Lmst

Trifft sich eine Kryptograf:innen-Verein und hält Wahlen ab. Leider können die Resultate der Wahlen nicht veröffentlicht werden: einer der drei Krypto-Schlüssel ging leider verloren.

Mehr: https://maniabel.work/archiv/549

#Kryptografie #Helios

Post-Quanten-Kryptografie: Wie Oracle sich gegen die Quantenbedrohung wappnet

Komplexe Anforderungen an PQC-Migration

Die Einführung quantenresistenter Kryptografie konfrontiert Unternehmen mit mehrschichtigen Herausforderungen:

https://www.all-about-security.de/post-quanten-kryptografie-wie-oracle-sich-gegen-die-quantenbedrohung-wappnet/

#oracle #pqc #api #Datenverschlüsselungsschlüssel #verschlüsselung #Kryptografie

Post Quantum Cryptography | c’t uplink

https://peertube.heise.de/w/tgWqfDqAAtJShY7ANFmjoR

Sicherheitsrisiko #Quantencomputing: Das #BSI hat Fristen für die Umstellung auf quantensichere #Kryptografie festgelegt.

Spätestens ab dem Jahr 2030 sollen IT-Sicherheitsprodukte zur Verfügung stehen, welche die Bedrohung durch künftige Hochleistungs-#Quantencomputer abwehren können.

Interessant: Aktuell schätzt das BSI, dass ein solcher kryptografisch relevanter Quantencomputer mit hoher Wahrscheinlichkeit in höchstens 16 Jahren realisierbar ist:

https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/PQC-Umstellungsfristen_251031.html #cybersecurity

neues Video:

Zerlege Video: #RSA #SecurID #Token: geöffnet, bis zur Platine freigelegt und Sicherheit beurteilt

--> https://youtu.be/ralG_7cOs6U

#Teardown #Sicherheit #Kryptografie #Hardware #Elektronik #Mikrocontroller

Digitaler Euro

Wie anonymes Bezahlen möglich wäre

Der Europäische Datenschutzausschuss hat ein Gutachten zum Digitalen Euro veröffentlicht. Es geht um die Frage, ob der digitale Euro wie Bargeld funktionieren kann: offline und anonym. Trivial ist das nicht, aber es ist möglich.

Wie anonym können wir künftig noch bezahlen? Diese Frage stellt sich vermehrt in einer Welt, in der digitale Zahlungsmethoden sich immer weiter verbreiten. Die Europäische Zentralbank wirbt für den Digitalen Euro immer wieder mit einem Level an Privatsphäre, dass „Bargeld-ähnlich“ oder „Bargeld-nah“ sein soll. Nun hat der Europäische Datenschutzausschuss, in dem nationale und der EU-Datenschutzbeauftragte zusammenkommen, ein Gutachten in Auftrag gegeben.

Eine der zentralen Fragen: Wie nahe kommt der digitale Euro an Bargeld und welche technischen Möglichkeiten für Anonymität gibt es? Das hat der Kryptographie-Professor Tibor Jager (Universität Wuppertal) für den Datenschutzausschuss untersucht.

Für den Kontext: Der Digitale Euro, Fach-Abkürzung „D€“, steht gerade im Fokus der EU-Institutionen. Die Europäische Zentralbank (EZB) treibt die technische Umsetzung voran. Parallel dazu gibt es einen Gesetzgebungsprozess, Parlament und Rat beraten gerade über den Vorschlag der Europäischen Kommission.

Digitale Zahlungen online und offline

In der Praxis soll der Digitale Euro online und offline funktionieren. Das Online-System kommt da ins Spiel, wo man den digitalen Euro etwa für das Einkaufen im Internet nutzt. Das Offline-System soll Bargeld möglichst ähnlich sein. Damit sollen etwa Privatpersonen einkaufen, aber auch Geld untereinander transferieren können, ohne dass eine Bank oder ein Zahlungsdienstleister das autorisieren oder mitbekommen muss. „Die Offline-Funktionalität des Digitalen Euro soll es Verbrauchern ermöglichen, auch in Notfällen wie Strom- oder Netzwerkausfällen weiterhin Zahlungen zu tätigen“, schreibt die EZB in ihrem neuesten Fortschrittsbericht.

Tibor Jager kommt in seinem Gutachten zu dem Schluss, dass ein anonymer Offline-D€ durchaus möglich ist. „Es existiert eine Bandbreite kryptografischer Werkzeuge, die man nutzen kann, um Sicherheit vor Fälschungen sowie Anonymität auf sehr starke Weise sicherzustellen“, schreibt er. Anonymität heißt in diesem Kontext: nicht verknüpfbar. Voreinander sind Zahler und Bezahlte zwar nicht anonym, allerdings sollten Dritte den Zahlvorgang nicht nachverfolgen können.

