Top Thema
Da waren‘s nur noch sieben: Nächster quantensicherer Algorithmus gebrochen
Ein erfolgreicher Angriff auf den Verschlüsselungsalgorithmus SIKE (Supersingular Isogeny Key Encapsulation) hat die Zahl der Verfahren, in die das US-amerikanische Normungsinstitut NIST noch Hoffnung in Bezug auf Sicherheit vor dem Quantencomputer setzt, auf sieben reduziert. Damit sind nun bereits über 90 % der Kandidaten ausgeschieden: Motiviert von den offenen Wettbewerben zur Wahl von AES (1997-2000) und SHA-3 (2007-2012) hatte es 2017 ganze 69 Einreichungen für Post Quantum Cryptography (PQC) gegeben, die in der Folge immer weiter zusammenschrumpften.
SIKE fiel dabei ganz sang- und klanglos einem älteren Modell eines Nicht-Quanten-Rechners zum Opfer – und einigen mathematischen Tricks aus dem jungen Forschungsfeld der Isogenie-Graphen. Dies macht noch einmal das Risiko deutlich, welches in der Verwendung neuer Mathematik für die Kryptographie liegt. Andererseits besteht inzwischen starker Handlungsdruck, quantensichere Verfahren zu standardisieren. Denn ein ausreichend großer Quantencomputer wird wahrscheinlich in den nächsten fünf bis zwanzig Jahren alles an Kryptographie knacken, was wir im Großmaßstab im Einsatz haben, vor allem sämtliche asymmetrische (und damit auch hybride) Verschlüsselung und alle digitalen Signaturen.
Mit dem Scheitern der Isogenie als Quelle für mögliche PQC sind wir nun vorerst auf Gedeih und Verderb den verbleibenden drei Forschungsrichtungen ausgeliefert: Gitter, fehlerkorrigierende Codes und Hashsignaturen. Gerade weil jedes der betrachteten Verfahren seine spezifischen Vor- und (zum Teil gravierenden) Nachteile mitbringt, können wir nur hoffen, dass von den noch im Rennen befindlichen Kandidaten möglichst viele auch die Angriffe der nächsten Jahre heil überstehen werden.
https://t3n.de/news/algorithmus-quantencomputern-1489626
Neuigkeiten
Aller guten Dinge sind vier: Vierte Runde im NIST-Wettbewerb „Post Quantum Cryptography“ angelaufen
Am 5. Juli 2022 ist beim US-amerikanischen NIST die dritte Runde des öffentlichen Wettbewerbs zur Auswahl von Verfahren für quantencomputersichere kryptographische Verfahren, Post Quantum Cryptography (PQC), zu Ende gegangen.
Nachdem bereits in den vorangegangen Runden kräftig aussortiert worden war, wurde nun ein einziges Schema (CRYSTALS-Kyber) für Verschlüsselung & Schlüsselaustausch ausgewählt. Für digitale Signaturen schafften es immerhin drei Verfahren – CRYSTALS-Dilithium, FALCON und SPHINCS+ – in die Standardisierung, die nun etwa zwei Jahre in Anspruch nehmen soll. Dazu sind nach dem Ausscheiden von SIKE (siehe oben) noch drei weitere Verfahren auf dem Prüfstand.
Da dies jedoch auch im besten Fall zu wenige Verfahren sind, um sicherzustellen, dass mindestens eines pro Anwendungsfall auch die nächsten Jahre der Forschung und Kryptoanalyse überleben wird, gibt es nun zusätzlich einen neuen Aufruf zu einer vierten Runde, in der weitere Verfahren eingebracht und diskutiert werden sollen.
Woran leakts? ÆPIC Leak – Mikroarchitektur-Schwachstelle bedroht sichere Enklaven
Die durch Forschende u. a. der Universität Sapienza Rom und der TU Graz entdeckte Schwachstelle „ÆPIC Leak“ (CVE-2022-21233) erlaubt erstmals, über die Mikroarchitektur geheime Daten aus Intel-CPUs zu stehlen, ohne dabei einen verrauschten Seitenkanal wie Meltdown oder Spectre zu benötigen. ÆPIC („Architecturally Leaking Uninitialized Data from the Microarchitecture“) funktioniert auf allen aktuellen Sunny-Cove-basierten Intel-CPUs. ÆPIC Leak kommt über einen sogenannten „uninitialized read“ – also ein Lesen von Speicherbereichen, in denen ein anderer Prozess Datenreste hinterlassen hat – in der CPU an Informationen, die zwischen dem L2- und dem Last-Level-Cache übertragen werden. User mit privilegiertem Zugriff können diese so extrahieren, etwa auch aus SGX-Enklaven, die eigentlich die Daten genau vor diesen Root-Usern schützen sollen.
