Versleutelaars e-mail blijken lek

S/MIME en OpenPGP zijn lek

Jörg Schwenk: …onveilig… (afb: univ. van Bochum)

Onderzoekers van de universiteiten van Bochum en Münster (beide in Duitsland) en van Leuven (Be) hebben ontdekt dat twee versleutelingsnormen voor elektronische post lek zijn. De onderzoekers wisten door de verdedigingslinie van 25 van de 35 mailprogramma’s te breken die gebruik maakten van S/MIME en 10 van de 28 die OpenPGP als versleutelaar gebruikten. Inmiddels zouden de lekken zijn gedicht, maar de onderzoekers roepen om nieuwe normen. Lees verder

Veiligheidsprotocol TLS wordt danig verbouwd

Netscape-logoBeveiliging van het webverkeer is nog steeds mensenwerk en dat betekent dat er fouten in zitten waar louche types als NSA-spionnen en webboeven misbruikt van kunnen maken om hun euvele daden uit te voeren.  Zo bleek ook het protocol voor communicatiebeveiliging TLS niet waterdicht. Het wordt nu Transport Layer Security-protocol drastisch op de schop genomen worden. De versie zal dit of komend jaar beschikbaar komen. Lees verder

Er zijn achterdeurtjes die één heer dienen

Achterdeurtjes

De onderzoekers waardeerden achterdeurtjes op een aantal facetten en gaven daaraan cijfers voor bruikbaarheid (hoog, gemiddeld, laag) (afb: Bruce Schneier)

Geheime diensten zijn als de dood dat allerlei aanbieders en diensten in de communicatie standaard gebruik gaan maken van versleuteling. Dat zou, beweert onder meer de FBI, de strijd tegen de misdaad en het terrorisme ernstig belemmeren. Die opsporingsdiensten zijn dan ook grote voorstanders voor achterdeurtjes, opzettelijke zwakheden in de beveiliging. Die achterdeurtjes kunnen ook gebruikt worden door onverlaten (nog grotere dan de geheime diensten) zeggen tegenstanders, maar volgens Amerikaanse cryptologen zijn er wel degelijk achterdeurtjes die beter zijn dan andere, waarbij alleen de maker van ‘zwakheid’ , ongezien, toegang zou kunnen hebben.. Lees verder

Nu weer een lek in SSL 3.0 ontdekt: poedel

Poedel

Foto: PinQerton.com

In het 15 jaar oude versleutelingsssyteem SSL 3.0 is een lek ontdekt, waardoor een kraker informatie uit versleutelde verbindingen kan stelen. Hiermee zou die, bijvoorbeeld, de sessie van een regulier gebruiker kunnen overnemen. Ondanks zijn hoge leeftijd wordt SSL 3.0 nog veel gebruikt. Alle surfprogramma’s ondersteunen het. Het verdient de voorkeur de mogelijkheid te blokkeren SSL 3.0 in je websurfer te gebruiken. Met Chrome had ik problemen. met Firefox was het een fluitje van een cent (beide op de Mac). Overigens zit de oplossing van het probleem vooral bij de beheerders van de servers van kwetsbare instellingen als banken. Lees verder