Kryptographie

Da waren‘s nur noch sieben: Nächster quantensicherer Algorithmus (SIKE) gebrochen

Ein erfolgreicher Angriff auf den Verschlüsselungsalgorithmus SIKE (Supersingular Isogeny Key Encapsulation) hat die Zahl der Verfahren, in die das US-amerikanische Normungsinstitut NIST noch Hoffnung in Bezug auf Sicherheit vor dem Quantencomputer setzt, auf sieben reduziert. Damit sind nun bereits über 90 % der Kandidaten ausgeschieden: Motiviert von den offenen Wettbewerben zur Wahl von AES (1997-2000) und SHA-3 (2007-2012) hatte es 2017 ganze 69 Einreichungen für Post Quantum Cryptography (PQC) gegeben, die in der Folge immer weiter zusammenschrumpften. SIKE fiel dabei ganz […]

Schwachstelle

Woran leakts? ÆPIC Leak – Mikroarchitektur-Schwachstelle bedroht sichere Enklaven

Die durch Forschende u. a. der Universität Sapienza Rom und der TU Graz entdeckte Schwachstelle „ÆPIC Leak“ (CVE-2022-21233) erlaubt erstmals, über die Mikroarchitektur geheime Daten aus Intel-CPUs zu stehlen, ohne dabei einen verrauschten Seitenkanal wie Meltdown oder Spectre zu benötigen. ÆPIC („Architecturally Leaking Uninitialized Data from the Microarchitecture“) funktioniert auf allen aktuellen Sunny-Cove-basierten Intel-CPUs. ÆPIC Leak kommt über einen sogenannten „uninitialized read“ – also ein Lesen von Speicherbereichen, in denen ein anderer Prozess Datenreste hinterlassen hat – in der CPU […]

Kryptographie

NIST Post Quantum Cryptography Wettbewerb geht in die vierte Runde

Beim US-amerikanischen NIST ist am 5. Juli 2022 die dritte Runde des öffentlichen Wettbewerbs zur Auswahl von Verfahren für quantencomputersichere kryptographische Verfahren, Post Quantum Cryptography (PQC), zu Ende gegangen. Nachdem bereits in den vorangegangen Runden kräftig aussortiert worden war, wurde nun ein einziges Schema (CRYSTALS-Kyber) für Verschlüsselung & Schlüsselaustausch ausgewählt. Für digitale Signaturen schafften es immerhin drei Verfahren – CRYSTALS-Dilithium, FALCON und SPHINCS+ – in die Standardisierung, die nun etwa zwei Jahre in Anspruch nehmen soll. UPDATE 5. August 2022: […]

Kryptographie

Abfragwürdig: Queryable Encryption wird praktikabel

Die meisten Evolutionsschritte in der Kryptographie haben nicht sofort nennenswerte Auswirkungen auf die Praxis. Schlimmstenfalls wird ein Verfahren oder ein Algorithmus durch einen neuen kryptoanalytischen Angriff unbrauchbar gemacht oder geschwächt. Aber dass neue Anwendungsfelder entstehen, geschieht nur etwa einmal im Jahrzehnt (z. B. in den 70er Jahren mit Public-Key-Kryptographie, in den 2000ern mit Blockchain oder in den 2010ern mit bestimmten quantensicheren Verfahren). Jetzt könnte ein solcher Punkt wieder einmal erreicht sein: Mathematisch ist Queryable Encryption kein Hexenwerk. Verglichen mit ihrer großen […]

Cyberwar

Der wahre Hackback – Ukrainische IT-Armee meldet Erfolge

Traditionell halten sich staatliche Stellen, die in Sachen Cyber offensiv unterwegs sind, mit Verlautbarungen über Erfolge und Misserfolge zurück. Die Öffentlichkeit erfährt im Allgemeinen eher zufällig oder über Umwege Details über Ziele, Angriffskampagnen und mögliche oder tatsächliche Impacts – wenn überhaupt. Anders in der Ukraine, wo wieder einmal die durch den Krieg ausgelöste Zeitenwende deutlich wird. Nicht nur, dass der ukrainische Vizepremier und Minister für digitale Transformation, Mychajlo Fedorow, zwei Tage nach dem Überfall auf sein Land auf Twitter zur […]

Cloud

Jirassic Park: Das zwischenzeitliche Aussterben der Confluencer

Atlassian ist seit Jahren als eines der Unternehmen bekannt, die ihre Kunden mit besonders viel Enthusiasmus in die Cloud locken – manche würden vielleicht sogar scheuchen sagen. Immerhin verspricht man sich dort (zu Recht) mehr Agilität und damit auch mehr Nutzen für die Kunden. Nun hat das Umarmen der Wolke einige, die sich darauf voll eingelassen haben, böse gebissen. Ein Wartungsskript, das eigentlich nur Legacy-Daten löschen sollte, entfernte darüber hinaus die produktiven Daten von 400 Kunden samt Informationen zu gebuchten […]

Malware

Après-Kasper-Ski? Warnungen vor russischer Software

Die IT-Supply-Chain ist in den letzten Jahren nicht zuletzt dank internationaler Vorfälle wie Solarwinds oder Kaseya stark in den Fokus gerückt. Dabei geben wird schon seit Jahrzehnten gewissen Softwaretypen („Hilfs- oder Dienstprogramme“) tiefsten Einblick und Zugriff in bzw. auf unsere IT-Systeme. Dass insbesondere Antiviren-Software aufgrund ihrer umfassenden Systemrechte besonders kritische Gäste in der eigenen Infrastruktur sind, die zudem funktionsbedingt einen Kanal zum Nach-Hause-Telefonieren benötigen, wurde ebenfalls immer wieder diskutiert. Und doch kommen nur ganz wenige Organisationen von ihnen los. Zu […]

Cyberwar

Hybrider Cyberkrieg: Angriffe auf die Ukraine – und Westeuropa?

Seit Jahren gibt es immer wieder Cyberangriffe auf Systeme und kritische Infrastrukturen in der Ukraine, etwa auf die Energieversorgung 2015 und 2016. Einige davon konnten mit ausreichender Sicherheit russischen Akteuren zugeordnet werden, bei anderen wird dies nur vermutet. Nun, mit dem Einmarsch russischer Truppen in die Ostukraine, wird die Sorge um eine Eskalation auch im Cyberraum immer größer. Eine neue Angriffswelle auf ukrainische Organisationen hat in den letzten Tagen bereits stattgefunden. Diesmal waren das Verteidigungsministerium und zwei Banken die Ziele […]