Der Bericht im englischen Guardian, WhatsApp habe absichtlich eine Hintertür in seine Ende-zu-Ende-Verschlüsselung eingebaut, führte umgehend zu einer Reaktion des Kurznachrichtendienstes. Dieser bestreitet die Verschlüsselung absichtlich geschwächt zu haben.

Interessanterweise stimmt der Entwickler, das Unternehmen OpenWhisper Systems, mit WhatsApp überein. Demnach ist die beschriebene Eigenschaft ein üblicher Aspekt bei Verschlüsselungen dieser Art, die verhindere, dass Nachrichten verloren gehen, wenn Nutzer offline sind oder Geräte wechseln. Wenn ein Nutzer offline ist und dabei das Gerät oder die SIM wechselt, wird ein neuer Kryptokey benötigt, wenn die App neu installiert wird ebenfalls. Dadurch ändert sich die Sicherheitsnummer, die vom Nutzer angezeigt werden kann. WhatsApp hat hier einen massentauglichen Kompromiss zwischen Sicherheit und Nutzerfreundlichkeit gewählt.

Sicherheitsbenachrichtigungen bieten begrenzte Gewissheit

Statt Nachrichten bei Änderungen der Schlüssel nicht zuzustellen oder Warnmeldungen  auszugeben, wie es etwa der auf höchste Sicherheit getrimmte Messenger Signal tut, wird bei WhatsApp einfach ein neuer Schlüssel erzeugt und Nachrichten erneut zugestellt. Dies sei so, damit keine Nachrichten verloren gehen, wenn Nutzer ihr Gerät wechseln. OpenWhisper Systems bestätigt: „The fact that WhatsApp handles key changes is not a „backdoor,“ it is how cryptography works. Any attempt to intercept messages in transmit by the server is detectable by the sender, just like with Signal, PGP, or any other end-to-end encrypted communication system.“
Schutz gegen eine unbemerkte Kompromittierung der Verschlüsselung bietet die Aktivierung der Sicherheitsbenachrichtigungen unter Einstellungen > Account > Sicherheit. Wann immer sich die aus dem Schlüssel generierte Sicherheitsnummer eines Nutzers ändert, wird dies im Chatverlauf angezeigt. Misstrauische Zeitgenossen können dann hinterfragen, wie das verursacht wurde. Der WhatsApp-Server wisse überdies nicht, ob die Sicherheitsbenachrichtigungen aktiviert seien oder nicht, so OpenWhisper Systems. Allein, dass sie nicht standardmäßig aktiv sind, könnte kritisiert werden. In einem Punkt war die Guardian-Berichterstattung indes anscheinend schlicht falsch: Keinesfalls könnten durch Neugenerierung von Schlüsseln frühere Nachrichten einer Konversation entschlüsselt werden, so WhatsApp und die Entwickler des Signal-Protokolls übereinstimmend.

Der Beitrag Signal-Entwickler: WhatsApp nicht absichtlich kompromittiert erschien zuerst auf Macnotes.de.

Traffic mitlesen

Sicherheitsexperten der Johns Hopkins Universität haben eine Möglichkeit vorgestellt, mit der sich iMessages mitlesen lassen, während sie versendet oder empfangen werden (via Patently Apple). Sie hat nichts mit der Schwachstelle zu tun, die bereits im Umlauf ist. Sie setzte voraus, dass der Sender oder Empfänger noch online ist.

Die neue Methode funktioniert, wenn man an das TLS-Zertifikat kommt oder Zugriff auf die Apple-Server erhält. Das sei zwar ziemlich kompliziert und eine Gefahr durch „Script Kiddies“ gehe nicht aus, da es sehr unrealistisch ist, dass einfache Tools geschrieben würden, die das umgehen. Jedoch sei es gut vorstellbar, dass der Aufwand im Auftrag von Regierungsbehörden getrieben werden könnte.

