Security

Ich habe mich mit der Idee schon länger getragen: Nochmal einen Rundumschlag zu asymmetrischer Kryptographie zu machen. Dabei werde ich mich auf Demonstrationen der einzelnen Konzepte und Operationen mit Beispielcode konzentrieren und zu jedem der vorgestellten Konzepte mehr oder weniger ausführlich bezüglich der Einsatzszenarien und Vor- und Nachteile Stellung beziehen

Eingereichter Vortag zum 39C3 - Gentlemen - check your architecture!

Dieser Vortrag wurde zum 39C3 eingereicht und abgelehnt. Ich möchte einige Open-Source-Frameworks für verschiedene Programmiersprachen vorstellen, mit denen sich Architekturregeln pro Projekt oder Organisation festlegen und mithilfe gängiger Testinfrastrukturen durchsetzen lassen.

Das ist ein Abstract eines Vortrages, den ich auf dem 39C3 halten wurde, der aber abgelehnt wurde

ASCIISmuggler Angriff auf Mastodon

Dieser Vortrag wurde zum 39C3 eingereicht und abgelehnt. Ich fand heraus, dass ein auf Ascii Smuggler basierender Angriff die Filterregeln für Posts in Mastodon außer Kraft setzt. Damit sind diese Filter derzeit für den Schutz vor Spam und anderem unerwünschten Inhalt quasi nutzlos geworden.

Wie bereits angekündigt werde ich in den nächsten Wochen einige Aspekte asymmetrischer Kryptographie beschreiben. Der erste Artikel in der Reihe - dieser hier - zeigt Verschlüsselung und Signieren von Botschaften mittels der Cryptographic Message Syntax (CMS) nach RFC5652.

Es war wieder einmal an der Zeit, meine PKI zu warten...

Englische Version des Vortrag zu Konzepten hinter digitalen Identitäten - gehalten auf der CybSecMed 2024

Nachdem die Öffentlichkeit letzte Woche wieder mal mitgekriegt haben sollte, dass die Konzentration in der Cloud Schwachsinn ist und - vielleicht nicht - die ganze Öffentlichkeit vor zwei Wochen wieder einmal herzlich gelacht hat über die, die dennoch alles in die Cloud auslagern, aber offensichtlich nicht verstehen, wie sie funktioniert - hier einige Gedanken von mir dazu...

Nachdem ich neulich Gedanken zum Hardwaresetup und der organisatorischen Struktur einer PKI niedergeschrieben hatte, möchte ich hier informieren, dass die Softwarelösung zur Verwaltung von PKIs wieder ein neues Feature integriert:

Ich habe bereits in der Vergangenheit darüber geschrieben, wie wichtig ein transparentes und durchdachtes (und gelebtes!) Certificate Policy Statement ist - hier möchte ich nun ein Gedankenspiel vorstellen, wie man eine PKI vollständig air-gapped betreiben kann und doch noch einen relativ hohen Durchsatz erreicht und dabei sogar Wege offen bleiben, eine Automatisierung des Prozesses der Zertifikatserstellung zu erlauben...

Ältere Artikel

Hier geht es zum Archiv der Artikel, die vor dem 06.07.2025 verfasst wurden:

• Vergleich Analoger und Digitaler Identitäten
• Java SecurityManager und Compartmentalization
• ...