Skip to content

Drucksache: PHP Magazin 3.16 - SSL - der Stand der Dinge

Im PHP Magazin 3.2016 ist ein Artikel über die 2015 außer Logjam und FREAK durchgeführten Angriffe auf und entdeckten Schwachstellen in SSL erschienen.

2015 war mal wieder ein schlechtes Jahr für SSL/TLS. Nicht nur, dass mit Logjam und FREAK die Folgen der Crypto Wars der 1990er Jahre ihr hässliches Gesicht zeigten, es wurden noch weitere Angriffe vorgestellt. Nur das die keinen Namen hatten und damit weniger Aufmerksamkeit erregten. Aber zum Glück gibt es auch gute Nachrichten:

"Drucksache: PHP Magazin 3.16 - SSL - der Stand der Dinge" vollständig lesen

Neuer 0-Day-Exploit für Flash Player, außerplanmäßiges Update veröffentlicht

Es gibt mal wieder einen 0-Day-Exploit, den ersten in diesem Jahr. Mal wieder für den Flash Player (fast möchte ich schreiben "Für was auch sonst?". Oh, ups ;-) ), und es gibt auch schon ein außerplanmäßiges (wenn auch vorgestern) bereits angekündigtes Update zur Beseitigung der Schwachstelle.

"Neuer 0-Day-Exploit für Flash Player, außerplanmäßiges Update veröffentlicht" vollständig lesen

Grundlagen der Kryptographie, Teil 6: Feistel-Netzwerke

Ab dieser Folge lernen Sie aktuell eingesetzte kryptographische Verfahren kennen. Während bisher mit Ausnahme der bitweisen Vigenère-Verschlüsselung zeichenorientierte Verfahren behandelt wurden, wird in den nun folgenden Verfahren in der Regel bitweise gearbeitet. Bevor es aber richtig los gehen kann müssen erst wieder einige Grundbegriffe erklärt werden:

Konfusion und Diffusion

"Grundlagen der Kryptographie, Teil 6: Feistel-Netzwerke" vollständig lesen

Der März-Patchday - diesmal ganz ohne 0-Days!

Microsoft hat am März-Patchday 2016 ganze 0 (in Worten: Null!) 0-Day-Schwachstellen gepatcht, und ebenso viele 0-Day-Exploits für die gepatchten Schwachstellen sind bekannt. Und genau so erfreulich sieht es bei Adobe aus: Weder die Updates für Acrobat und Reader noch die für Digital Editions schließen zuvor bereits veröffentlichte und/oder ausgenutzte Schwachstellen.

Mit anderen Worten: Hier gibt es nichts zu sehenlesen! Diesmal wirklich nicht!

Carsten Eilers

Grundlagen der Kryptographie, Teil 5: One-Time-Pad

Alle bisher vorgestellten Verfahren haben einen Nachteil: Sie sind mit mehr oder weniger Aufwand zu brechen. Alle - bis auf eines: Wird für die Vernam-Chiffre ein Schlüssel verwendet, der mindestens genauso lang wie der Klartext ist und aus zufälligen Zeichen besteht, so ist das Ergebnis nicht zu brechen. Da jeder Teil des Schlüssels nur ein einziges Mal verwendet wird, wird das Verfahren als One-Time-Pad bezeichnet.

Ein Beispiel:

"Grundlagen der Kryptographie, Teil 5: One-Time-Pad" vollständig lesen

Grundlagen der Kryptographie, Teil 4: Polyalphabetische Substitution

Das Hauptproblem einfacher Substitutionen ist ihre Umkehrbarkeit: Jedes Geheimtextzeichen entspricht immer dem gleichen Klartextzeichen. Dadurch bleiben charakteristische Muster im Klartext im Geheimtext erhalten.

Bei der Polyalphabetischen Substitution wird daher die Substitution von der Position der Zeichen im Text abhängig gemacht. Ihr einfachster Fall ist die so genannte Vigenère-Chiffre.

"Grundlagen der Kryptographie, Teil 4: Polyalphabetische Substitution" vollständig lesen

Grundlagen der Kryptographie, Teil 3: Transposition

Ein weiteres klassisches Verfahren der Kryptographie ist die Transposition, d.h. die Vertauschung von Zeichen. Dabei werden die Zeichen selbst nicht verändert, nur ihre Position im Text ändert sich. Das einfachste Beispiel dafür ist der sog. Würfel, bei dem die zu verschlüsselnde Nachricht zeilenweise in ein Rechteck geschrieben und spaltenweise ausgelesen wird. Als Schlüssel dient dabei die Kantenlänge des Rechtecks.