Die neue Methode ist auch für ältere iMessages einsetzbar. Denn Apple tauscht die Keys nicht aus, die zum Verschlüsseln zum Einsatz kommen. Damit wäre es denkbar, dass sich Strafverfolger Zugang zu Apple-Servern verschaffen und dann ältere Nachrichten ebenfalls bekommen. Weiterhin sehen die Wissenschaftler noch mehr Apple-Funktionen in Gefahr. Beispielsweise nutze Handoff dieselbe Verschlüsselung, um den Datenaustausch zwischen verschiedenen Apple-Geräten zu realisieren. Jedoch gebe es neben Apple auch noch andere, die den gleichen Fehler begehen. OpenPGP, das von verschiedenen Instant Messengern verwendet wird, sei ebenfalls anfällig.

Apple wurde schon des Öfteren über mögliche Probleme bei der Verschlüsselung aufgeklärt und hat auch schön öfter Verbesserungen vorgenommen, beispielsweise mit iOS 9.3 und OS X 10.11.4. Dennoch raten die Wissenschaftler Apple dazu, sich eine neue Technik auszudenken, um die Wirksamkeit der Verschlüsselung zu verbessern.

Der Beitrag Crypto-Experten halten iMessage-Verschlüsselung für hinfällig erschien zuerst auf Macnotes.de.

Neue Verschlüsselungstechniken

Es gab, im Rahmen des San-Bernardino-Falls, bei dem das FBI (erfolglos) Apple darum bat, bei der Entschlüsselung eines iPhones zu helfen, unter anderem Berichte darüber, dass Apple künftig Verschlüsselungen einsetzen will, die das Unternehmen selbst auch nicht knacken kann. Das betrifft derzeit vor allem auf iCloud gespeicherte Daten und ist unter anderem wichtig, wenn man sein Passwort vergessen hat.

Nun kommt ein alter Bekannter zurück zu Apple, nämlich Jon Callas. Er hat im Silicon Valley bereits einen gewissen Ruf durch die Firmen, die er gegründet hat, Silent Circle, Blackphone und die PGP Corporation. Außerdem war er bereits für Apple tätig. In den 90er Jahren und zwischen 2009 und 2011 hat er sich um die Sicherheit von Apple-Betriebssystemen gekümmert.

Gegenüber Reuters gab ein Apple-Sprecher zu verstehen, dass Callas nun wieder für Apple tätig ist. Allerdings wolle man sich nicht zu den konkreten Aufgaben äußern, die Callas wahrnimmt. In Anbetracht der öffentlichen Diskussion im Rahmen des FBI-Falls, dürfte es jedoch nicht allzu schwer sein, eins uns eins zusammenzuzählen…

Der Beitrag Jon Callas kommt zurück zu Apple erschien zuerst auf Macnotes.de.

Das Komplettpaket für die Verschlüsselung enthält GPG Keychain Access, GPGServices, MacPGP1/MacPGP2 sowie die GPGToolsPreferences sowie die Plugins GPGMail für Apple Mail (Lion) und Enigmail für Thunderbird 8. Systemvoraussetzung für die aktuellsten GPGTools ist OS X 10.5, der Download der GPGTools ist hier (.DMG, ca. 30MB, Direktdownload) zu finden. Hilfestellungen, z. B. für die Installation gibt es hier, bekannte Fehler sind in dieser Datenbank gelistet.

Der Beitrag GPGTools für Mac: Verschlüsselungstool dank Update OS X Lion- und Mail-tauglich erschien zuerst auf Macnotes.de.

Genaue Details zu konkreten Aufgabenstellungen gibt es nicht. Apple hat in den letzten Jahren stetig seine Bemühungen im Bereich der Gerätesicherheit ausgebaut: 2009 wurde Ivan Krstic, der ehemalige Leiter des OLPC-Projekts, für die Arbeit im Core Security-Bereich von Mac OS X angeheuert.

Im letzten Jahr wurde Window Snyder, die Leiterin der Mozilla-Sicherheitsabteilung und Sicherheitszuständiger für das Windows XP Servicepack 2, sowie Jon Callas, ehemaliger Chief Technical Officer bei PGP, eingestellt.

David Rice war ursprünglich bei der National Security Agency als Analyst im Bereich Global Network Vulnerability zuständig, außerdem als Kryptologe bei der Navy tätig. Aktuell ist er laut LinkedIn Executive Director bei der Monterey Group, sowie Berater bei der US Cyber Consequences Unit, bei der es um die Erforschung von Potentialen für Cyberattacken und deren Folgen geht.

