Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

Androids pKVM erhält SESIP Level 5 Zertifizierung: Ein neues Zeitalter für mobile Sicherheit

2025-08-18
Androids pKVM erhält SESIP Level 5 Zertifizierung: Ein neues Zeitalter für mobile Sicherheit

Google gab bekannt, dass pKVM (protected KVM), der Hypervisor, der das Android Virtualization Framework antreibt, die SESIP Level 5 Zertifizierung erhalten hat – eine Premiere für ein Softwaresicherheitssystem, das für den groß angelegten Einsatz in der Konsumelektronik entwickelt wurde. Dies ermöglicht es Android, die nächste Generation von hochkritischen isolierten Workloads sicher zu unterstützen, wie z. B. KI-Verarbeitung auf dem Gerät mit ultra-personalisierten Daten, mit höchsten Garantien für Datenschutz und Integrität. Die Zertifizierung, die von Dekra durchgeführt wurde und der Norm EN-17927 entspricht, umfasst AVA_VAN.5, die höchste Stufe der Schwachstellenanalyse und Penetrationstests. Diese Leistung bildet einen Eckpfeiler für die mehrschichtige Sicherheitsstrategie von Android und bietet Geräteherstellern eine robuste, Open-Source-Firmwarebasis.

Mehr lesen
(security.googleblog.com)
Technologie SESIP Level 5 Zertifizierung

OSS Rebuild: Wiederherstellung des Vertrauens in Open-Source-Paketökosysteme

2025-07-22
OSS Rebuild: Wiederherstellung des Vertrauens in Open-Source-Paketökosysteme

Googles neues Projekt OSS Rebuild zielt darauf ab, das Vertrauen in Open-Source-Paketökosysteme zu stärken, indem es Upstream-Artefakte reproduziert. Als Reaktion auf die Zunahme von Supply-Chain-Angriffen automatisiert OSS Rebuild die Erstellung deklarativer Build-Definitionen für PyPI, npm und Crates.io und liefert SLSA-Provenienz, die die Anforderungen von SLSA Build Level 3 erfüllt, ohne Eingreifen des Herausgebers. Es bietet Build-Observability- und -Verifizierungstools sowie Infrastrukturdefinitionen, damit Organisationen eigene Instanzen ausführen können. Durch das Rebuilding, Generieren, Signieren und Verteilen von Provenienz hilft OSS Rebuild, verschiedene Arten von Supply-Chain-Kompromittierungen wie nicht übermittelten Quellcode, kompromittierte Build-Umgebungen und heimliche Backdoors zu erkennen, wodurch das Vertrauen in Pakete gestärkt und die Reaktion auf Schwachstellen beschleunigt wird.

Mehr lesen
(security.googleblog.com)
Entwicklung Supply-Chain-Sicherheit

Millionen verrauschte Qubits könnten RSA-Verschlüsselung brechen: Googles neue Schätzung

2025-05-24
Millionen verrauschte Qubits könnten RSA-Verschlüsselung brechen: Googles neue Schätzung

Die Forschung von Google Quantum AI legt nahe, dass ein Quantencomputer mit 1 Million verrauschter Qubits theoretisch innerhalb einer Woche die 2048-Bit-RSA-Verschlüsselung brechen könnte. Dies ist eine 20-fache Reduzierung gegenüber der Schätzung von 2019. Obwohl aktuelle Quantencomputer nur Hunderte oder Tausende von Qubits besitzen, unterstreicht dieses Ergebnis die Dringlichkeit der Migration zu Post-Quantum-Kryptographie (PQC)-Standards, um zukünftigen Bedrohungen durch Quantencomputer in großem Maßstab entgegenzuwirken. Verbesserungen bei Algorithmen und Fehlerkorrektur sind der Schlüssel zu dieser aktualisierten Vorhersage und reduzieren den für das Brechen von RSA benötigten Qubit-Anteil erheblich. Das NIST hat bereits PQC-Standards veröffentlicht und empfiehlt, anfällige Systeme nach 2030 abzukündigen und nach 2035 zu verbieten.

