Timing-Attacken auf AES
Jürgen Schmidt - 18.07.2005
Dan Bernstein beschreibt, wie es ihm gelungen ist, durch genaue Analyse der Verzögerungen beim Verschlüsseln bekannter Texte (Know Plaintext Attack), den geheimen AES-Schlüssel eines Servers im Netz zu ermitteln. Er führt diesen klassischen Sidechannel-Angriff auf einen Fehler im Design des AES-Algorithmus zurück, der aus Effizienzgründen bei der Verschlüsselung auf Tabellen zugreifen muss -- und über die Dauer dieser Zugriffe wertvolle Informationen über den Schlüssel preis gibt. Ob sich diese Angriffe in einem realen Szenario umsetzen lassen, ist jedoch umstritten.
Siehe dazu auch:
Cache-timing attacks on AES. von Daniel J. Bernstein
Diskussions-Thread in scy.crypt
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
