Skip to content

Verfahren der Kryptographie, Teil 14: Hashfunktionen - Einführung

Normale Hashfunktionen kennen Sie ja vielleicht schon, zum Beispiel in Form der in Datenbanken genutzten Hash-Tabellen.

Vereinfacht ausgedrückt berechnet eine Hashfunktion
H(M)
aus einer beliebig langen Eingabe
M
(zum Beispiel einem Text) einen möglichst eindeutigen Hashwert
h fester Länge
(zum Beispiel eine Zahlen-Buchstaben-Kombination):
h = H(M).

"Verfahren der Kryptographie, Teil 14: Hashfunktionen - Einführung" vollständig lesen

Verfahren der Kryptographie, Teil 13: Perfect Forward Secrecy

Ein großer Schwachpunkt des bisher beschriebenen Einsatzes von SSL/TLS ist der Austausch des Sitzungsschlüssels bzw. des für seine Berechnung verwendeten Pre-Master-Secrets.

Zeichnet ein Angreifer die gesamte Kommunikation einschließlich des Verbindungsaufbaus auf und gelangt er irgendwann in der Zukunft an den privaten Schlüssel des Webservers, kann er damit den Sitzungsschlüssel entschlüsseln. Und damit dann alle weiteren während der Sitzung übertragenen Daten.

"Verfahren der Kryptographie, Teil 13: Perfect Forward Secrecy" vollständig lesen

Juli 2016 - Ein fast 0-Day-freier Patchday

Am Juli-Patchday hat Microsoft lediglich zwei 0-Day-Schwachstellen behoben, die aber beide bisher nicht für Angriffe ausgenutzt werden. Und Adobe hat zwar 52 Schwachstellen im Flash Player behoben, von denen die meisten das Ausführen eingeschleusten Codes erlauben, ausnahmsweise wird diesmal aber keine davon bereits für Angriffe ausgenutzt. Eben so wenig wie eine der 30 Schwachstellen, die in Adobe Acrobat und Reader behoben wurden. Und von denen ebenfalls die meisten das Ausführen eingeschleusten Codes erlauben.

Informationsleck im Windows-Kernel

"Juli 2016 - Ein fast 0-Day-freier Patchday" vollständig lesen

Kryptographie - Identitätsprüfung, Teil 4 - Zertifikate in SSL/TLS

In dieser Folge wird der Einsatz von X.509-Zertifikaten im Rahmen von SSL/TLS beschrieben. Etwas allgemeiner habe ich das ja schon im Rahmen der Beschreibung von MitM-Angriffen auf HTTS-Verbindungen erklärt.

Die ausgetauschten Nachrichten im Überblick

"Kryptographie - Identitätsprüfung, Teil 4 - Zertifikate in SSL/TLS" vollständig lesen

Kryptographie - Identitätsprüfung, Teil 3 - Hierarchische Zertifizierungssysteme

Der Aufbau eines hierarchischen Zertifizierungssystems unterscheidet sich vom Web of Trust in einem entscheidenden Punkt: Während sich beim Web of Thrust die Benutzer gegenseitig zertifizieren, geschieht dies bei einem hierarchischen System ausschließlich durch extra dafür eingerichtete, vertrauenswürdige Instanzen. Diese Zertifizierungsstellen (Certificate Authority, CA) zertifizieren sich zusätzlich untereinander gegenseitig und bestätigen damit die Vertrauenswürdigkeit des jeweils anderen.

"Kryptographie - Identitätsprüfung, Teil 3 - Hierarchische Zertifizierungssysteme" vollständig lesen

Kryptographie - Identitätsprüfung, Teil 2 - Web of Trust

Das Web of Trust, dass zum Beispiel bei PGP/GnuPG zur Prüfung der Identität der Benutzer verwendet wird, kommt ohne hierarchische Institutionen aus.

Die Benutzer signieren im ersten Schritt ihre eigenen öffentlichen Schlüssel und verteilen sie. Im Fall von PGP/GPG geschieht dies zum Beispiel durch das Heraufladen auf einen Keyserver oder den direkten Austausch mit anderen Benutzern.

