Frohe Feiertage von SSL.com! Wir hoffen, dass Sie alle ein glückliches und erfolgreiches Jahr 2019 hatten und freuen uns auf große Dinge im Jahr 2020 (genau wie wir)! In unserer letzten Zusammenfassung des Jahres werden wir über Folgendes sprechen:
- Ein "sicherer" Nachrichten-App das stellte sich als Werkzeug für die Spionage durch die Regierung heraus
- Ablauf des selbstsignierten Zertifikats von Cisco Problem
- Neu Aufzeichnungen für RSA-Key-Factoring und diskrete Logarithmusberechnung
Und wenn Sie hier fertig sind, schauen Sie sich bitte auch unsere an Neuer Artikel darüber, was Zertifizierungsstellen tun und wie schwer es ist, eine zu sein!
Messaging App ToTok ist das Spionagetool der VAE
Am 22. Dezember die New York Times berichtet dass eine beliebte Messaging-App ToTok auch ein Spionagetool ist, das von der Regierung der Vereinigten Arabischen Emirate (VAE) verwendet wird, um „jedes Gespräch, jede Bewegung, jede Beziehung, jeden Termin, jeden Ton und jedes Bild derjenigen zu verfolgen, die es auf ihren Handys installieren“. Emirati-Bürger waren von der App angezogen, weil die VAE die Funktionalität verschlüsselter Messaging-Anwendungen wie WhatsApp und Skype blockieren.
ToTok wurde der Times sowohl von US-Beamten, die eine Geheimdienstbewertung erhalten hatten, als auch von einem anonymen Experten für digitale Sicherheit, der sagte, er habe die Informationen von "hochrangigen Vertretern der Emirate" erhalten, als Spionagetool entlarvt. Die App, die sich trotz fehlender Ansprüche auf End-to-End-Verschlüsselung als „sicher“ auszeichnet, wurde auch vom chinesischen Telekommunikationsunternehmen Huawei in großem Umfang beworben.
Beide Apple Google haben ToTok bereits aus ihren App Stores entfernt, aber die App wurde bereits millionenfach von Nutzern heruntergeladen.
Selbstsignierte Zertifikate auf vielen Cisco-Geräten laufen bald ab
Ciscos Feldnotiz FN-70498 (20. Dezember 2019) warnt Benutzer, dass selbstsignierte X.509-Zertifikate auf Geräten, auf denen betroffene Versionen der Cisco IOS- oder IOS XE-Software ausgeführt werden, am 1. Januar 2020 um Mitternacht ablaufen. Außerdem können für diese keine neuen selbstsignierten Zertifikate erstellt werden Geräte nach diesem Datum, sofern kein Software-Upgrade durchgeführt wird.
Nach dem Aktualisieren der Gerätesoftware müssen selbstsignierte Zertifikate neu generiert und auf alle Geräte exportiert werden, die dies in ihrem Trust Store benötigen.
Cisco stellt fest, dass:
Dieses Problem betrifft nur selbstsignierte Zertifikate, die vom Cisco IOS- oder Cisco IOS XE-Gerät generiert und auf einen Dienst auf dem Gerät angewendet wurden. Zertifikate, die von einer Zertifizierungsstelle (CA) generiert wurden, einschließlich der von der Cisco IOS-CA-Funktion generierten Zertifikate, sind von diesem Problem nicht betroffen.
Nach der Ankündigung von Cisco Rapid7 Labs benutzt Sonargerät Scannen Sie Daten, um "über 80,000 Cisco-Geräte zu identifizieren, die wahrscheinlich von diesem Ablaufproblem betroffen sind". Könnten Sie unter ihnen sein?
Neuer RSA Key-Cracking-Rekord
Dan Goodin bei Ars Technica Berichte dass ein Forscherteam unter der Leitung von Emmanuel Thomé vom französischen Nationalen Institut für Informatik und Angewandte Mathematik neue Rekorde aufgestellt hat, indem es die „größte jemals berechnete RSA-Schlüsselgröße und eine übereinstimmende Berechnung des größten diskreten ganzzahligen Logarithmus aller Zeiten“ berücksichtigt hat. Die Datensätze bestehen aus dem Factoring von RSA-240 (795 Bit) und der Berechnung eines diskreten Logarithmus derselben Größe.
Diese Aufzeichnungen sind nicht ausschließlich auf zurückzuführen Moores Gesetz (Die Tendenz, dass sich die Anzahl der Transistoren in ICs alle zwei Jahre verdoppelt), da die Geschwindigkeitssteigerungen größer sind, als dies allein durch inkrementelle Hardwareverbesserungen vorhergesagt werden würde. Stattdessen schreiben die Forscher Verbesserungen bei der Softwareimplementierung des Number Field Sieve-Algorithmus zu, mit dem die Berechnungen durchgeführt wurden:
Um die Effizienzsteigerung zu demonstrieren, führten die Forscher ihre Software auf Hardware aus, die mit der für die Berechnung des diskreten 768-Bit-Logarithmus im Jahr 2016 verwendeten identisch war. Sie stellten fest, dass die Verwendung der alten Hardware zum Sieben der 795-Bit-Datensatzgröße 25% dauern würde weniger Zeit als die gleiche Ausrüstung für die Durchführung der 768-Bit-DLP-Berechnung.