Hallo zusammen,
das BSI hat auf [0] eine Ausschreibungssuche für das Projekt 351 formuliert:
"Sicherheitsanalyse VeraCrypt"
Da der eine oder andere hier bestimmt VeraCrypt als Alternative zu dem
nicht weiter entwickeltem TrueCrypt verwendet dürfte das eine gute
Nachricht sein. Daher hier erst einmal FYI.
Wer noch mehr Details hat bzw. andere Alternative besser findet darf dies
gerne hier in der Liste verewigen/fallen lassen ;)
Sobald hier erste Ergebnisse publiziert werden denke ich hoffentlich daran, diese
hier als Antwort weiter zu geben - ansonsten wer hier schneller ist ...
VG
Bernd
[0]
http://www.evergabe-online.de/tenderdetails.html?id=230461
--
Bernd Kohler
IT Center
Abteilung: Netze
RWTH Aachen University
Wendlingweg 10
52074 Aachen
Tel: +49 241 80-29793
Fax: +49 241 80-22666
kohler(a)itc.rwth-aachen.de
https://www.itc.rwth-aachen.de
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"Johnny-You-Are-Fired"
--> "... Digital signatures are supposed to guarantee
authenticity and integrity of messages. In
this work we show practical forgery attacks
against various implementations of OpenPGP
and S/MIME email signature verification in
five attack classes ..."
Das Paper gibt es via [1]
VG
Bernd
[0]
https://github.com/RUB-NDS/Johnny-You-Are-Fired
[1]
https://github.com/RUB-NDS/Johnny-You-Are-Fired/blob/master/paper/johnny-fi…
--
Bernd Kohler
IT Center
Abteilung: Netze
RWTH Aachen University
Wendlingweg 10
52074 Aachen
Tel: +49 241 80-29793
Fax: +49 241 80-22666
kohler(a)itc.rwth-aachen.de
https://www.itc.rwth-aachen.de
Liebe Kolleginnen und Kollegen,
Anfang 2020 werden die führenden Browserhersteller die Unterstützung von
TLS 1.0 und TLS 1.1 deaktivieren. Aus diesem Anlass hat der Arbeitskreis
Informationssicherheit der deutschen Forschungseinrichtungen (AKIF) eine
Empfehlung erstellt.
Kern der Empfehlung ist es, nur noch Verschlüsselungen mit TLS 1.2 auf
den Servern der RWTH zuzulassen und TLS 1.0 und TLS 1.1 zu deaktivieren.
Der Empfehlung möchten wir uns anschliessen. Sie ist dieser E-Mail
angehängt.
Mit freundlichen Grüßen,
Guido Bunsen, Jens Hektor, Bernd Kohler
PS. Die Webseite https://cipherli.st/ enthält Hinweise zur Umsetzung der
Empfehlungen
--
Dipl.-Inform. Guido Bunsen
IT-Manager Security
IT Center
RWTH Aachen University
Seffenter Weg 23
52074 Aachen
Tel: +49 241 80-24882
Fax: +49 241 80-22666
bunsen(a)itc.rwth-aachen.de
www.itc.rwth-aachen.de
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"Security baseline (DRAFT) for Windows 10 v1903 and Windows Server v1903"
--> u.a. "Dropping the password-expiration policies that require periodic password changes."
Also in Zukunft kein regelm. Passwortwechsel und Asurede für ein langes
Passwort mit vielen Sonderzeichen (diese gerne nicht nur zum /am Ende) ;)
Und wenn wir schon dabei sind, mittels "k-Anonymity" die HIBP-Datenbank
durchsuchen, kann auch nicht schaden - siehe dazu bspw. [1] und [1].
VG
Bernd
[0]
https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-d…
[1]
https://jacksonvd.com/checking-for-breached-passwords-ad-using-k-anonymity/
[2]
https://heise.de/-4284756
--
Bernd Kohler
IT Center
Abteilung: Netze
RWTH Aachen University
Wendlingweg 10
52074 Aachen
Tel: +49 241 80-29793
Fax: +49 241 80-22666
kohler(a)itc.rwth-aachen.de
https://www.itc.rwth-aachen.de
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"App leakt zwei Millionen WLAN-Passwörter"
--> es geht um die App "Wifi-Finder"
--> eigentlich sollten sich Nutzer der App nur unkompliziert
mit öffentlichen Hotspots verbinden können, doch die
Datenbank enthält auch die Zugangsdaten zu vielen privaten
Wi-Fis.
VG
Bernd
[0]
https://www.golem.de/news/datenleck-app-leakt-zwei-millionen-wlan-passwoert…
--
Bernd Kohler
IT Center
Abteilung: Netze
RWTH Aachen University
Wendlingweg 10
52074 Aachen
Tel: +49 241 80-29793
Fax: +49 241 80-22666
kohler(a)itc.rwth-aachen.de
https://www.itc.rwth-aachen.de
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"Selfie: reflections on TLS 1.3 with PSK"
--> "a new reflection attack that we call ``Selfie'"
VG
Bernd
[0]
https://eprint.iacr.org/2019/347
--
Bernd Kohler
IT Center
Abteilung: Netze
RWTH Aachen University
Wendlingweg 10
52074 Aachen
Tel: +49 241 80-29793
Fax: +49 241 80-22666
kohler(a)itc.rwth-aachen.de
https://www.itc.rwth-aachen.de
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"Google Chrome engineers want to block some HTTP file downloads"
- "block some file downloads carried out via HTTP"
- "This includes EXE (Windows application binary), DMG
(Mac application binary), CRX (Chrome extension package),
and all the major archive formats, like ZIP, GZIP, BZIP,
TAR, RAR, and 7Z."
VG
Bernd
[0]
https://www.zdnet.com/article/google-chrome-engineers-want-to-block-some-ht…
--
Bernd Kohler
IT Center
Abteilung: Netze
RWTH Aachen University
Wendlingweg 10
52074 Aachen
Tel: +49 241 80-29793
Fax: +49 241 80-22666
kohler(a)itc.rwth-aachen.de
https://www.itc.rwth-aachen.de