Damit erhöht das Berliner Unternehmen die Sicherheit in der E-Mail-Kommunikation. Unrechtmäßig erzeugte oder gestohlene Zertifikate stellen mit der DANE-Technik keine Gefahr mehr dar. weiter

Das Programm läuft bis Ende Juni. Es steht jedermann offen. Die für Firefox 31 geplante neue Bibliothek pkix soll künftig auch in anderen Mozilla-Programmen zum Einsatz kommen. Sie ist robuster als ihr Vorgänger, ihr Code aber auch deutlich kürzer. weiter

ChaCha20 ist für symmetrische Verschlüsselung gedacht, Poly1305 für Authentifizierung. Beide hat Sicherheitsforscher Daniel Bernstein aus Chicago entwickelt. Eine Standardisierung ist in Arbeit. Sie profitieren von Hardware-Unterstützung auf ARM-Chips. weiter

Am 10. April waren es noch 220 Millionen, am 17. April 150 Millionen. Die Studie von FireEye berücksichtigt allerdings nur Apps aus Googles Play Store. Die meisten Heartbleed-Scanner für Android liefern offenbar keine zuverlässigen Ergebnisse. weiter

Die US-Normenbehörde schreibt nun: "NIST empfiehlt aktuellen Nutzern von Dual_EC_DRBG, sobald wie möglich zu einem der verbleibenden empfohlenen Algorithmen zu wechseln." Bis 23. Mai sind noch Kommentare und Widersprüche möglich. weiter

Die meisten Betreiber haben inzwischen reagiert und ihre Webserver abgesichert - aber nicht alle. Sicherheitsforscher berichten von einem erfolgreichen Angriff auf ein VPN, bei dem Heartbleed benutzt wurde. Das BSI sieht weiteren Handlungsbedarf, da Angriffe nun zunehmend auf andere Systeme erfolgen, die OpenSSL einsetzen. weiter

Google zufolge ist aber nur Android 4.1.1 betroffen, da in höheren Versionen der fragliche Code nicht aktiv ist. Insgesamt sind weniger als 5 Prozent der von Lookout getesteten Android-Smartphones betroffen. Die Hälfte davon kommt von HTC. weiter

Matt Cutts soll dies vorgeschlagen haben. Damit würde der Nachteil langsamerer Server-Reaktionszeiten aufgehoben und langfristig die Privatsphäre gestärkt. Es handelt sich allerdings nur um erste interne Diskussionen, weiter

CloudFlare hatte an der praktischen Durchführbarkeit eines solchen Angriffs gezweifelt und einen Wettbewerb ausgeschrieben. Übers Wochenende gelang es insgesamt vier Sicherheitsforschern, den Private Key des Unternehmens zu stehlen. weiter

Obamas Geheimdienstreform enthält laut New York Times ein Schlupfloch. Die NSA darf demnach Schwachstellen für sich behalten, wenn sie für die Überwachung oder die Strafverfolgung benötigt werden. Alle anderen von ihr gefundenen Anfälligkeiten muss sie jedoch offenlegen. weiter

Der US-Auslandsgeheimdienst ist laut Bloomberg seit mindestens zwei Jahren über den schwerwiegenden Fehler informiert, der Zugriff auf Server-Inhalte gibt. Er soll ihn regelmäßig für seine Spähprogramme genutzt haben. Das Dementi der National Security Agency stößt rundum auf Skepsis. weiter

Laut Unternehmensangaben hat zu keiner Zeit Gefahr für die von Nutzern hinterlegten Passwörtern bestanden. Diese verschlüsselt LastPass vor dem Transport über OpenSSL. weiter

Fixes liegen inzwischen für CentOS, Debian, Fedora, Red Hat, openSUSE, and Ubuntu vor. SUSE Linux Enterprise Server war von dem Fehler nicht betroffen, der den Zugriff auf den flüchtigen Speicher eines Webservers ermöglicht. OpenSSL hatte ihn am 7. April mit Version 1.01g korrigiert. weiter

Angreifer können ohne Berechtigung das Memory auslesen und ihm Usernamen und Passwörter oder gar Private Keys entnehmen. Ein Fix ist bereits erschienen. Ein Problem bleibt auch nach dem Einspielen: Eigentlich müsste jedes potenziell kompromittierte Passwort und jedes Zertifikat gewechselt werden. weiter