Konkret nennt Jager unter anderem das Verfahren der Blinden Signaturen. Dadurch könnte auch sichergestellt werden, dass Banken zwar sehen, dass ein bestimmter Betrag abgehoben oder eingezahlt wird, aber nicht die Token-ID, quasi die digitale Seriennummer. Das soll die Nachverfolgung des D€ verhindern.

Das Problem mit dem „Double Spending“

Eine Problem nennt Jager im Gutachten allerdings immer wieder: Wie kann man bei Offline-Transaktionen „Double Spending“ verhindern? Also dass eine Person denselben Digitalen Euro mehrmals ausgibt. Im Vergleich zu Bargeld wandert beim digitalen Euro ja kein physischer Geldschein über den Ladentisch.

Während es laut Gutachten vergleichsweise einfach ist, zu verhindern, dass Unbefugte neue Digitale Euros erschaffen, sei das unbefugte Kopieren von D€ schwieriger zu verhindern, vor allem in einem Privatsphäre-schonenden Offline-System. Dann könnte eine Person mit ihrem D€ zweimal offline bezahlen. Aber nur der erste Empfänger könnte diesen D€ „einlösen“, bei der zweiten bezahlten Person würde das Umwandeln abgelehnt.

Unlösbar ist dieses Problem aber nicht. Laut dem Gutachten gibt es mehrere Schutzmechanismen gegen „Double Spending“:

Sichere Hardware: Schon jetzt ist geplant, dass der Digitale Euro in einer bestimmten Hardware-Umgebung auf dem Smartphone verwaltet wird, die sich durch andere Software auf dem Gerät nicht verändern lässt. Jager weist in seinem Gutachten darauf hin, dass es in der Geschichte immer wieder erfolgreiche Angriffe auf sichere Hardware-Elemente gegeben habe. Zudem werde die Sicherheit dieser Umgebung dadurch erschwert, dass nicht Personen von außen, sondern die Nutzer:innen selbst versuchen könnten, das System zu manipulieren. Um das Risiko gering zu halten, sollte die Hardware möglichst wenige Aufgaben erfüllen. Dementsprechend sollten die Anonymität der Zahlungen und andere Sicherheitsmechanismen durch kryptografische Verfahren abgedeckt werden, die nicht auf entsprechenden Hardware-Sicherheitsmechanismen basieren.

Semi-Offline-Lösung: In diesem Szenario wäre nur die Zahlerin offline, der Bezahlte müsste mit dem System verbunden bleiben, das dann den übertragenen D€ direkt verifizieren könnte. Auch wenn diese Idee aus Sicherheitsperspektive attraktiv ist, untergräbt sie eines der zentralen Versprechen des Offline-D€: Dass man mit ihm auch ohne Internetverbindung bezahlen kann, etwa während eines Stromausfalls.

Kleinere Einschränkungen: Das Gutachten nennt etwa Transfer-Limits, also Beschränkungen, wie oft und wie viel Geld mit dem Offline-D€ übertragen werden könnte. Dies mache Manipulationen weniger lukrativ. Auch aus finanzwirtschaftlicher Sicht wird beim D€ über über Halte-Limits diskutiert, also wie viele Digitale Euros man besitzen darf, bis diese in normales Bankguthaben umgewandelt würden. Das Gutachten diskutiert auch Ablaufdaten für die Tokens des Digitalen Euros.

Aufdecken statt Verhindern: Zudem könnte man sich weniger auf die Verhinderung als auf die Aufdeckung von „Double Spending“ konzentrieren. „Die Grundidee dieses Ansatzes besteht darin, einen Auditor einzuführen, der die Identität der Nutzer:innen nur in Fällen von Doppelausgaben offenlegen kann, während ehrliche Nutzer:innen bei normaler Nutzung vollständig anonym bleiben (auch gegenüber dem Auditor)“, schreibt Jager. Auch das sei durch das Blinde-Signaturen-Verfahren möglich.

Sicherheit braucht Transparenz

Alle diese Ideen führen an anderen Stellen zu Nachteilen. Diese Abwägungen müssten gut ausbalanciert werden, heißt es in dem Gutachten. Der Idee von Security by Obscurity („Sicherheit durch Unklarheit“) erteilt das Gutachten eine klare Absage. Insgesamt könne man die Sicherheit des Digitalen Euros nur durch Transparenz erhöhen. Die technischen Anforderungen und Protokolle müssten öffentlich sein, fordert Jager. Es sollte Open-Source-Implementierungen für die entsprechende Soft- und Hardware geben. Sicherheitsforscher:innen und ethische Hacker:innen sollten aktiv ermutigt werden, das System auf Schwachstellen zu testen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, hatte das Gutachten beim Europäischen Datenschutzausschuss angeregt. Gegenüber netzpolitik.org sagt sie: „Das Gutachten erklärt, vor welchen technischen Herausforderungen eine anonyme Offline-Version des Digitalen Euros steht und zeigt, wie man sie lösen kann.“ Damit könne eine Bargeld-ähnliche Funktion machbar sein, die Betrug verhindert und trotzdem anonyme Zahlungen bis zu einem bestimmten Betrag ermöglicht, sagt Kamp.