Der Beitrag Cybersecurity-Experte David Rice ab März bei Apple? erschien zuerst auf Macnotes.de.

Apples Mac OS X 10.6.5 und Symantecs PGP passen derzeit nicht zusammen. Grund hierfür ist ein neuer EFI-Booter, der den bereits vorhandenen überschreibt. Die Folge: Auf die mit PGP Whole Disk Encryption (WDE) verschlüsselten Partitionen bzw. Festplatten kann nicht mehr zugegriffen werden. Unklar ist, ob der neue EFI-Booter bereits vor dem offiziellen Release von 10.6.5 integriert war oder ob er erst in der finalen Version mitinstalliert wurde: Sollte Fall 1 stimmen, liegt die Schuld bei Symantec, im Fall 2 ist Apple die Schuld zuzuschieben.

Glücklicherweise gibt es bereits eine Lösung für alle PGP WDE-Nutzer: Wer Mac OS X 10.6.5 bereits installiert hat und nicht mehr auf seinen Rechner zugreifen kann, der kann mit Hilfe einer PGP-Recovery-CD booten, sich bei OS X einloggen und das Mac OS X sich selbst reparieren lassen. Alternativ kann man via Target Disk-Modus von einem anderen Mac mit PGP-Installation auf die Daten zugreifen.

Wer Mac OS X 10.6.5 bisher nicht installiert ist, für den ist das Update simpler: Einfach vor der Installation das System entschlüsseln. Nach dem Update kann man dieses dann direkt wieder mit PGP verschlüsseln.

[via TheRegister]

Der Beitrag Mac OS X 10.6.5: PGP Whole Disk Encryption inkompatibel mit EFI-Bootloader erschien zuerst auf Macnotes.de.

(Update) Die aktualisierte Version 1.3.1 steht unter gpgmail.org zum Download und funktioniert out of the Box unter Mac OS X 10.6.5 (/Update). Im einfachsten Fall installiert man die PGP-Prefpane via GPGMail_Preferences und fixt die Plugin-Installation. Diese Methode hat hier in der Redaktion nicht funktioniert, andere User haben möglicherweise mehr Glück.

Die GPGMail_Preferences können hier geladen werden (Version 0.3), nach Entpacken und Doppelklick auf das ausgepackte PreferencePane wird bei den Systemeinstellungen ein neues Modul hinzugefügt, mit dem das Plugin nach Update wieder reaktiviert (oder bei Nichtgefallen auch komplett deinstalliert) werden kann.

Der Fix konnte hier weder bei laufendem noch bei inaktivem Mail eingespielt werden – auch nach dem Klick auf den „Fix“-Button verweigerte GPGMail seinen Dienst.

In diesem Fall half uns das händische Einfügen der Zeilen
<string>857A142A-AB81-4D99-BECC-D1B55A86D94E</string>
<string>BDD81F4D-6881-4A8D-94A7-E67410089EEB</string>
im Info.plist-File im Ordner
(user-home)/Library/Mail/Bundles/GPGMail.mailbundle/Contents
weiter – mit der Einschränkung, dass der /Library/Mail/Bundles/-Ordner leer war:

Stattdessen bedienten wir uns im Ordner /Library/Mail/Bundles (deaktiviert)/, wo wir das File fanden, bearbeiteten und mitsamt dem gesamten Ordnerinhalt anschließend nach /Bundles/ kopierten.

Anschließend war GPGMail nach Neustart von Mail auch unter dem heute erschienenen Update auf Mac OS 10.6.5 und Mail 4.4 wieder lauffähig.

Eine aktualisierte Version von GPGMail soll demnächst erscheinen. Ein How-to zur Installation und Verwendung von GPGMail für Mac ist auf Macnotes verfügbar.

Der Beitrag GPGMail nach Update auf Mac OS X 10.6.5 und Mail 4.4 erschien zuerst auf Macnotes.de.

Auf Blackberry, Windows Mobile und Symbian wird die Symantec-Sicherheitslösung bereits angeboten, iOS-Support soll nun kommen. Von Haus aus kann das iPhone VPN. Symantec hat aus seiner VeriSign Identity Protection Mobile, PGP Mobile und der Endpoint Protection Mobile ein Paket geschnürt, welches Mobilfunkprovidern und Unternehmen angeboten werden soll. Bislang wird fürs iPhone von Symantec nur eine Alert-App gratis angeboten.

