snearch + encryption   43

Globale Überwachungs- und Spionageaffäre – Wikipedia
Datendiebstahl bei Gemalto durch NSA und GCHQ

Im Februar 2015 berichtete The Intercept unter Berufung auf Dokumente von Snowden, dass NSA und GCHQ durch Einbruch in Gemalto-Server Millionen von Kryptografieschlüssel (Zertifikate) gestohlen hätten. Mit den Schlüsseln, die auf der SIM-Karte gespeichert sind, ist es einfach auch verschlüsselte Kommunikation – ohne richterlichen Beschluss und ohne Spuren zu hinterlassen – weltweit abzuhören. Gemalto ist eine niederländische Aktiengesellschaft, die Chip- und Magnetstreifenkarten wie SIM-Karten für Handys, Kreditkarten, biometrische Ausweise und elektronische Gesundheitskarte herstellt, es ist einer der weltgrößten SIM-Kartenhersteller. In Deutschland gilt das Unternehmen Giesecke & Devrient als führender Konkurrent Gemaltos, der in einem Dokument auch namentlich als Angriffsziel genannt wird.

Durch diesen Datendiebstahl werden auch elektronische Beweise entwertet. Abgehörte Datenübertragungen und SMS können ebenso wie Verbindungsprotokolle und Bewegungshistorien in Gerichtsprozessen nicht mehr als tragfähiger Beweis erachtet werden. Der Kryptografiespezialist und forschender Professor an der Johns-Hopkins-Universität in Baltimore Matthew Green erklärt gegenüber The Intercept: „Den Zugriff auf die Key-Datenbank zu erhalten, bedeutet im Wesentlichen 'Game Over' für mobile Verschlüsselung.“[195][196]
Überwachungsstaat  NSA  GCHQ  Gemalto  Datendiebstahl  Kryptografieschlüssel  Zertifikat  Security  Encryption  Niederlande  SIM  SMS  mobil 
december 2016 by snearch
Edward Snowden: The Internet Is Broken | Popular Science
About eight months out from the original revelations, in early January 2014, Google’s metrics showed there was a 50 percent increase in the amount of encrypted traffic that their browsers were handling3. This is because all of the mainline Internet service providers — Gmail, Facebook, and even major website providers — are encrypted, and this is very valuable. You can enforce a level of protection for your communications simply by taking very minor technical changes.
...
It is the same way in technology. We have been expanding and expanding because technology is incredibly useful. It is incredibly beneficial. But at the same time, we technologists as a class knew academically that these capabilities could be abused, but nobody actually believed they would be abused. Because why would you do that? It seemed so antisocial as a basic concept.
But we were confronted with documented evidence in 2013 that even what most people would consider to be a fairly forthright upstanding government was abusing these capabilities in the most indiscriminate way. They had created a system of "bulk collection", as the government likes to describe it — the public calls it mass surveillance. It affected everybody. It affected people overseas and at home, and it violated our own Constitution. And the courts have now ruled multiple times that it did do so4.
Snowden_Edward  Internet  Security  Überwachungsstaat  Encryption  Privatsphäre  Google  Facebook  GMail  higher_quality 
april 2016 by snearch
Apple-Chef: "Wir leben im Goldenen Zeitalter der Überwachung" | heise online
Dass die iOS-Verschlüsselung Terroristen ermögliche, im Geheimen zu agieren, hält Apple-Chef Tim Cook für "Quatsch". Jeder hinterlasse unzählige Datenspuren. Die Forderung des FBI nach einer Hintertür sei "verrückt" – kein anderes Land habe dies verlangt.
Security  Encryption  NSA  FBI  USA  Apple  Cook_Tim  Quatsch  cool  Datenschutz  Privatsphäre 
march 2016 by snearch
Apple's HomeKit Is Proving To Be Too Demanding For Bluetooth Smart Home Devices - Forbes
So far, only five companies have launched HomeKit-certified smart home devices. What’s the hold up? Apple has thrown a plethora of challenges at hardware makers, and some developers say one of the biggest is complying with Apple’s strict security requirements on Bluetooth low energy devices.
...
Another source who requested anonymity to protect his relationship with Apple said lag times reached 7 minutes when his company’s device tried to use the HomeKit protocol through Bluetooth LE. According to the source, chipmakers like Broadcom BRCM +0.31% and Marvell are revamping their Bluetooth LE chips to better handle the level of encryption required by Apple. Apple is also well aware of these problems, said the source.
Home_Automation  Apple  HomeKit  Bluetooth  Embedded_Systems  Encryption  smart_home 
february 2016 by snearch
Paris Anschlag: Wieso Massenüberwachung keine Lösung ist - SPIEGEL ONLINE
Brennan und seine ungenannten Kollegen nutzen also nun wie von Litt vorgeschlagen die Anschläge von Paris, um ihre Vorstellungen von einer Welt ohne wirksame Verschlüsselung erneut in Szene zu setzen - ohne jedoch Belege dafür vorlegen zu können, dass die Anschläge von Paris mit noch besseren Überwachungsmöglichkeiten womöglich hätten verhindert werden können. Und deutsche Polizisten fordern eine Maßnahme, die in Frankreich seit Jahren umgesetzt ist, die Anschläge aber augenscheinlich nicht verhindern konnte.