„Ein hoher Datenschutzstandard ist entscheidend, um das Vertrauen der Bürger:innen in diese neue Form der Währung zu sichern. Die Möglichkeit, kleinere Beträge anonym zu bezahlen, würde den Digitalen Euro einzigartig machen und ihn von anderen digitalen Zahlungsmethoden abheben.“

Welche Datenschutzanforderungen die EU-Institutionen gesetzlich festlegen, wird sich in den kommenden Monaten entscheiden. Nach Auskunft von Damian Boeselager (Volt, Greens/EFA), Schattenberichterstatter des EU-Parlaments zum Digitalen Euro, will das Parlament im Mai 2026 seine Position verabschieden. Die dänische Ratspräsidentschaft will die Position der Mitgliedsstaaten noch in diesem Jahr verabschieden, berichten mehrere Quellen. Sobald Parlament und Rat ihre Positionen beschlossen haben, kann der Trilog beginnen, also die Verhandlung zwischen Ministerrat (den Mitgliedsstaaten), EU-Parlament und EU-Kommission.

Hinweis: Das Gutachten ist in englischer Sprache verfasst. Die direkten Zitate wurden übersetzt.

Neben seinem Studium der Internationalen Beziehungen in Dresden arbeitet Leonhard Pitz als freier Journalist. Er interessiert sich besonders für EU-Politik, Überwachung, Medien und die Polizei. Von September bis November 2023 war er Praktikant bei netzpolitik.org. Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Und abschließend:
#versteckt hat oft eine negative Konnotation.
Etwas neutraler ist #verborgen.

Was macht den Unterschied erheblich?
Es ist wie mit #Crypto #Grafie und #Code.

Code: Ersetzung zur #Erleichterung
Crypto: Ersetzung zum #Schutz
#Grafik: die Kunst der Abbildung

#Kryptografie ist daher ein Teilmenge von #Code.
#Kryptowährung ist eine Teilmenge von #Irrweg.

Ja, #Bitcoin erfüllt die selbe Aufgabe wie #Geld und #Gold - nur aufwendiger.
https://de.wikipedia.org/wiki/Konnotation

Wie geht es weiter bei #Cloud #Cybersecurity?

Wo die EU in 5 Jahren nicht in der Lage war, sich auf ein einheitliches Zertifizierungsschema für Cloud (#EUCS) zu einigen, kann man davon ausgehen, dass zumindest der neue C5 die Themen Datensicherheit und Cloud #Souveränität stärker adressiert als bislang - dies betrifft u.a. die Aspekte der Lieferkettensicherheit, (Post Quanten)-#Kryptografie, Confidential Computing sowie die örtlichen Belegenheit von verarbeiteten Daten:

https://background.tagesspiegel.de/it-und-cybersicherheit/briefing/das-update-fuer-die-cloud-sicherheit

Die „#Chatkontrolle“ bleibt falsch. Sie bricht Ende-zu-Ende-Verschlüsselung. Sie macht alle unsicher. Sie hilft Tätern, weil Systeme schwach werden. 470 Forscher warnen. Ich auch. Hände weg von privater Kommunikation. #ChatkontrolleStoppen #Privacy #Kryptografie #EinfacheSprache

Update http://Kryptografie.de, https://Kryptanalyse.de, http://MysteryMaster.de

neu: Tüpfelchen zählen Code

--> https://kryptografie.de/kryptografie/chiffre/tuepfelchen-zaehlen.htm

#Kryptografie #Chiffre #Geocaching #Rätsel #Codeknacker #Crypto #Mystery #Puzzle

Resignation in Tech

Ab morgen ist September, das "Draußen" sieht heute schon ein wenig herbstlich aus - Zeit also für eine Erwachsenenportion Depression Resignation. Und um die Sache nicht allzusehr auszuweiten, resigniere ich halt ein wenig in dem Bereich, der uns alle, die hier mitlesen, und die paar anderen auch, verbindet: das Netz und die Technik dahinter, die Möglichkeiten, die uns geboten sind, und die, die wir nicht nützen. Wer hier schon länger, d.h. auch vor dem x-ten Neustart im Frühjahr 2025, […]

https://konstantinklein.com/resignation-in-tech/

Leichtgewichtiges Kryptografieverfahren für IoT-Geräte von NIST standardisiert | heise online
https://heise.de/-10529913 #Kryptografie #Kryptografieverfahren #IoT #NIST #Ascon

»NIST standardisiert ein leichtgewichtiges Kryptografieverfahren für IoT-Geräte:
Ascon ist ein leichtgewichtiges Kryptografieverfahren, das insbesondere für IoT-Geräte wie RFID-Tags gedacht ist. NIST hat das Verfahren nun standardisiert.«

Ich habe absolut keine Ahnung von IoT aber spannend. Es sind leider sehr viele IoT-Tools, die im allgemeinen erhältlich sind, sehr unsicher im Web.