Normale User können ÆPIC Leak nicht ausnutzen, da sie keinen Zugriff auf die physische APIC MMIO haben; auch VMs wird dieser Zugriff durch die Hypervisoren verwehrt. So wird die Lücke insgesamt nur als mittel eingestuft.
Insbesondere Systeme mit CPUs, die sich auf sichere Enklaven verlassen, um Daten vor privilegierten Angreifern zu schützen, sollten dringend gepatcht werden.
Gute IDEAS: Security by Design Decisions in der Automatisierung
Im Rahmen des Forschungsprojekts IDEAS (Integrated Data Models for the Engineering of Automation Security) werden Ansätze entwickelt, wie sich Security (Engineering) systematisch in den Herstellungsprozess (z. B. in der Industrieautomatisierung, aber auch in der IT) integrieren lässt.
Security by Design Decisions bezeichnet dabei eine Reihe von Modellen, die beschreiben, wann und wie Security-Prozesse mit den eigentlichen Produktionsprozessen gekoppelt, harmonisiert, von diesen getriggert oder in sie eingebaut werden können. Der Ansatz kann helfen sicherzustellen, dass Security nicht nur in Form eines abstrakten „Sikos“ lebt, das den Entwicklungsprozess nur selten oder unter großem Daueraufwand beeinflusst.
https://fluchsfriction.medium.com/automation-security-by-design-decisions-5619b97126c0
KI schlägt KI: VideoIdent-Verfahren geknackt
KI-basierte VideoIdent-Verfahren haben sich in letzter Zeit als kostengünstige Möglichkeit der Identitätsprüfung etabliert, da sie nicht nur den Verbraucherinnen und Verbrauchern den Weg zur Post, sondern auch den Betreibern die Beschäftigung von Personal ersparen. Angriffsvektoren auf diese Methoden sind grundsätzlich seit Jahren bekannt. Doch nun hat ein vernichtendes Gutachten aus dem Chaos-Computer-Club-Umfeld aufgeschreckt. Nachdem deutlich wurde, mit wie wenig Aufwand marktübliche Verfahren mithilfe von KI hinters Licht geführt werden können, hat etwa die gematik den Krankenkassen die Nutzung von VideoIdent für die Telematikinfrastruktur untersagt. Befürworterinnen und Befürworter befürchten, dass dies der Digitalisierung im Bereich Gesundheit einen empfindlichen Dämpfer versetzen könnte.
https://www.heise.de/news/eHealth-Chaos-Computer-Club-hackt-Videoident-Verfahren-7216044.html
Aller Anfang ist schwer: Security-Policy für Start-ups
Es fehlt im Netz nicht an Tipps, gut gemeinten Ratschlägen und Top-10-Listen für Dinge, die ein KMU, ein kleiner Handwerksbetrieb oder eine Ich-AG in Bezug auf Security als Erstes tun sollten. Ryan McGeehan, ehemals Facebook Security, hat dem Thema „Security für Startups“ sehr viel Aufmerksamkeit geschenkt und einige Handreichungen produziert, was er für essenziell für den Einstieg hält. Insbesondere sollen seine Leitlinien für alle Mitarbeitenden verständlich sein.
Zwar taugt das Ganze nur begrenzt als Startpunkt für eine Compliance etwa zum IT-Grundschutz oder zur ISO 27001, aber diskussionswürdig sind seine Empfehlungen allemal.
https://medium.com/starting-up-security/starting-up-security-policy-104261d5438a
Nie um? Hafnium ein Jahr danach
Auch mehr als ein Jahr nach der gravierenden Hafnium-Schwachstelle sind immer noch nicht alle Systeme abgesichert. Wir haben daher unsere beliebte Handreichung „Hafnium – Überwachen Sie Ihre Systeme“ noch einmal aktualisiert, um aufgrund der Lizenzbedingungen den Scanner Loki (statt Thor) zu empfehlen.
https://research.hisolutions.com/2021/03/hafnium-eine-hilfestellung-zur-ueberwachung-ihrer-systeme/
Lese- und Medientipps
Erzählt
Die Folge „The French Knight’s Guide to Corporate Culture“ von Tim Harfords lehrreichem Podcast „Cautionary Tales“ (17.6.2022) macht anhand der Niederlage einer eigentlich erdrückenden Übermacht französischer Ritter den Engländern gegenüber eindrücklich klar, wie entscheidend Kultur in Organisationen ist.
https://timharford.com/2022/06/cautionary-tales-the-french-knights-guide-to-corporate-culture/
Erkältet
Die „Perspektive“-Kolumne unseres Vorstands Timo Kob im Tagesspiegel Background Cybersecurity beleuchtet, warum „Der deutsche Patient“ digital so sehr dahinsiecht.
https://background.tagesspiegel.de/cybersecurity/der-deutsche-patient
Der nächste HiSolutions Cybersecurity Digest erscheint Ende September 2022.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!