Über ihre eigenen offenkundigen Versäumnisse dagegen ist von den Sicherheitsbehörden dies- und jenseits des Atlantiks erwartungsgemäß nichts zu hören.

Unklar bleibt, wie es sein kann, dass bereits als Terrorverdächtige bekannte Männer unbemerkt nach Syrien und zurück reisen konnten. Unklar bleibt, warum man offenbar die Telefone von vermutlich in die Tat verwickelten Personen abhören, die Taten aber dennoch nicht voraussehen konnte. Unklar bleibt, warum der schon 2002 verabschiedete Rahmenbeschluss des Europäischen Rates, in dem eine enge Abstimmung der nationalen Behörden bei der Terrorbekämpfung vereinbart wurde, augenscheinlich nicht befriedigend umgesetzt wurde. Sonst hätten sich französische und belgische Behörden wohl effektiver über die Täter ausgetauscht, die in ihren jeweiligen Ländern lebten.

Lieber "den Verdächtigen" überwachen

Einmal mehr zeigt sich stattdessen: Die Massenüberwachung, die sich, angeführt von der NSA, bei den Diensten als Standardparadigma durchgesetzt hat, läuft augenscheinlich ins Leere. Obwohl sie bereits Informationen über die Täter hatten - wie übrigens auch im Fall der Attentate auf "Charlie Hebdo" im Januar - gelang es den Behörden nicht, sie gezielt so zu überwachen, dass man ihre Taten hätte verhindern können.

Den Standort des Handys eines Verdächtigen zu verfolgen beispielsweise wäre sogar ohne Vorratsdatenspeicherung problemlos möglich. Der nun als Terrorhelfer gescholtene Edward Snowden selbst wirbt übrigens immer wieder für "traditionelle, effektive Überwachung" im Kampf gegen den Terrorismus. Das bedeute, keine Bevölkerung, keine Technik, keinen Dienst zu überwachen, sondern den Verdächtigen.
Terrorismus  Datenschutz  Encryption  Reformforderung  ungerechtfertigt  Behördenversagen  Geheimdienst  Polizei  Standort_D_Land  Snowden_Edward  CIA  Brennan_John_Owen 
november 2015 by snearch
Let's Encrypt is now trusted by all major browsers : programming
[–]Shorttail 95 points 15 hours ago*

Certificates are cryptographic tools used by browsers and others to verify the identity of some entity. For instance, when connecting to https://www.reddit.com, your browser will get Reddit's certificate and validate that it is correct and that the site you're trying to access is actually the URL mentioned.