Mehr lesen
(security.googleblog.com)
Technologie RSA-Verschlüsselung Post-Quanten-Kryptographie

Google veröffentlicht stabile Modell-Signatur-Bibliothek zur Sicherung der KI-Lieferkette

2025-04-05
Google veröffentlicht stabile Modell-Signatur-Bibliothek zur Sicherung der KI-Lieferkette

Der Aufstieg großer Sprachmodelle (LLMs) hat die Bedeutung der Sicherheit der KI-Lieferkette hervorgehoben. Modellmanipulation, Datenvergiftung und andere Bedrohungen sind wachsende Probleme. Um dem entgegenzuwirken, hat Google in Zusammenarbeit mit NVIDIA und HiddenLayer und unterstützt von der Open Source Security Foundation die erste stabile Version seiner Modell-Signatur-Bibliothek veröffentlicht. Diese Bibliothek verwendet digitale Signaturen, wie sie von Sigstore verwendet werden, um Benutzern die Überprüfung zu ermöglichen, ob das von einer Anwendung verwendete Modell identisch mit dem vom Entwickler erstellten Modell ist. Dies gewährleistet die Integrität und Herkunft des Modells und schützt es vor böswilliger Manipulation während seines gesamten Lebenszyklus, vom Training bis zum Einsatz. Zukünftige Pläne umfassen die Erweiterung dieser Technologie auf Datensätze und andere ML-Artefakte, um ein robusteres KI-Vertrauensökosystem aufzubauen.

Mehr lesen
(security.googleblog.com)
KI Modellsignatur

Google präsentiert Sec-Gemini v1: Eine neue Ära der KI-gestützten Cybersicherheit

2025-04-04
Google präsentiert Sec-Gemini v1: Eine neue Ära der KI-gestützten Cybersicherheit

Google hat Sec-Gemini v1 angekündigt, ein experimentelles KI-Modell, das darauf abzielt, die Grenzen der KI in der Cybersicherheit zu erweitern. Durch die Kombination der fortschrittlichen Fähigkeiten von Gemini mit nahezu Echtzeit-Cybersicherheitswissen und -Tools zeichnet sich Sec-Gemini v1 in wichtigen Arbeitsabläufen wie der Analyse der Wurzelursache von Vorfällen, der Bedrohungsanalyse und dem Verständnis der Auswirkungen von Schwachstellen aus. Es übertrifft andere Modelle bei wichtigen Benchmarks und zeigt eine Verbesserung von mindestens 11 % bei CTI-MCQ und mindestens 10,5 % bei CTI-Root Cause Mapping. Google stellt Sec-Gemini v1 ausgewählten Organisationen, Institutionen, Fachleuten und NGOs für Forschungszwecke kostenlos zur Verfügung, um die Zusammenarbeit und den Fortschritt von KI in der Cybersicherheit zu fördern.

Mehr lesen
(security.googleblog.com)
KI

Chrome Root-Programm verbessert Web-PKI-Sicherheit mit obligatorischer MPIC und Linting

2025-03-31
Chrome Root-Programm verbessert Web-PKI-Sicherheit mit obligatorischer MPIC und Linting

Das Google Chrome-Team hat angekündigt, dass sein Root-Programm zwei wichtige Sicherheitsverbesserungen obligatorisch macht: Multi-Perspective Issuance Corroboration (MPIC) und Zertifikat-Linting. MPIC mindert das Risiko von betrügerisch ausgestellten Zertifikaten durch BGP-Angriffe, indem die Domain-Kontrolle von mehreren geografischen Standorten aus überprüft wird, während Linting die automatisierte Erkennung von Zertifikatfehlern ermöglicht und so die Sicherheit verbessert. Beide sind ab dem 15. März 2025 für öffentlich vertrauenswürdige Zertifikate obligatorisch und stärken die Sicherheit und Stabilität des Web-PKI-Ökosystems und reduzieren die fehlerhafte Ausstellung von Zertifikaten. Das Chrome-Team plant außerdem, schwache Domain-Validierungsmethoden abzuschaffen und aktiv nach Lösungen für eine Post-Quanten-Kryptografie-Welt zu suchen.