"Grundlagen der Kryptographie, Teil 3: Transposition" vollständig lesen

"Windows 10: gefährlich oder gefährdet?" auf entwickler.de

Windows 10 ist noch gar nicht richtig bei den Anwendern angekommen, da gibt es schon die ersten Vorträge auf den Sicherheitskonferenzen zu Microsofts neuestem Betriebssystem. Dabei stellt sich die Frage: Ist das neue OS womöglich gefährlich oder wohl eher gefährdet?

Im Artikel über die Sicherheit von C# 6.0 hatte ich bereits darauf hingewiesen, dass Windows 10 und alles, was dazu gehört, bisher zwar nicht auf den Sicherheitskonferenzen behandelt wurde, die ersten Vorträge aber bereits für die Black Hat USA im August angekündigt waren. Schauen wir uns also einmal an, was es an Microsofts neuestem Betriebssystem auszusetzen gibt. Oder gibt es vielleicht sogar was zu loben?

Weiterlesen auf entwickler.de!

Carsten Eilers

Grundlagen der Kryptographie, Teil 2: Angriffe auf die Substitution

Für den Angriff auf die Substitution werden statistische Verfahren verwendet. Dabei wird ausgenutzt, dass bei der Substitution eine 1-zu-1-Ersetzung erfolgt, sich Besonderheiten des Klartextes also im Geheimtext wiederfinden. Dies trifft insbesondere auf die Häufigkeit von Buchstaben und Buchstabenpaaren zu.

"Grundlagen der Kryptographie, Teil 2: Angriffe auf die Substitution" vollständig lesen

Drucksache: Entwickler Magazin 2.16 - Bargeldlos => Geld los?!

Im Entwickler Magazin 2.16 ist ein Artikel über Angriffe auf das bargeldlose Zahlen, sowohl mit der altbekannten Chip&PIN-Karte als auch mit dem Smartphone, erschienen.

Das Bezahlen mit dem Smartphone oder NFC-fähigen Karten statt mit Bargeld oder Bank- oder Kreditkarte mit dem "Chip-und-PIN"-Verfahren ist gerade "in". Wie überall, wo es um Geld geht, ruft das auch die Kriminellen auf den Plan. Wie sicher sind die neuen Zahlungsmethoden also?

"Drucksache: Entwickler Magazin 2.16 - Bargeldlos => Geld los?!" vollständig lesen

Grundlagen der Kryptographie, Teil 1: Substitution

Seit den Enthüllungen von Edward Snowden wissen wir mit Sicherheit, dass NSA und Co. unsere Kommunikation belauschen. Und es würde mich doch sehr wundern, wenn nicht auch alle anderen Geheimdienste auf der Welt das gleiche machen würden. Von den Cyberkriminellen ganz zu schweigen, sofern sie eine Möglichkeit dafür finden.

Dagegen hilft nur eins: Die Daten verschlüsseln. Nur sichere kryptographische Verfahren mit ebenso sicheren Schlüsseln schützen die Kommunikation vor dem Ausspähen. Oder stellen sicher, dass wir wirklich mit dem gewünschten Partner kommunizieren. Oder sorgen dafür, dass die für die Verschlüsselung nötigen Schlüssel sicher ausgetauscht werden. Oder... Oder...

Was es mit der Kryptographie auf sich hat, werde ich dieser und den nächsten Folgen erklären.

Kryptographie? Was ist das eigentlich?

"Grundlagen der Kryptographie, Teil 1: Substitution" vollständig lesen

Die Router-Schwachstellen des Jahres 2015 als eBook

Die Übersicht über die Router-Schwachstellen des Jahres 2015 ist komplett. Allerdings auch etwas unübersichtlich:

Ich habe die einzelnen Schwachstellen daher noch einmal neu sortiert. Hier gibt es ein (natürlich kostenloses) ePub-eBook, in dem alle Schwachstellen in der richtigen chronologischen Reihenfolge aufgeführt sind.

Carsten Eilers