Webtagr - Technologienummer

Veraltete Kerberos-Schwachstelle: Ein kritischer Fehler in Microsoft Active Directory

2025-09-10

Dieser Artikel deckt eine seit langem bestehende, technisch einfache, aber hochgradig effektive Kerberos-Schwachstelle in Microsoft Active Directory auf – Kerberoasting. Diese Schwachstelle nutzt die veraltete RC4-Verschlüsselung und schwache Passwortmechanismen in Active Directory aus, sodass Angreifer mit Wörterbuchangriffen schnell Dienstkonto-Passwörter knacken und Zugriff auf Unternehmensnetzwerke erhalten können. Obwohl Microsoft Abhilfemaßnahmen veröffentlicht hat, mangelt es an proaktiven Maßnahmen, z. B. der Erzwingung von Upgrades veralteter Konfigurationen, was zu einer anhaltenden Ausnutzung geführt hat, wie der Ransomware-Angriff auf Ascension Health im Mai 2024 zeigt. Dies unterstreicht die Mängel von Microsoft bei Sicherheitsupdates und die Nachlässigkeit von Unternehmensadministratoren in Bezug auf Sicherheit.

(blog.cryptographyengineering.com)

Technologie

Ende-zu-Ende-Verschlüsselung von XChat: Juicebox-Sicherheitslücke

2025-06-09

Matthew Garrett deckt Sicherheitslücken im neuen Ende-zu-Ende-verschlüsselten Messaging-Protokoll von X (ehemals Twitter), XChat, auf. XChat verwendet das Juicebox-Protokoll, um die privaten Schlüssel der Benutzer zu speichern und auf drei Server zu verteilen. Diese Server werden jedoch von X kontrolliert, was bedeutet, dass X auf alle Benutzerschlüssel zugreifen und die Ende-zu-Ende-Verschlüsselung untergraben kann. Der Artikel untersucht die Funktionsweise und potenziellen Risiken von Juicebox und hebt kritische Fehler in der Implementierung von XChat hervor. Die privaten Schlüssel der Benutzer sind anfällig für unbefugten Zugriff durch X, was zur Empfehlung führt, XChat nicht zu verwenden.

(blog.cryptographyengineering.com)

Technologie

Apple iMessage: Verschlüsselung allein reicht nicht

2025-03-06

Obwohl Apple iMessage seit 2011 eine Ende-zu-Ende-Verschlüsselung bietet, werden Nachrichten dauerhaft auf Geräten gespeichert und standardmäßig in iCloud gesichert, was eine Datenschutzlücke darstellt. Trotz robuster Verschlüsselung, einschließlich Post-Quanten-Sicherheit, fehlt die Funktion „verschwindender Nachrichten“, wodurch die Plattform im Vergleich zu anderen Messenger-Diensten beim Schutz der Benutzerdatensicherheit zurückfällt. Der Artikel fordert Apple auf, Verbesserungen vorzunehmen und eine Funktion für verschwindende Nachrichten hinzuzufügen, um die Benutzerdaten besser zu schützen.

(blog.cryptographyengineering.com)

Technologie

Großbritannien fordert Apple heimlich auf, iCloud-Verschlüsselung zu schwächen: Ein Albtraum für die Privatsphäre

2025-02-12

Die britische Regierung forderte Apple heimlich auf, die Ende-zu-Ende-Verschlüsselung in ihrem iCloud Advanced Data Protection (ADP)-System zu schwächen, was große Bedenken hinsichtlich des Datenschutzes aufwirft. Dieses System soll die Daten der Nutzer vor unbefugtem Zugriff schützen, aber die Forderung Großbritanniens würde den geheimen Zugriff auf die Daten der Nutzer ermöglichen. Dies bedroht nicht nur die Privatsphäre britischer Nutzer, sondern schafft auch einen gefährlichen Präzedenzfall für andere Länder und gefährdet potenziell die globale Datensicherheit. Der Autor fordert Apple auf, die Einführung der Ende-zu-Ende-Verschlüsselung zu beschleunigen, und schlägt eine US-Gesetzgebung vor, die US-Unternehmen verbietet, auf Anfrage ausländischer Regierungen Verschlüsselungs-Hintertüren einzubauen.

(blog.cryptographyengineering.com)

Technologie iCloud-Verschlüsselung Regierungsregulierung

Die Achillesferse des Random-Oracle-Modells: Neue Herausforderungen für die Blockchain-Sicherheit

2025-02-06

Dieser Beitrag befasst sich mit einem langjährigen Problem in der Kryptographie: dem Random-Oracle-Modell (ROM). Das ROM wird weit verbreitet verwendet, um die Sicherheit kryptografischer Schemata zu beweisen, doch seine Annahmen sind in der realen Welt nicht umsetzbar. Der Autor analysiert einen Artikel von Khovratovich, Rothblum und Soukhanov, der potenziell praktische Angriffe auf Fiat-Shamir-basierte Zero-Knowledge-Proof-Systeme aufdeckt. Diese Angriffe nutzen Schwachstellen aus, die beim Ersetzen des ROM durch reale Hash-Funktionen auftreten können. Mit der zunehmenden Verbreitung von Zero-Knowledge-Proofs und deren rekursiven Anwendungen in der Blockchain hebt der Autor die erheblichen Sicherheitsrisiken hervor, die potenziell zu systemweiten Ausfällen führen können. Der Beitrag unterstreicht die entscheidende Notwendigkeit rigoroser Sicherheitsaudits von Programmen, die in Beweissystemen verwendet werden, und untersucht verschiedene Angriffsszenarien, von relativ milden bis hin zu katastrophalen, was zu einer eingehenderen Untersuchung der Blockchain-Sicherheit führt.

(blog.cryptographyengineering.com)

Technologie Random-Oracle-Modell Blockchain-Sicherheit

KI vs. Ende-zu-Ende-Verschlüsselung: Ein Datenschutz-Showdown

2025-01-17

Dieser Artikel untersucht den Konflikt zwischen KI und Ende-zu-Ende-Verschlüsselung. Der Aufstieg von KI-Assistenten erfordert die Verarbeitung immer sensiblerer Daten außerhalb des Geräts, was die Datenschutzmaßnahmen der Ende-zu-Ende-Verschlüsselung in Frage stellt. Obwohl Unternehmen wie Apple versuchen, dies mit „Private Cloud Compute“ und vertrauenswürdiger Hardware zu mildern, hängt dieser Ansatz von komplexer Software- und Hardwaresicherheit ab und ist keine perfekte Lösung. Eine tiefere Sorge besteht in der Kontrolle leistungsstarker KI-Agenten; sobald sie eingesetzt werden, wird der Zugriff zum wichtigsten Faktor, wodurch die Gefahr besteht, dass staatliche oder unternehmerische Zugriffe die Privatsphäre beeinträchtigen.

(blog.cryptographyengineering.com)

Technologie KI-Datenschutz Ende-zu-Ende-Verschlüsselung