RSA hat mit NSA zusammengearbeitet

Schon lange ist eigentlich bekannt dass RSA Verschlüsselungsprodukte eine Backdoor – abgesprochen mit der NSA – aufweisen.

Dies wurde nun von offizieller Seite bestätigt, eine Erklärung warum aber offensichtlich unsichere Verschlüsselungsprodukte über Jahre weiter verkauft wurden gab Art Coviello von RSA nicht.

An der RSA Conference 2014 trat auch Scott Charney von Microsoft auf, er dementierte jegliche Gerüchte über Backdoors in Microsoft Produkten.

Details dazu finden Sie hier.

Stiftung Warentest: Datenschutz bei WhatsApp & Co

Die Stiftung Warentest hat Chat Programme für Mobilgeräte auf Datenschutz-Kriterien geprüft, hier die Resultate in Kurzform

  • Whatsapp: sehr kritisch
  • Threema: unkritisch
  • Telegram: kritisch
  • Blackberry Messenger: sehr kritisch
  • Line: sehr kritisch

Den Resultaten entsprechend sollte WhatsApp nicht mehr genutzt werden – Threema ist zur Zeit eine weit sicherere Alternative.

Den vollständigen Artikel finden Sie hier.

 

Fehlerhafte SSL/TSL Implementierung bei Apple

Durch fehlerhaften Code konnten angeblich verschlüsselte Verbindungen auf Apple Geräten ausgehebelt werden – die Schlüssel wurden nicht korrekt kontrolliert, so wurden auch falsche Schlüssel für eine Verbindung akzeptiert.

Es ist nicht bekannt wie lange der Fehler schon besteht und in welchem Umfang er ausgenutzt wurde.

Details sind hier zu finden.

Hier der Code mit dem doppelten „Fail“ – einer davon korrekt, der zweite akzeptiert nun alles:

 

static OSStatus
SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa, SSLBuffer signedParams,
                                 uint8_t *signature, UInt16 signatureLen)
{
	OSStatus        err;
	...

	if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
		goto fail;
	if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
		goto fail;
		goto fail;
	if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
		goto fail;
	...

fail:
	SSLFreeBuffer(&signedHashes);
	SSLFreeBuffer(&hashCtx);
	return err;
}