The validation is the tricky point. At the root there are Certificate Authorities (CA) that validate certificates. Their own certificates are embedded in browsers and OS'es.

Most CAs charge money for validating your certificates and it's a manual process. Some are free, but might charge money in case you want to invalidate your certificate, like if it got stolen.

Let's Encrypt is an initiative meant to change a lot of this. It's fully automatic and costs no money. Why? Because encryption of web sites is good, and making it cost money makes people less willing to invest in it. It is also difficult, which is why Let's Encrypt is automatic.

Basically, you tell their server that you'd like to have them sign a certificate for your website example.com. The server gives you a challenge, like, put the string "super secret" on your website. Once it's on, the server can see that you actually control the website, and signs your certificate. After this, all major browsers will accept your certificate as valid for example.com. And of course you don't have to keep the challenge on the website.

Edit: The validation is a longer story, but basically anyone can sign a certificate. A signature is very hard to forge unless the crypto is broken. Some certificates are signed by themselves, such as Comodo or Symantec, and these are trusted solely because they are included in the browser. You can sign your own certificate, but it will not be trusted by most browsers (users will get a warning that the website's identity cannot be verified). The certificate served by Reddit is signed by DigiCert Inc. (in Firefox, click the pad lock to the left of the URL), and DigiCert Inc. is on the trusted list of CA's. Some signatures are long chains of one party signing another. If the chain eventually ends at a trusted CA, the certificate is valid. Most certificates are not valid for signing other certificates, such as the one you'll likely get. That means your valid example.com certificate cannot be used to sign a fake new reddit.com certificate.

permalinksaveparentreportgive goldreply
Website  Webdevelopment  Encryption  https  SSL  certificate  CA  Let's_Encrypt 
october 2015 by snearch
Laura Poitras on the Crypto Tools That Made Her Snowden Film Possible | WIRED
As a journalist, Laura Poitras was the quiet mastermind behind the publication of Edward Snowden’s unprecedented NSA leak. As a filmmaker, her new movie Citizenfour makes clear she’s one of the most important directors working in documentary today. And when it comes to security technology, she’s a serious geek.

In the closing credits of Citizenfour, Poitras took the unusual step of adding an acknowledgment of the free software projects that made the film possible: The roll call includes the anonymity software Tor, the Tor-based operating system Tails, the anonymous upload system SecureDrop, GPG encryption, Off-The-Record (OTR) encrypted instant messaging, hard disk encryption software Truecrypt, and GNU Linux. All of that describes a technical setup that goes well beyond the precautions taken by most national security reporters, not to mention documentary filmmakers.

...

“No amount of violence can solve a math problem.”



Poitras’ caution is echoed in the movie’s narrative. In intimate scenes she recorded with Snowden in his Hong Kong hotel room—the core of her film—she shows him worrying that the VoIP deskphone in his room has been turned into a bug. He chides Glenn Greenwald for using a too-short password, dons a blanket over his head and laptop to enter his own passphrase (Snowden jokingly calls it his “magical mantel of power”) and freezes up when a fire alarm test interrupts their work, suspecting foul play. Still, Poitras says that none of that was meant to portray Snowden as paranoid. “I wouldn’t describe anything that Snowden recommends in that hotel room as paranoia,” she says. “When your adversary is the NSA, that’s not paranoid.”

But despite her dark assessment of the NSA’s reach, Poitras argues that Snowden’s ability to stay out of the agency’s grasp shows the power of cryptography. She quotes the cypherpunk mantra that cryptography levels the playing field between the individual and the government; it represents a math problem that no amount of authoritarian force can solve. “I do think that so long as we can maintain the ability for crypto not to be backdoored, there’s a way for people to communicate securely,” she says.