✔️ https://www.heise.de/news/NIST-standardisiert-ein-leichtgewichtiges-Kryptografieverfahren-fuer-IoT-Geraete-10529913.html

#iota #nist #pqc #pqcrypto #rfid #tools #web #internet #postquantum #kryptografie

#AdiShamir hat mit #RSA eine der wichtigsten Verschlüsselungen erfunden. Ohne ihn wäre sichere Kommunikation im Internet nicht möglich. Wir verdanken ihm viel. #Kryptografie schützt unsere Freiheit. #CCC #EinfacheSprache

Update http://Kryptografie.de, https://Kryptanalyse.de, http://MysteryMaster.de

Neuer Solver: Zahlen zur Quersumme suchen

--> https://kryptografie.de/kryptografie/chiffre/quersumme-suchen.htm

#Chiffre #Kryptografie #Kryptologie #Kryptoanalyse #Kryptanalyse #Geheimschrift #Geocaching #Crypto #MysteryMaster #Rätsel

Die unterschätzte Bedrohung: Quantencomputer und Kryptographie

Was ich in meinem Artikel bereits betont habe, wird jetzt Realität.

Die #EU zieht nach – mit einem offiziellen Fahrplan zur Post-Quantum-Kryptographie. Frühzeitiges Handeln war nie optional – sondern zwingend.

Denn wie schon im Artikel beschrieben: Wer heute nicht vorbereitet, läuft morgen Gefahr, dass Jahrzehnte an vertraulichen Daten entschlüsselt werden – ganz im Sinne von „Store now, decrypt later“.

🔗 Mein Artikel: https://www.secunis.de/post-quantum-kryptographie/

🔗 EU-Fahrplan: https://digital-strategy.ec.europa.eu/en/library/coordinated-implementation-roadmap-transition-post-quantum-cryptography

:boost_ok:

#Kryptografie #PQC #Quantencomputer #Datenschutz #Verschlüsselung

Das Zeitalter der Post-Quanten-#Kryptografie bricht an: Mit Unterstützung der Europäischen Kommission haben die Mitgliedstaaten in einem Fahrplan festgelegt, bis wann sie spätestens mit der Post-Quanten-Kryptografie starten wollen.

Hintergrund ist, dass leistungsfähige #Quantencomputer gängige Verschlüsselungsverfahren nach aktuellem "Stand der Technik" in Zukunft überwinden können - ein Prinzip, das die #NSA mit "Store now, decrypt later" schon seit Jahren verfolgt:

https://digital-strategy.ec.europa.eu/en/library/coordinated-implementation-roadmap-transition-post-quantum-cryptography

Die EU plant ab 2026 den Umstieg auf Post-Quanten-Kryptografie! 🔐💡 Damit sollen Daten auch vor Quantencomputern sicher bleiben. Mehr dazu im Artikel von golem: https://www.golem.de/news/ab-2026-eu-staaten-sollen-auf-post-quanten-kryptografie-wechseln-2506-197412.html #Quantencomputing #Kryptografie #EU #newz

Update http://Kryptografie.de, https://Kryptanalyse.de, http://MysteryMaster.de

Neuer Solver: Zahlen zur Quersumme suchen

--> https://kryptografie.de/kryptografie/chiffre/quersumme-suchen.htm

#Chiffre #Kryptografie #Kryptologie #Kryptoanalyse #Kryptanalyse #Geheimschrift #Geocaching #Crypto #MysteryMaster #Rätsel

Commvault erweitert sein Krypto-Agilitäts-Framework um neue Post-Quanten-Algorithmen wie HQC, um Unternehmen proaktiv gegen „Harvest Now, Decrypt Later“-Angriffe zu schützen. Mit NIST-konformer PQC in der Cloud-Plattform können IT-Teams flexibel und ohne System-Upgrade auf künftige Quantenbedrohungen reagieren.
#Aktuell #Anwendung #Produkte #Kryptografie #Quantencomputi...
https://www.it-finanzmagazin.de/neue-commvault-funktionen-sollen-post-quanten-kryptografie-vereinfachen-229035/?fsp_sid=965

#Kryptografie

Client Info