Mehr lesen
(security.googleblog.com)
Technologie Web-Sicherheit Digitale Zertifikate

Beseitigung von Speichersicherheitslücken: Ein gemeinsames Engagement für Security-by-Design

2025-02-26
Beseitigung von Speichersicherheitslücken: Ein gemeinsames Engagement für Security-by-Design

Jahrzehntelang haben Speichersicherheitslücken die Technologiebranche geplagt, Milliarden gekostet und das Vertrauen untergraben. Traditionelle Ansätze haben nicht ausgereicht. Dieser Beitrag fordert einen grundlegenden Wandel hin zu „Security-by-Design“-Praktiken, um diese Schwachstellen zu beseitigen. Jüngste Fortschritte bei speichersicheren Sprachen (wie Rust) und Hardwaretechnologien (wie ARM MTE) machen dies erreichbar. Die Autoren schlagen einen standardisierten Rahmen vor, um Speichersicherheitsgarantien objektiv zu bewerten, Anbieter zu Investitionen zu bewegen und Kunden letztendlich in die Lage zu versetzen, Sicherheit einzufordern und zu belohnen, was die Beschaffung sichererer Systeme vorantreibt. Dies erfordert einen technologieunabhängigen Rahmen, der verschiedene Ansätze unterstützt, Sicherheitsanforderungen an den Bedarf anpasst und letztendlich auf eine sichere digitale Welt abzielt.

Mehr lesen
(security.googleblog.com)
Entwicklung Security-by-Design

Google Play Sicherheitsbericht 2024: KI-gestützte Abwehr schützt Milliarden

2025-02-03
Google Play Sicherheitsbericht 2024: KI-gestützte Abwehr schützt Milliarden

Der Google Play Sicherheitsbericht 2024 unterstreicht Googles Engagement für die Sicherheit von Nutzern und Entwicklern. Durch KI-gestützte Bedrohungsabwehr, verschärfte Datenschutzrichtlinien und verbesserte Entwicklertools verhinderte Google Play die Veröffentlichung von 2,36 Millionen Richtlinien verletzender Apps und sperrte über 158.000 Konten von Schadsoftware-Entwicklern. Der Bericht konzentriert sich auf die Rolle der KI bei der proaktiven Erkennung von Malware, der Zusammenarbeit mit Entwicklern zur Verbesserung von Sicherheit und Datenschutz (Einschränkung des Zugriffs auf sensible Daten, verbesserte Datenlöschoptionen) und der Echtzeit-Überprüfung durch Google Play Protect, die über 13 Millionen schädliche Apps von außerhalb von Google Play identifizierte. Neue Betrugsschutzfunktionen schützen Nutzer vor Betrug und Malware. Google arbeitet auch mit Regierungen und Branchenpartnern zusammen, um neue Standards für die Sicherheitsbewertung von Anwendungen zu etablieren, um ein sichereres App-Ökosystem zu schaffen.

Mehr lesen
(security.googleblog.com)
Technologie App-Sicherheit

Google veröffentlicht OSV-SCALIBR: Eine leistungsstarke Bibliothek für die Software-Zusammensetzungsanalyse

2025-01-19
Google veröffentlicht OSV-SCALIBR: Eine leistungsstarke Bibliothek für die Software-Zusammensetzungsanalyse

Google hat OSV-SCALIBR veröffentlicht, eine erweiterbare Bibliothek für die Software-Zusammensetzungsanalyse (SCA), mit der installierte Pakete, eigenständige Binärdateien und Quellcode auf Schwachstellen geprüft werden können. Sie unterstützt zahlreiche Programmiersprachen und Paketmanager und generiert Software-Bill-of-Materials (SBOMs). OSV-SCALIBR ist die primäre SCA-Engine, die intern bei Google verwendet wird, und ist jetzt Open Source. Geplant ist die Integration in OSV-Scanner für eine robustere Befehlszeilenschnittstelle.

Mehr lesen
(security.googleblog.com)
Entwicklung Sicherheitslücken-Scanning