en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Sicherheitsübersicht Dezember 2019

Frohe Feiertage von SSL.com! Wir hoffen, dass Sie alle ein glückliches und erfolgreiches Jahr 2019 hatten und freuen uns auf große Dinge im Jahr 2020 (genau wie wir)! In unserer letzten Zusammenfassung des Jahres werden wir über Folgendes sprechen:

  • Ein "sicherer" Nachrichten-App das stellte sich als Werkzeug für die Spionage durch die Regierung heraus
  • Ablauf des selbstsignierten Zertifikats von Cisco Problem
  • Neu Aufzeichnungen für RSA-Key-Factoring und diskrete Logarithmusberechnung

Und wenn Sie hier fertig sind, schauen Sie sich bitte auch unsere an Neuer Artikel darüber, was Zertifizierungsstellen tun und wie schwer es ist, eine zu sein!

Messaging App ToTok ist das Spionagetool der VAE

Am 22. Dezember die New York Times berichtet dass eine beliebte Messaging-App ToTok auch ein Spionagetool ist, das von der Regierung der Vereinigten Arabischen Emirate (VAE) verwendet wird, um „jedes Gespräch, jede Bewegung, jede Beziehung, jeden Termin, jeden Ton und jedes Bild derjenigen zu verfolgen, die es auf ihren Handys installieren“. Emirati-Bürger waren von der App angezogen, weil die VAE die Funktionalität verschlüsselter Messaging-Anwendungen wie WhatsApp und Skype blockieren.

ToTok wurde der Times sowohl von US-Beamten, die eine Geheimdienstbewertung erhalten hatten, als auch von einem anonymen Experten für digitale Sicherheit, der sagte, er habe die Informationen von "hochrangigen Vertretern der Emirate" erhalten, als Spionagetool entlarvt. Die App, die sich trotz fehlender Ansprüche auf End-to-End-Verschlüsselung als „sicher“ auszeichnet, wurde auch vom chinesischen Telekommunikationsunternehmen Huawei in großem Umfang beworben.

Beide Apple Google haben ToTok bereits aus ihren App Stores entfernt, aber die App wurde bereits millionenfach von Nutzern heruntergeladen.

Der Start von SSL.com: Wenn Sie diese App installiert haben, löschen Sie sie sofort und achten Sie auf die von Ihnen installierten Apps und die Berechtigungen, die Sie ihnen gewähren, um auf Ihren Standort und andere persönliche Daten zuzugreifen. Wie eine andere New York Times kürzlich hervorhob Stück"Ihr Smartphone ist eines der fortschrittlichsten Überwachungstools der Welt". Diese Funktionen beschränken sich nicht nur darauf, Ihnen "relevante" Anzeigen zu liefern.

Selbstsignierte Zertifikate auf vielen Cisco-Geräten laufen bald ab

Ciscos Feldnotiz FN-70498 (20. Dezember 2019) warnt Benutzer, dass selbstsignierte X.509-Zertifikate auf Geräten, auf denen betroffene Versionen der Cisco IOS- oder IOS XE-Software ausgeführt werden, am 1. Januar 2020 um Mitternacht ablaufen. Außerdem können für diese keine neuen selbstsignierten Zertifikate erstellt werden Geräte nach diesem Datum, sofern kein Software-Upgrade durchgeführt wird.

Nach dem Aktualisieren der Gerätesoftware müssen selbstsignierte Zertifikate neu generiert und auf alle Geräte exportiert werden, die dies in ihrem Trust Store benötigen.

Cisco stellt fest, dass:

Dieses Problem betrifft nur selbstsignierte Zertifikate, die vom Cisco IOS- oder Cisco IOS XE-Gerät generiert und auf einen Dienst auf dem Gerät angewendet wurden. Zertifikate, die von einer Zertifizierungsstelle (CA) generiert wurden, einschließlich der von der Cisco IOS-CA-Funktion generierten Zertifikate, sind von diesem Problem nicht betroffen.

Nach der Ankündigung von Cisco Rapid7 Labs benutzt Sonargerät Scannen Sie Daten, um "über 80,000 Cisco-Geräte zu identifizieren, die wahrscheinlich von diesem Ablaufproblem betroffen sind". Könnten Sie unter ihnen sein?

Der Start von SSL.com: Aktualisieren Sie auf jeden Fall Ihre Software, wenn Sie von diesem Problem betroffen sind. Wir empfehlen jedoch die erste von Cisco vorgeschlagene Problemumgehung: „Installieren Sie a bescheinigt von einer CA “, noch besser.

Neuer RSA Key-Cracking-Rekord

Dan Goodin bei Ars Technica Berichte dass ein Forscherteam unter der Leitung von Emmanuel Thomé vom französischen Nationalen Institut für Informatik und Angewandte Mathematik neue Rekorde aufgestellt hat, indem es die „größte jemals berechnete RSA-Schlüsselgröße und eine übereinstimmende Berechnung des größten diskreten ganzzahligen Logarithmus aller Zeiten“ berücksichtigt hat. Die Datensätze bestehen aus dem Factoring von RSA-240 (795 Bit) und der Berechnung eines diskreten Logarithmus derselben Größe.

Diese Aufzeichnungen sind nicht ausschließlich auf zurückzuführen Moores Gesetz (Die Tendenz, dass sich die Anzahl der Transistoren in ICs alle zwei Jahre verdoppelt), da die Geschwindigkeitssteigerungen größer sind, als dies allein durch inkrementelle Hardwareverbesserungen vorhergesagt werden würde. Stattdessen schreiben die Forscher Verbesserungen bei der Softwareimplementierung des Number Field Sieve-Algorithmus zu, mit dem die Berechnungen durchgeführt wurden:

Um die Effizienzsteigerung zu demonstrieren, führten die Forscher ihre Software auf Hardware aus, die mit der für die Berechnung des diskreten 768-Bit-Logarithmus im Jahr 2016 verwendeten identisch war. Sie stellten fest, dass die Verwendung der alten Hardware zum Sieben der 795-Bit-Datensatzgröße 25% dauern würde weniger Zeit als die gleiche Ausrüstung für die Durchführung der 768-Bit-DLP-Berechnung.

Der Start von SSL.com: Wir stimmen mit Nadia Heninger (einer Forscherin im Rekordteam) darin überein, dass die „Imbissbuden für Praktiker im Grunde genommen darin bestehen, dass sie den Rat befolgt haben, ab sofort auf mindestens 2048-Bit-RSA-, Diffie-Hellman- oder DSA-Schlüssel umzusteigen vor einigen Jahren, was sie vor all diesen Verbesserungen schützen würde. “

 

Vielen Dank, dass Sie sich für SSL.com entschieden haben! Bei Fragen wenden Sie sich bitte per E-Mail an Support@SSL.com, Anruf 1-877-SSL-SECUREoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite.


Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com