To sign or not to sign
Zwischen Weihnachten und Neujahr fand erneut der Chaos Communication Congress statt. In der 39. Ausgabe ging es verstärkt um digitale Souveränität, ohne die klassischen Technikthemen zu vernachlässigen. Es wurden Schwachstellen in GPG-Signaturen aufgezeigt, die unter anderem über die klassischen Methoden der ANSI-Escape-Sequenzen funktionieren. Das bestätigt erneut, dass bei den gängigen Tools des GPG-Ökosystems die Usability auf der Strecke bleibt. Gerade für Signaturen bieten sich oft Alternativen wie bspw. SSH oder age an, auch wenn das eigene bunte Logo im GPG-Schlüssel hübsch aussieht.
Die Frage nach tragfähigen Vertrauensmodellen stellt sich nicht nur bei OpenPGP, sondern auch im Hardware‑Stack. Im Vortrag „Not To Be Trusted – A Fiasco in Android TEEs“ demonstrieren die Forschenden Code‑Execution in Xiaomis TEE. TEEs fungieren in Mobilgeräten wie Smartphones als isolierte, besonders geschützte Umgebung – ein Kernstück der Gerätesicherheit, ähnlich einer Smartcard.
Und weil Security auch Humor verträgt, gibt es im Podcast „Och Menno – IT und IT-Security-Uppsis“ von Sven Uckermann etwas zu lachen, in dem er Pleiten, Pech und Pannen der IT-Security vorstellt.
https://media.ccc.de/v/39c3-to-sign-or-not-to-sign-practical-vulnerabilities-i
https://media.ccc.de/v/39c3-not-to-be-trusted-a-fiasco-in-android-tees
https://media.ccc.de/v/39c3-och-menno-it-und-it-security-uppsis