Insbesondere PGP dürfte auch für Privatanwender interessant sein. Je mehr sich iPhone und iPad als vollwertiges mobiles Kommunikationsgerät etablieren, desto notwendiger wird die Möglichkeit, auch auf den Apple-Gadgets Krypto-, Security- und Anonymisierungstools verwenden zu können wie auf dem Desktop. Bislang ist für Jailbreaker der Anon-Router TOR auf das iPhone migriert worden.

Der Beitrag Symantec will Security-Suites auf iOS bringen erschien zuerst auf Macnotes.de.

Von Sente.ch zog GPGMail auf GPGMail.net um, wo das GPG-Plugin für Mail nun weiter gepflegt wird. Die zwischenzeitliche Überlastung des Entwicklers verhinderte das notwendige Update, mit dem das Krypto-Plugin für Mail unter Snow Leopard läuft. Nach den notwendigen Updates braucht es nur noch die Installation von MacGPG und das anschließende Einspielen der aktuellen GPGMail-Version, um unter Snow Leopard und Mail wieder GPG/PGP-verschlüsselte E-Mails zu verschicken und empfangen.

Installation von MacGPG und GPGMail

Die Reihenfolge spielt eine Rolle: zuerst muss MacGPG 2 installiert werden. Nach dem Download entpackt man das Archiv und startet das Installationsfile.

Anschließend kann man sich an die Installation des eigentlichen Mail-Plugins machen. Man lädt die aktuelle Version für Mac OS X und startet nach dem Entpacken den Installer. Mail muss neu gestartet werden, anschließend sind wir jedoch erst am Anfang der eigentlichen Einrichtung des Verschlüsselungs-Plugins. Denn ein schneller Versuch, Mails zu ver- oder entschlüsseln, wird schnell mit einer Fehlermeldung beendet. Kein Wunder, denn das Plugin verfügt noch nicht über die notwendigen öffentlichen bzw. privaten Keyfiles, um verschlüsselte Mails zu lesen oder zu erzeugen.

Wer bereits seine öffentlichen und privaten Schlüssel auf der Platte liegen hat, kann direkt zum Import übergehen – für alle anderen nun die Anleitung, wie man via Terminal ein GPG-Schlüsselpaar erzeugt und den öffentlichen Schlüssel der Allgemeinheit zur Verfügung stellt.

Öffentlichen und geheimen GPG/PGP-Schlüssel erzeugen

Wir starten die Konsole (Programme-Hilfsprogramme) und rufen mit dem Kommando gpg --gen-key die Key-Generierung auf. Wir wählen RSA/RSA als Kryptoverfahren. Die 4096 bit Schlüssellänge ist etwas paranoid, aber mit heutiger Rechenleistung keine Systembremse mehr. Unbegrenzte Schlüssellebensdauer mag Geschmacksache sein, im Beispiel wurde sie gewählt.

Anschließend wird man nach seinem Vor- und Nachnamen gefragt. Man kann natürlich ein Pseudonym angeben, das eben an den Key und die zugehörige Mailadresse gekoppelt wird. Die Mailadresse wird angegeben, mit der man verschlüsselt kommunizieren will, mit „f“ ist das Prozedere „Fertig“ und benötigt nur noch die Schlüsselphrase, mit der ein Zugriff auf das Keyfile authentifiziert wird. Es empfiehlt sich, ein wirklich sicheres, alphanumerisches Passwort zu wählen.

Nun wird eine größere Menge von Zufallswerten erzeugt/gesammelt – es dauerte in unserem Beispiel ungefähr drei Minuten, in denen normal am Rechner weitergearbeitet wurde. Anschließend war das Schlüsselpaar erstellt. Die Schlüssel-ID sollte man sich kopieren bzw. notieren: der mit 5AC8D5EC automatisch benannte Key kann mit Hilfe dieser ID via Keyserver den zukünftigen Korrespondenten zur Verfügung gestellt werden. Um den eigenen Public Key auf einem Keyserver zu hinterlegen, gibt man in der Konsole den folgenden Befehl ein: gpg --send-key --keyserver wwwkeys.de.pgp.net (KEY-ID).

