Archiv der Rubrik 'Verschlüsselung'

Kritische Lücke in OpenSSL: „heartbleed“

Dienstag, 8. April 2014

Unter dem Codenamen „Heartbleed“ (Herzbluten) wurde gerade eine kritische Sicherheitslücke in OpenSSL veröffentlicht. OpenSSL ist nun nicht irgendeine Software, bei der man eben den Fehler behebt und dann ist alles wieder gut. Diese Software-Bibliothek ist eine sehr häufig genutzte Implementierung der Verschlüsselungsstandards SSL/TLS, das heißt, überall, wo mit Hilfe dieser Bibliothek Daten verschlüsselt werden, besteht eine Sicherheitslücke – und keine kleine.

Durch den Fehler sind alle Unter-Versionen von Version 1.0.1 außer der jetzt gefixten Version 1.0.1g angreifbar. Nicht betroffen ist die Version 0.9.8, die beispielsweise von Debian GNU/Linux Squeeze („oldstable“ oder Version 6) eingesetzt wird, so wie das auf diesem Server noch der Fall ist. (mehr …)

Verschlüsseln – aber richtig!

Mittwoch, 12. Februar 2014

Kürzlich wurde ich Kundin bei einem Internet-Versandhändler. Bei der Anmeldung wurde mir werbend versprochen, daß meine Daten sicher seien, da man ja https auf der Website verwende. So weit, so gut. Ich tippte also nicht nur Adresse und Geburtsdatum, sondern auch meine Kontonummer ins Neukunden-Formular ein und harrte der Dinge, die da kamen.

Was kam, war eine E-Mail, die alle Daten, die ich ins Formular eingegeben hatte, nochmals enthielt – in vollständiger Form und unverschlüsselt. Somit muß ich davon ausgehen, daß die Daten von den drei Malen, die sie durchs Internet geschickt wurden, mindestens einmal offen lesbar waren, wie eine Postkarte.

Dreimal? (mehr …)

E-Mail made in Germany

Dienstag, 26. November 2013

Schon kürzlich habe ich über die Umstellung unter anderem bei T-Online auf SSL/TLS berichtet. Gestern bekam ich nun einen Newsletter von der Deutschen Telekom, in welchem das ganze noch einmal ausführlich beworben wird. Dazu hätte ich dann doch noch so ein paar generelle Anmerkungen.

Unter dem Motto E-Mail made in Germany werben also derzeit die Anbieter T-Online, GMX, Freenet und web.de für ihre E-Mail-Dienste, die jetzt besonders sicher sein sollen. Wenn man die Werbesprüche mal wegläßt und sich die technischen Gegebenheiten anschaut, merkt man aber schnell, daß ein Teil ein alter Hut ist und der Rest nicht vor Datenspionage schützt. (mehr …)

T-Online bietet SSL – und drängt zu IMAP

Donnerstag, 7. November 2013

Bereits seit 2002 nutze ich eine E-Mail-Adresse auf einem Mailserver, der den verschlüsselten Abruf von E-Mails erlaubt. Der Betreiber wies mich damals auch explizit darauf hin und bat mich ausdrücklich, diese Möglichkeit zu nutzen.

Als ich 2006 den Mailserver auf meinem ersten eigenen Server einrichtete, bekam dieser selbstverständlich die Möglichkeit des verschlüsselten Abrufs, und ich habe alle meine Mailkonten darauf entsprechend eingerichtet.

Nun haben wir November 2013, und die Telekom kommt schon auf die Idee, das auch endlich mal anzubieten. In der E-Mail, die ich heute Morgen bekam, wird das so beschrieben: (mehr …)