Der neue Datensicherheitsbeauftragte Alex Stamos hat große Ziele: "Die Überwachung von Millionen Menschen gleichzeitig zu verhindern liegt absolut innerhalb unserer Möglichkeiten." Bisher sind aber nur Homepage und Mail nach Stand der Technik abgesichert. weiter

RSA BSAFE Share für C/C++ macht den ohnehin angreifbaren Algorithmus Dual EC noch einmal um Faktor 65.000 schneller entschlüsselbar. Den universitären Forschern zufolge genügt dafür ein alter Laptop. Sie raten vom Einsatz von Dual EC dringend ab. weiter

Zwar ist HTTPS schon seit 2010 die Standardeinstellung, bisher konnten Nutzer aber auf eine HTTP-Verbindung umstellen. Diese Option hat Google jetzt entfernt. Die Verschlüsselung soll keine Auswirkungen auf die Performance haben und die Kommunikation abhörsicher machen. weiter

Sie soll Sprachverschlüsselung plattformunabhängig für große Firmen, Mittelständler und Privatpersonen verfügbar machen. Entwickelt wurde die App zusammen mit Secusmart, das bereits das "Kanzler-Phone" abgesichert hat. Eine Alternative zeigt in Hannover Digitrade mit "Chiffry". weiter

Sämtliche Kommunikation wird mit 128 Bit Schlüsselstärke abgesichert. Telefonie und SMS sind kostenlos, für Datenverkehr zahlen Amerikaner ab dem dritten Monat 10 Dollar. Das Smartphone selbst mit Hardware von 2011 kostet 189 Dollar weiter

Die betroffenen WeMo-Produkte sind auch hierzulande erhältlich. Ein Angreifer könnte aus der Ferne an die Steckdosen angeschlossene Geräte kontrollieren. [Update] Der Hersteller hat die Sicherheitsprobleme mit aktualisierten Firmwares inzwischen behoben. weiter

Sie fordern die Regierung auf, Versuchungen zu widerstehen: "Die Entscheidung besteht nicht darin, ob die NSA spioniert oder nicht. Die Entscheidung ist die zwischen einer im Kern anfälligen Kommunikationsinfrastruktur und einer, die im Wesentlichen sicher zu benutzen ist." weiter

Die Verstärkung der Sicherheitsmaßnahmen nach dem NSA-Skandal bereitet ihm zufolge China heute schon große Probleme. Google werde "den Menschen ihre Stimme zurückgeben". Von China gehen laut Schmidt 80 bis 85 Prozent aller Industriespionage aus. weiter

Sie verwendet den PGP-Standard mit 2048 respektive 4096 Bit. Die Bedienung erfolgt wie bei einem herkömmlichen Webmail-Dienst über den Browser. Außer einer Basisversion für Privatanwender und Kleinunternehmen wird es zum Start im Februar auch eine Enterprise-Variante geben. weiter

Vor einem Monat hatte es Entwickler erstmals informiert. Nach einem Blackout Day gab es gestern noch eine letzte Warnung. Ab heute werden Klartext-Zugriffe abgewiesen. Für Endanwender ist schon seit 2011 der Einsatz von HTTPS verpflichtend. weiter

HTTPS ist ihm zufolge nicht bei allen Yahoo-Servern gleich implementiert. Yahoo Mail setzt demnach noch auf das als schwach geltende Verschlüsselungsverfahren RC4. Die sicherere Alternative AES nutzt Yahoo für seinen Anmeldedienst - allerdings ohne Schutz vor bekannten Angriffen. weiter

Es führt die Verschlüsselung einen Tag früher ein als angekündigt. Die verwendeten Zertifikate sichert Yahoo mit 2048-Bit-Schlüsseln ab. Der Internetkonzern reagiert mit der erhöhten Sicherheit für seine Nutzer auf die Enthüllungen über die Spähprogramme der NSA. weiter

Für die Entwicklung eines Quantencomputers stehen bis zu 80 Millionen Dollar zur Verfügung. Die Technik soll auch helfen, die Kommunikation der US-Regierung zu schützen. Die NSA befürchtet, die EU oder die Schweiz könnten vor ihr über einen Quantencomputer verfügen. weiter

Die heutige EMC-Tochter widerspricht der Meldung von Reuters allerdings "kategorisch". Sie hat nie ein Geheimnis aus ihrer Zusammenarbeit mit dem Geheimdienst gemacht, aber keine Lücken eingebaut. Insbesondere geht es um eine im September durch Snowden-Dokumente bekannt gewordene Hintertür. weiter