Das Ergebnis sollte folgendermaßen aussehen:

noname:~ richie$ gpg --send-key --keyserver wwwkeys.de.pgp.net 5AC8D5EC
gpg: sende Schlüssel 5AC8D5EC auf den hkp-Server wwwkeys.de.pgp.net
noname:~ richie$

Import bestehender PGP/GPG-Keys

Gängige GPG-Frontends legen die Dateien pubring.gpg und secring.gpg an, in denen die öffentlichen bzw. geheimen Schlüssel gespeichert sind. Diese können mit dem Konsolenbefehl gpg --import (filename) einfach importiert werden. Zu beachten ist zweierlei: entweder muss für/statt (filename) der korrekte Pfad zur Datei angegeben werden, oder man befindet sich bereits im Verzeichnis, in dem sich das zu importierende Keyfile befindet. Im Beispiel wurden Pubring und Secring auf den Desktop kopiert und von dort importiert.

Weiter ist beim Import des Secring (der die eigenen, geheimen Schlüssel enthält) naturgemäß die Kenntnis der jeweils zum geheimen Schlüssel gehörenden Passphrasen notwendig. Diese werden beim Import angefragt. Weiter wandelt der Importvorgang gegebenenfalls Dateiformate um – inwieweit das zu Problemen mit Nutzern der Public Keys führen kann, konnten wir bislang nicht nachvollziehen.

Auf diese Weise kann man sowohl komplette Keyring-Dateien importieren als auch einzelne öffentliche Schlüssel. Letztere können unter beliebigen Dateinamen als ASCII-Datei gespeichert und anschließend importiert werden – wenn alle Stricke reißen, kann so auch ein GPG-Key im Browser betrachtet, per Kopieren und Einfügen im Editor der Wahl gespeichert und anschließend in den eigenen Pubring verfrachtet werden.

E-Mails verschlüsselt versenden und empfangen

Nach der Installation und der Auswahl eines Standardschlüssels steht bei jeder E-Mail, die man mit Mail verfasst, die Option zur Verschlüsselung bzw. Signierung zur Verfügung.

Nach Eingabe der Keyphrase (des Senders) wird die Mail verschlüsselt und verschickt – vorausgesetzt, für die Empfängeradresse ist ein Public Key bereits gespeichert oder kann per Keyserver geladen werden. Verschlüsselt man die Mail nicht wie per Default eingestellt auch an sich selbst, entfällt die Eingabe der Keyphrase – nur ist die Mail anschließend nicht mehr für den Sender, sondern nur noch für den Empfänger entschlüsselbar.

Auf Empfängerseite ist wiederum die Eingabe der Keyphrase (des Empfängers) notwendig, damit die Mail entschlüsselt werden kann.

Der Beitrag GPGMail-Anleitung: PGP/GPG-Verschlüsselung mit OS X Snow Leopard und Mail erschien zuerst auf Macnotes.de.

In dem Videointerview präsentiert Armagan Yavuz Features aus dem neuen Mehrspielermodus des Action-Rollenspiels Mount & Blade: Warband. Es handelt sich um einen Teil der Mount-and-Blade-Reihe. Bis zu 64 Spieler werden gleichzeitig an Kämpfen teilnehmen können.

Armagan Yavuz, Chefentwickler der Firma Taleworlds Entertainment, hat dies Videointerview währen der Paradox Interactive Convention aufnehmen lassen.

Der Mehrspielermodus ist laut Yavuz das „aufregendste“ Feature in dem Teil der Reihe: „This is one of the most exciting features for us and also for the fans as well. If you like the idea of fighting on a horse and fighting with tough guys with swords… you are going to enjoy Mount & Blade: Warband.“

Wer Kämpfe auf dem Pferd und mit dem Schwert mag, der wird den neuen Teil der Serie mögen, so Yavuz. Das Videointerview ist komplett in englischer Sprache gehalten, trotzdem wollen wir es euch nicht vorenthalten.

Der Beitrag Armagan Yavuz: Interview mit Entwickler von Mount and Blade: Warband erschien zuerst auf Macnotes.de.