Sie steckt in der Kryptographie-Bibliothek. Angreifer können schädliche Dateien signieren und verschlüsselte Kommunikation abhören. Microsoft stellt offenbar vorab bestimmten Behörden und Betreibern kritischer Infrastrukturen einen Fix zur Verfügung. weiter

Die Finale Version erscheint am 10. März. Ab dann zeigt Firefox mit TLS 1.0 oder 1.1 verschlüsselte Websites nicht mehr an. Auch Google beendet die Unterstützung für beide Protokoll-Versionen im übernächsten Monat. weiter

Sie können nun eigene Schlüssel einsetzen. Google erlaubt auch die Bereitstellung von Schlüsseln aus externen Quellen. Die neuen Sicherheitsfunktionen sollen Google auch helfen, sein Cloud-Geschäft in Europa auszubauen. weiter

Siri hat ab Werk Zugriff auf verschlüsselte E-Mails. Der Assistant speichert verschlüsselte Nachrichten unter Umständen in einer eigenen Datenbank, und zwar im Klartext. Apple kündigt einen Fix an, ohne jedoch einen Zeitplan zu nennen. weiter

Das von Google initiierte OpenTitan Project entwickelt Standards für sichere Siliziumchips. Sie basieren auf einem Design von lowRISC. Unterstützung erhält Google unter anderem von der ETH Zürich und von Western Digital. weiter

Die Vorwürfe richten sich gegen die Beschränkung von DoH auf bestimmte DNS-Anbieter. Comcast unterstellt sogar, Google wolle Nutzer zum Umstieg auf seine DNS-Server bewegen. Ein Sicherheitsexperte lobt Google indes für seine Umsetzung von DoH. weiter

Es beherrscht 148 von 160 bekannten Varianten. Die STOP-Ransomware gilbt als aktivste Vertreterin ihrer Art. Emisoft schätzt die Zahl der Betroffenen auf weltweit rund 460.000. weiter

Verschlüsselte Seiten erhalten nur noch ein graues statt einem grünem Schloss. Dafür hebt Firefox unverschlüsselte Seiten mit einem roten Kreuz hervor. Auch der Indikator für Extended Validation SSL-Zertifikate verschwindet. weiter

Deutsche Forscher finden Schwachstellen im PDF-Standard. Er erlaubt eine teilweise Verschlüsselung von PDF-Dateien. Das wiederum gibt Angreifern die Möglichkeit, die unverschlüsselten Inhalte zu manipulieren, um Zugriff auf die verschlüsselten Teile zu erhalten. weiter

Die frühe Vorabversion zeigt per TLS 1.0 oder 1.1 verschlüsselte Websites nicht mehr an. Die finale Version von Firefox 71 erscheint im Dezember. Ursprünglich wollte Mozilla den Support für TLS 1.0 und 1.1 erst Anfang 2020 beenden. weiter

Das sieht ein neues Abkommen zwischen den USA und Großbritannien vor. Es bezieht sich auf schwere Straftaten wie Terrorismus und Kindesmissbrauch. Facebook lehnt staatlich verordnete Hintertüren zu verschlüsselter Kommunikation weiterhin ab. weiter

Nemty kombiniert verschiedene Verschlüsselungstechniken. Außerdem nutzt die Erpressersoftware ungewöhnlich lange RSA-Schlüssel mit 8192 Bits. Die Entwicklung eines kostenlosen Entschlüsselungstools halten die Forscher für sehr unwahrscheinlich. weiter

Ab Werk aktiv ist die Funktion in Firefox 70. Aktuell ist die Funktion im Nightly Channel erhältlich. Aber auch Firefox 68 lässt sich manuell so konfigurieren, dass die URLs unverschlüsselter Websites mit einem durchgestrichenen Schloss und dem Zusatz "Nicht sicher" versehen werden. weiter

Die Angreifer erreichen mit "vergifteten" Zertifikaten, dass Installationen und Clients unbrauchbar werden. Das weltweite SKS-Keyserver-Netz für die Verschlüsselungssoftware ist gefährdet. Als Alternative ist der Server keys.openpgp.org im Gespräch. weiter

Das Sicherheitselement SPU230 ist in Qalcomms Smartphone-SoC integriert. Die Zertifizierung nach Common Criteria bestätigt das Sicherheitsniveau einer Smartcard. Das erlaubt Anwendungen mit hohen Anforderungen ohne separaten Sicherheitschip. weiter

Das Secure-Shell-Tool verschlüsselt künftig private Schlüssel im Arbeitsspeicher. Das soll einen Datendiebstahl durch Spectre, Meltdown, Rambleed und Rowhammer verhindern. Ältere Versionen legen die privaten Schlüssel im Klartext im RAM ab. weiter

Es unterstützt nun auch die Versionen 5.0 und 5.2 der Erpressersoftware. Deren Hintermänner kündigen indes das Ende ihres "Unternehmens" an. Seit 2018 wollen sie mehr als zwei Milliarden Dollar erpresst haben. weiter

Die Attacke geht überwiegend von chinesischen IP-Adressen aus. Telegram-CEO Pavel Durov weist auf den zeitlichen Zusammenhang mit massenhaften Protesten in Hongkong hin. Regierungskritiker nutzen den Messenger zur Koordination. weiter

Microsoft konnte die von Google Project Zero gemeldete Sicherheitslücke nicht innerhalb von 90 Tagen schließen. Die Schwachstelle findet sich in der Verschlüsselungsbibliothek SymCrypt. Durch sie lässt sich "rasch eine Windows-Flotte außer Betrieb setzen". weiter

Sie lehnen einen Vorschlag des britischen Geheimdiensts GCHQ ab. Der sieht Ermittler als zusätzliche Nutzer verschlüsselter Kommunikation vor. In einem offenen Brief beschreiben Anbieter und Bürgerrechtler mögliche Folgen für die Sicherheit und das Vertrauen von Nutzern. weiter

Das Betriebssystem stuft TKIP- und WEP-Verbindungen nun als unsicher ein. Microsoft stellt zudem die Weiterentwicklung beider Techniken ein. Ein kommendes Funktionsupdate wird sie zudem aus Windows 10 entfernen. weiter

Anbieter sollen künftig auf richterliche Anordnung Kommunikation mitschneiden und unverschlüsselt bereitstellen. Eine Weigerung kann zu einer Sperre des Diensts führen. Technisch lässt sich diese Forderung nur durch eine Schwächung der Verschlüsselung umsetzen. weiter

Es ist ein physischer Zugang zu einem Windows-Computer erforderlich. Der Forscher stellt eine feste Verbindung mit TPM-Modul eines PCs her und liest den Bitlocker-Schlüssel aus. Eine Pre-Boot-Authentifizierung schützt vor dem Angriff. weiter

Er liegt ab sofort als Web-Anwendung für beliebige Browser vor. Firefox Send verschickt Dateien und Ordner mit einer Größe von bis zu 2,5 GByte kostenlos an andere Nutzer. Mozilla bietet zudem verschiedene Sicherheitsfunktionen inklusive einer Ende-zu-Ende-Verschlüsselung. weiter

Die neue Version integriert Google Technik Adiantum. Sie vereinfacht die Verschlüsselung von Speichermedien, unter anderem unter Android. Neue Grafiktreiber bringen indes Support für AMD FreeSync und Nvidia RTX Turing. weiter

Standardmäßig ist die Konfigurationsoption für DNS-over-TLS, die unter Android 9 mit Private DNS bezeichnet wird, nicht zugänglich. Mit einem Trick lässt sich die Option aber aktivieren. weiter