"Kryptographie - Identitätsprüfung, Teil 2 - Web of Trust" vollständig lesen

Kryptographie - Identitätsprüfung, Teil 1 - Das Interlock-Protokoll

Asymmetrische Kryptosysteme vereinfachen den Schlüsselaustausch, da der für die Verschlüsselung von Nachrichten und Prüfung von Signaturen verwendete öffentliche Schlüssel nicht geheim gehalten werden muss. Er kann also problemlos zum Beispiel per ungeschützter E-Mail verschickt oder in einem öffentlichen Verzeichnis bereit gehalten werden.

Dadurch tritt aber ein anderes Problem auf: Wie stellt man sicher, auch wirklich den öffentlichen Schlüssel des jeweiligen Kommunikationspartners zu verwenden und nicht den eines bösartigen Dritten?

"Kryptographie - Identitätsprüfung, Teil 1 - Das Interlock-Protokoll" vollständig lesen

0-Day-Exploit für Flash Player unterwegs, bei Microsoft nur 0-Day-Schwachstellen gepatcht

Adobe warnt mal wieder vor einem 0-Day-Exploit für den Flash Player, ein Update ist in Vorbereitung. Bei Microsoft sieht es dafür am Juni-Patchday besser aus: Es wurde zwar wieder eine Reihe von 0-Day-Schwachstellen behoben, aber für keine davon ist bereits ein Exploit in Umlauf.

Update 16.6.:
Adobe hat das Update veröffentlicht, siehe unten!
Ende des Updates

Der monatliche 0-Day-Exploit für den Flash Player

"0-Day-Exploit für Flash Player unterwegs, bei Microsoft nur 0-Day-Schwachstellen gepatcht" vollständig lesen

Verfahren der Kryptographie, Teil 11: Hybride Verschlüsselungsverfahren

Ein hybrides Verschlüsselungsverfahren wurde bereits bei der Vorstellung von Anwendungen des AES-Algorithmus erwähnt. Bei einem hybriden Verfahren werden ein symmetrisches und ein asymmetrisches Verfahren kombiniert, um in den Genuss der Vorteile beider Verfahren zu kommen: Während symmetrische Verfahren meist deutlich schneller zu berechnen sind als ihre asymmetrischen Kollegen, haben die den Vorteil des einfacheren Schlüsselaustauschs.

"Verfahren der Kryptographie, Teil 11: Hybride Verschlüsselungsverfahren" vollständig lesen

Drucksache: Entwickler Magazin 4.16 - Internet of Targets

Im Entwickler Magazin 4.16 ist ein Artikel über Angriffe auf das IoT erschienen. Genauer: Auf einige eher exotische Vertreter des IoT.

Für die Cyberkriminellen sind die "Things" des IoT erst mal nur eins: Potentielle Angriffsziele. Wenn es sich lohnt, werden sie angegriffen, wie 2014 erstmals NAS mit Internetanbindung. Wenn nicht, wartet man, bis es sich lohnt.

"Drucksache: Entwickler Magazin 4.16 - Internet of Targets" vollständig lesen

Drucksache: Windows Developer 7.16 - Alles im Fluss?

Im windows.developer 7.16 ist ein Artikel über Angriffe auf den Kontrollfluss von .NET-Anwendungen erschienen.

Das alte Wettrennen zwischen Angreifern auf und Verteidigern von Windows-Rechnern geht in eine neue Runde: Auf der DEF CON 23 wurden von Topher Timzen Angriffe auf den Kontrollfluss von .NET-Anwendungen vorgestellt [11]. Ein gutes Beispiel dafür, dass man beim Absichern seiner Software nie nachlassen darf.

"Drucksache: Windows Developer 7.16 - Alles im Fluss?" vollständig lesen

Crypto Wars und ihre Folgen

2015 war für die Kryptografie ein ereignisreiches Jahr. So bahnt sich zum Beispiel ein neuer Crypto War an, gleichzeitig haben die Nachwirkungen des letzten ihr unschönes Gesicht gezeigt. Da trifft es sich gut, dass es auf dem 32. Chaos Communication Congress eine passende Auswahl an Vorträgen gab.

Weiterlesen auf entwickler.de!

Carsten Eilers