mit Windows 7 und XP, inzwischen hat Adobe diese Angabe auf "Windows 10 and earlier" korrigiert.

Mitigation schützt neuere Versionen

"0-Day-Exploit für Flash Player unterwegs, Patch angekündigt" vollständig lesen

Drucksache: Mobile Technology 2.2016 - Zahlen Sie bar oder per Smartphone?

Im Magazin Mobile Technology 2.2016 ist ein Artikel über das "Mobile Payment" per NFC mit Wallet-App und Co. erschienen.

Das Bezahlen mit dem Smartphone kommt in Mode. Apple Pay, die Wallet-Apps der Mobilfunk-Betreiber, Google Wallet / Android Pay, dazu die NFC-Sticker und NFC- fähigen Zahlkarten - da tut sich einiges. Da sollten wir wohl mal einen genaueren Blick drauf werfen!

"Drucksache: Mobile Technology 2.2016 - Zahlen Sie bar oder per Smartphone?" vollständig lesen

Verfahren der Kryptographie, Teil 3: Sicherheit und Verbesserung des Data Encryption Standard (DES)

Bei einem Brute-Force-Angriff werden alle möglichen Schlüssel, 256 = ca. 72 Billiarden, ausprobiert. Dies ist inzwischen in weniger als einem Tag machbar, siehe die Geschichte von DES. Außerdem sind drei weitere mögliche Angriffe gegen DES bekannt, die in der Praxis aber kaum relevant sind:

"Verfahren der Kryptographie, Teil 3: Sicherheit und Verbesserung des Data Encryption Standard (DES)" vollständig lesen

Verfahren der Kryptographie, Teil 2: Der Algorithmus des Data Encryption Standard (DES)

DES verwendet einen 56 Bit langen Schlüssel und verschlüsselt Blöcke von 64 Bit Länge. Der Schlüssel wird um 8 Paritätsbits auf 64 Bit erweitert, die Paritätsbits werden für den Algorithmus jedoch nicht verwendet.

Der DES-Algorithmus besteht aus

  • einer kryptographisch bedeutungslosen Eingangspermutation IP (Initial Permutation), die u.a. den Klartextblock in die beiden 32-Bit-Blöcke L0 und R0 zerlegt,
  • 16 Iterationsrunden, in denen die eigentliche Verschlüsselung erfolgt, und
  • einer zur Eingangspermutation inversen Ausgangspermutation IP-1, vor deren Ausführung die Ergebnisse der 16. Iterationsrunde, L16 und R16, nochmals vertauscht werden.
"Verfahren der Kryptographie, Teil 2: Der Algorithmus des Data Encryption Standard (DES)" vollständig lesen

Verfahren der Kryptographie, Teil 1: Die Geschichte des Data Encryption Standard (DES)

Der Data Encryption Standard DES entstand in Folge einer am 15. Mai 1973 vom US-amerikanischen National Bureau of Standards (NBS, heute NIST) veröffentlichten Ausschreibung für einen einheitlichen, sicheren Verschlüsselungsalgorithmus. Die ersten Ergebnisse waren mehr als mager: Kein einziger der eingereichten Entwürfe erfüllte auch nur annähernd die Anforderungen. Erst nach einer zweiten Ausschreibung am 27. August 1974 wurde von einem IBM-Team, dem u.a. der bereits erwähnte Horst Feistel angehörte, ein auf dem IBM-Projekt Lucifer basierender Algorithmus eingereicht. Ende 1976 wurde dieser nach eingehender Prüfung durch das NBS und die hinzugezogene National Security Agency (NSA) zum offiziellen Standard erklärt.

"Verfahren der Kryptographie, Teil 1: Die Geschichte des Data Encryption Standard (DES)" vollständig lesen

Drucksache: PHP Magazin 3.16 - SSL - der Stand der Dinge

Im PHP Magazin 3.2016 ist ein Artikel über die 2015 außer Logjam und FREAK durchgeführten Angriffe auf und entdeckten Schwachstellen in SSL erschienen.

2015 war mal wieder ein schlechtes Jahr für SSL/TLS. Nicht nur, dass mit Logjam und FREAK die Folgen der Crypto Wars der 1990er Jahre ihr hässliches Gesicht zeigten, es wurden noch weitere Angriffe vorgestellt. Nur das die keinen Namen hatten und damit weniger Aufmerksamkeit erregten. Aber zum Glück gibt es auch gute Nachrichten:

"Drucksache: PHP Magazin 3.16 - SSL - der Stand der Dinge" vollständig lesen

Neuer 0-Day-Exploit für Flash Player, außerplanmäßiges Update veröffentlicht

Es gibt mal wieder einen 0-Day-Exploit, den ersten in diesem Jahr. Mal wieder für den Flash Player (fast möchte ich schreiben "Für was auch sonst?". Oh, ups ;-) ), und es gibt auch schon ein außerplanmäßiges (wenn auch vorgestern) bereits angekündigtes Update zur Beseitigung der Schwachstelle.

