Der Aufbau eines hierarchischen Zertifizierungssystems unterscheidet sich
vom
Web of Trust
in einem entscheidenden Punkt: Während sich beim Web of Trust die
Benutzer gegenseitig zertifizieren, geschieht dies bei einem hierarchischen
System ausschließlich durch extra dafür eingerichtete,
vertrauenswürdige Instanzen. Diese Zertifizierungsstellen
(Certificate Authority, CA) zertifizieren sich zusätzlich
untereinander gegenseitig und bestätigen damit die
Vertrauenswürdigkeit des jeweils anderen.
"Kryptographie - Identitätsprüfung, Teil 3 - Hierarchische Zertifizierungssysteme" vollständig lesen
Das Web of Trust, dass zum Beispiel bei PGP/GnuPG zur Prüfung der
Identität der Benutzer verwendet wird, kommt ohne hierarchische
Institutionen aus.
Die Benutzer signieren im ersten Schritt ihre eigenen öffentlichen
Schlüssel und verteilen sie. Im Fall von PGP/GPG geschieht dies zum
Beispiel durch das Heraufladen auf einen Keyserver oder den direkten
Austausch mit anderen Benutzern.
"Kryptographie - Identitätsprüfung, Teil 2 - Web of Trust" vollständig lesen
Asymmetrische Kryptosysteme vereinfachen den Schlüsselaustausch, da
der für die Verschlüsselung von Nachrichten und Prüfung von
Signaturen verwendete öffentliche Schlüssel nicht geheim gehalten
werden muss. Er kann also problemlos zum Beispiel per ungeschützter
E-Mail verschickt oder in einem öffentlichen Verzeichnis bereit
gehalten werden.
Dadurch tritt aber ein anderes Problem auf: Wie stellt man
sicher, auch wirklich den öffentlichen Schlüssel des jeweiligen
Kommunikationspartners zu verwenden und nicht den eines bösartigen
Dritten?
"Kryptographie - Identitätsprüfung, Teil 1 - Das Interlock-Protokoll" vollständig lesen
Adobe
warnt
mal wieder vor einem 0-Day-Exploit für den Flash Player, ein Update ist in
Vorbereitung. Bei Microsoft sieht es dafür am
Juni-Patchday
besser aus: Es wurde zwar wieder eine Reihe von 0-Day-Schwachstellen
behoben, aber für keine davon ist bereits ein Exploit in Umlauf.
Update 16.6.:
Adobe hat das Update veröffentlicht,
siehe unten!
Ende des Updates
Der monatliche 0-Day-Exploit für den Flash Player
"0-Day-Exploit für Flash Player unterwegs, bei Microsoft nur 0-Day-Schwachstellen gepatcht" vollständig lesen
Ein hybrides Verschlüsselungsverfahren wurde bereits bei der Vorstellung von
Anwendungen des AES-Algorithmus
erwähnt. Bei einem hybriden Verfahren werden ein symmetrisches und
ein asymmetrisches Verfahren kombiniert, um in den Genuss der Vorteile
beider Verfahren zu kommen: Während symmetrische Verfahren meist
deutlich schneller zu berechnen sind als ihre asymmetrischen Kollegen,
haben die den Vorteil des einfacheren Schlüsselaustauschs.
"Verfahren der Kryptographie, Teil 11: Hybride Verschlüsselungsverfahren" vollständig lesen
Im
Entwickler Magazin 4.16
ist ein Artikel über Angriffe auf das IoT erschienen. Genauer: Auf
einige eher exotische Vertreter des IoT.
Für die Cyberkriminellen sind die "Things" des IoT erst mal nur eins:
Potentielle Angriffsziele. Wenn es sich lohnt, werden sie angegriffen, wie
2014 erstmals
NAS mit Internetanbindung.
Wenn nicht, wartet man, bis es sich lohnt.
"Drucksache: Entwickler Magazin 4.16 - Internet of Targets" vollständig lesen
Im
windows.developer 7.16
ist ein Artikel über Angriffe auf den Kontrollfluss von
.NET-Anwendungen erschienen.
Das alte Wettrennen zwischen Angreifern auf und Verteidigern von
Windows-Rechnern geht in eine neue Runde: Auf der DEF CON 23 wurden von
Topher Timzen Angriffe auf den Kontrollfluss von .NET-Anwendungen
vorgestellt [11]. Ein gutes Beispiel dafür, dass man beim Absichern
seiner Software nie nachlassen darf.
"Drucksache: Windows Developer 7.16 - Alles im Fluss?" vollständig lesen
2015 war für die Kryptografie ein ereignisreiches Jahr. So bahnt sich
zum Beispiel ein neuer Crypto War an, gleichzeitig haben die Nachwirkungen
des letzten ihr unschönes Gesicht gezeigt. Da trifft es sich gut,
dass es auf dem 32. Chaos Communication Congress eine passende Auswahl an
Vorträgen gab.
Weiterlesen
auf entwickler.de!
Carsten Eilers