“I have a lot of respect for the cypherpunk movement,” she adds. “The free software community should be supported more widely. I’m totally in solidarity with what they do.”
Snowden_Edward  Security  Encryption  Poitras_Laura  Regisseure  Linux  GPG  OTR  Tor  SecureDrop  TrueCrypt  Tails  Citizenfour  Film  TOP  Inspiration  Profession  Cypherpunk  Machtmittel  freedom  cryptography_levels_the_playing_field_between_the_individual_and_the_government 
february 2015 by snearch
PGP-Erfinder Phil Zimmermann über NSA im Interview - SPIEGEL ONLINE
Seine Verschlüsselungstechnik PGP hat ihn berühmt gemacht - und gilt auch nach Snowdens Enthüllungen noch als sicher. Im Interview spricht Phil Zimmermann über die Macht der NSA und gibt Tipps, wie man sich am besten schützt.
Internet  Security  PGP  Encryption  Zimmermann_Phil  Interview 
september 2013 by snearch
Prism: Gegen die NSA ist Gegenwehr kaum möglich | Digital | ZEIT ONLINE
Es gibt darauf mehrere Antworten. Die erste lautet: Boykott.
1. Wer Microsoft, Apple, Yahoo, Google, Facebook, PalTalk, AOL, Skype und YouTube nicht nutzt, wird vom Prism-System nicht direkt erfasst.
2. Es ist möglich, seinen digitalen Fußabdruck innerhalb dieser Dienste zumindest zu verringern. Wer zum Beispiel seine E-Mail-Adresse bei Yahoo oder Google behalten möchte, kann seine Mails verschlüsseln, um zumindest den Inhalt vor unerwünschten Mitlesern zu schützen. Wie das funktioniert, hat ZEIT ONLINE in der Serie Mein digitaler Schutzschild beschrieben, im Kapitel zum Verschlüsselungsstandard OpenPGP.
Prism  USA  Gegenmassnahme  PGP  Security  Encryption  OpenPGP  Tools_Software  TrueCrype  Boxcryptor 
june 2013 by snearch
SSL Still Mostly Misunderstood - DarkReading
Most users ensure their Web sessions are using Secure Sockets Layer (SSL) before entering their credit card information, but less than half do so when typing their passwords onto a Web page, according to a new survey.