"Neuer 0-Day-Exploit für Flash Player, außerplanmäßiges Update veröffentlicht" vollständig lesen

Grundlagen der Kryptographie, Teil 6: Feistel-Netzwerke

Ab dieser Folge lernen Sie aktuell eingesetzte kryptographische Verfahren kennen. Während bisher mit Ausnahme der bitweisen Vigenère-Verschlüsselung zeichenorientierte Verfahren behandelt wurden, wird in den nun folgenden Verfahren in der Regel bitweise gearbeitet. Bevor es aber richtig los gehen kann müssen erst wieder einige Grundbegriffe erklärt werden:

Konfusion und Diffusion

"Grundlagen der Kryptographie, Teil 6: Feistel-Netzwerke" vollständig lesen

Der März-Patchday - diesmal ganz ohne 0-Days!

Microsoft hat am März-Patchday 2016 ganze 0 (in Worten: Null!) 0-Day-Schwachstellen gepatcht, und ebenso viele 0-Day-Exploits für die gepatchten Schwachstellen sind bekannt. Und genau so erfreulich sieht es bei Adobe aus: Weder die Updates für Acrobat und Reader noch die für Digital Editions schließen zuvor bereits veröffentlichte und/oder ausgenutzte Schwachstellen.

Mit anderen Worten: Hier gibt es nichts zu sehenlesen! Diesmal wirklich nicht!

Carsten Eilers

Grundlagen der Kryptographie, Teil 5: One-Time-Pad

Alle bisher vorgestellten Verfahren haben einen Nachteil: Sie sind mit mehr oder weniger Aufwand zu brechen. Alle - bis auf eines: Wird für die Vernam-Chiffre ein Schlüssel verwendet, der mindestens genauso lang wie der Klartext ist und aus zufälligen Zeichen besteht, so ist das Ergebnis nicht zu brechen. Da jeder Teil des Schlüssels nur ein einziges Mal verwendet wird, wird das Verfahren als One-Time-Pad bezeichnet.

Ein Beispiel:

"Grundlagen der Kryptographie, Teil 5: One-Time-Pad" vollständig lesen

Grundlagen der Kryptographie, Teil 4: Polyalphabetische Substitution

Das Hauptproblem einfacher Substitutionen ist ihre Umkehrbarkeit: Jedes Geheimtextzeichen entspricht immer dem gleichen Klartextzeichen. Dadurch bleiben charakteristische Muster im Klartext im Geheimtext erhalten.

Bei der Polyalphabetischen Substitution wird daher die Substitution von der Position der Zeichen im Text abhängig gemacht. Ihr einfachster Fall ist die so genannte Vigenère-Chiffre.

"Grundlagen der Kryptographie, Teil 4: Polyalphabetische Substitution" vollständig lesen

Grundlagen der Kryptographie, Teil 3: Transposition

Ein weiteres klassisches Verfahren der Kryptographie ist die Transposition, d.h. die Vertauschung von Zeichen. Dabei werden die Zeichen selbst nicht verändert, nur ihre Position im Text ändert sich. Das einfachste Beispiel dafür ist der sog. Würfel, bei dem die zu verschlüsselnde Nachricht zeilenweise in ein Rechteck geschrieben und spaltenweise ausgelesen wird. Als Schlüssel dient dabei die Kantenlänge des Rechtecks.

"Grundlagen der Kryptographie, Teil 3: Transposition" vollständig lesen

"Windows 10: gefährlich oder gefährdet?" auf entwickler.de

Windows 10 ist noch gar nicht richtig bei den Anwendern angekommen, da gibt es schon die ersten Vorträge auf den Sicherheitskonferenzen zu Microsofts neuestem Betriebssystem. Dabei stellt sich die Frage: Ist das neue OS womöglich gefährlich oder wohl eher gefährdet?

Im Artikel über die Sicherheit von C# 6.0 hatte ich bereits darauf hingewiesen, dass Windows 10 und alles, was dazu gehört, bisher zwar nicht auf den Sicherheitskonferenzen behandelt wurde, die ersten Vorträge aber bereits für die Black Hat USA im August angekündigt waren. Schauen wir uns also einmal an, was es an Microsofts neuestem Betriebssystem auszusetzen gibt. Oder gibt es vielleicht sogar was zu loben?

Weiterlesen auf entwickler.de!

Carsten Eilers