Netzpolitik
Lücken, Lecks und Löcher bei der Verschlüsselung
Internet Explorer und Kryptographieprogramm PGP mit Problemen
Wie das Wall Street Journal
berichtet, ist eine SSL-Sicherheitslücke in Microsofts Internet Explorer bekannt geworden. Der Fehler führt dazu, dass der Internet Explorer nicht in der Lage ist, digitale Site-Zertifikate bestimmter "Unterunternehmer" von großen Anbietern (so genannte "Certificate Authority" wie z.B. CERT, VeriSign) korrekt zu überprüfen. So könnte der Besitzer eines gültigen Zertifikats für eine Website dadurch Echtheitsbestätigungen anderer Sites fälschen und sich für diese Web-Seiten ausgeben.
Mangelhafte Prüfung
Der Fehler betrifft nur den IE 5.0, 5.5 sowie teilweise auch Version 6 und beruht auf einer mangelhaften Prüfung der SSL-Zertifikate durch den Browser. Ein Beispiel, wie diese Lücke ausgenützt werden kann um Login-Informationen zu erschwindeln, finden Sie
hier
, weitere Informationen bietet
BugTraq: IE SSL Vulnerability.
Das Problem solte tatsächlich nicht auf die leichte Schulter genommen werden, für den Chief Technology Officer des Sicherheitsunternehmens
Counterpane
ist der Bug sogar eines der schlimmsten kryptografischen Löcher seit langem.
Pretty Good Privacy?
Auch in der Verschlüsselungssoftware Pretty Good Privacy (PGP) entdeckten Wissenschaftler der
Columbia University
eine Sicherheitslücke. Dazu muss ein verschlüssseltes Mail abgefangen und auf eine nicht näher beschriebene Art und Weise modifiziert werden. Der Empfänger erhält zwar nur wirre Zeichen, würde er diese aber an den Angreifer zurücksenden, könnte dieser auch angeblich ohne den PGP-Key daraus das ursprüngliche Mail rekonstruieren. Nähere Informationen zu dem Verfahren finden Sie
hier
. Obwohl diese Attacke eher unwahrscheinlich erscheint, wurde die freie Version
OpenPGP
bereits dagegen abgesichert. (red)