Just what SSL does and doesn't do isn't clear to many users, and the way Websites implement it doesn't help: "The biggest issue is the general population doesn't know what SSL is, why they're using it, and it's ingrained in them that it always makes them secure, which is not always the case," says Tyler Reguly, senior security engineer for nCircle, who surveyed a cross-section of users -- technical and nontechnical -- and shared the results of his findings today during a panel presentation about SSL at the SecTor Conference in Toronto.
SSL  TLS  security  WepApps::Encryption  Encryption 
october 2009 by snearch
Coding Horror: The Wrong Level of Abstraction
One of those alternatives would be a full-blown library, perhaps something like Bouncy Castle, or Keyczar, or cryptlib. What could be easier than a EncryptStringForBrowser() method which has security and tamper-resistance built in, that's part of a proven, domain-expert-tested set of code that thousands if not millions of developers already rely on?
professional_software_development  Kryptografie  Encryption 
june 2009 by snearch
Cryptographic Right Answers
Thanks to my background as FreeBSD Security Officer, as a cryptographic researcher, and as the author of the Tarsnap secure online backup system, I am frequently asked for advice on using cryptography as a component in secure systems. While some people argue that you should never use cryptographic primitives directly and that trying to teach people cryptography just makes them more likely to shoot themselves in their proverbial feet, I come from a proud academic background and am sufficiently optimistic about humankind that I think it's a good idea to spread some knowledge around. In light of this, I've put together a list of "Cryptographically Right Answers" -- which is to say, a list of recommendations for using cryptography which, if followed, will make sure you get things right in the vast m
Kryptografie  FreeBSD  Encryption 
june 2009 by snearch
Freedom to Tinker » Blog Archive » New Research Result: Cold Boot Attacks on Disk Encryption
Today eight colleagues and I are releasing a significant new research result. We show that disk encryption, the standard approach to protecting sensitive data on laptops, can be defeated by relatively simple methods. We demonstrate our methods by using th
Sicherheit  Encryption 
february 2008 by snearch
ONLamp.com -- Hiding Secrets with Steganography
I've always been fascinated by algorithms and the whole concept that a bit of mathematics can be used to compress an image or a sound or a video. Or keep track of where it put the files on my hard drive. Or perhaps scramble the contents of one of those fi
Steganography  Encryption 
november 2007 by snearch
heise online - Smartcards werden ubiquitär
Leistungsfähige Smartcards werden in der Zukunft eine immer wichtigere Rolle spielen. Dies zeigten etliche Referate des 17. SmartCard Workshop des Fraunhofer-Instituts Sichere Informations-Technologie (SIT). Sie empfehlen sich nicht nur als Ausweis, Sign
Smartcards  Emerging_Technologies  Kryptografie  Encryption 
february 2007 by snearch
heise online - 23C3: "Sind wir paranoid genug?"
Experten haben auf dem dem 23. Chaos Communication Congress in Berlin am Mittwoch ein detailreiches Bild über den Stand staatlicher und privater Überwachung gemalt, die auch vor Hotelräumen, dem Internet und privaten PCs nicht haltmacht. "Die Frage mus
Bürgerrechte  Encryption 
december 2006 by snearch
jetzt.de - Interview: Wie man seine Spuren im Netz verwischen kann
Kann ich das als Privatperson ohne Zugang zu spezieller Technologie? Jein. Wenn Sie sich ein bisschen Mühe geben, kriegen Sie es hin. Die Kerndidee ist: Sie schicken die E-Mail nicht direkt, sondern an einen Proxy mit der Bitte, er möge sie an den E
email  Sicherheit  Encryption 
december 2006 by snearch

related tags

AES  AI  algorithm  amazon  Apple  Behördenversagen  blocking  Bluetooth  Boxcryptor  Brennan_John_Owen  Bürgerrechte  C++  CA  Captcha  censorship  certificate  China  CIA  Citizenfour  cloud_computing  Cook_Tim  cool  Cryptographie  cryptography_levels_the_playing_field_between_the_individual_and_the_government  Cypherpunk  Datendiebstahl  Datenschutz  duty  EBooks  email  Embedded_Systems  Emerging_Technologies  encryption  ESP32  Facebook  FBI  Film  FreeBSD  freedom  GCHQ  Gegenmassnahme  Geheimdienst  Gemalto  Gmail  GMail  Google  GPG  higher_quality  HomeKit  Home_Automation  https  I'm_not_a_robot  IETF  Informatik  Inspiration  international  Internet  Interview  IoT  Kryptografie  Kryptografieschlüssel  Lernherausforderung  Let's_Encrypt  libraries_programmers_tools  Linux  Machtmittel  Mathematik  messaging  Microsoft  Missstand  mobil  NaCl  Netscape  networking_hardware  neuronal_network  Niederlande  NSA  OpenPGP  OTR  PGP  Poitras_Laura  Polizei  Prism  PRISM  privacy  Privatsphäre  Profession  professional_software_development  Quatsch  Reformbedarf  Reformforderung  Reformidee  Regisseure  SecureDrop  security  Sicherheit  SIM  Smartcards  smart_home  SMS  Snowden_Edward  Software_Libraries  SSL  Standort_D_Land  Steganography  Tails  Telefonie  Terrorismus  threat  TLS  Tools_Software  TOP  Tor  Trend  TrueCrype  TrueCrypt  ungerechtfertigt  USA  VoIP  VPN  Webdevelopment  Website  WepApps::Encryption  Zensur  ZeroMQ  Zertifikat  Zimmermann_Phil  _HOT_  Überwachungsstaat 

Copy this bookmark:



description:


tags: