In einem Projekt, einem Proof of Concept oder in einer Laborumgebung kommt schnell der Bedarf nach einer Certificate Authority (CA) auf, die sich mit Tools wie OpenSSL, certtool oder CFSSL in wenigen Befehlen verwalten lässt. Der kritische private Schlüssel liegt dann jedoch im Dateisystem, möglicherweise sogar unverschlüsselt. Wenn die CA dann ungewollt noch produktiv genutzt wird, ist das Sicherheitsdrama perfekt. Dennoch muss man sich für Ad-hoc-CAs dieser Art kein Hardware Security Module (HSM) anschaffen.

Die Lösung: Die Root-CA speichert ihren privaten Schlüssel im Trusted Platform Module (TPM). Dank der Anforderungen von Windows 11 besitzen nahezu alle neuen PCs einen solchen Sicherheitschip, der entweder auf dem Mainboard sitzt oder in die CPU integriert ist. Somit kann ein herkömmlicher Windows-Rechner zur CA werden und mit dem TPM Kryptoaufgaben erledigen.

Auf der Softwareseite kommt XCA hinzu (Dokumentation). Die grafische Anwendung beherrscht das Tagesgeschäft einer CA: Zertifikatsanträge annehmen und Zertifikate ausstellen. Sie ist kostenfrei und erfordert keine Kommandozeilenakrobatik. Die TPM-CA erreicht bestenfalls das Sicherheitsniveau eines Selbsthosters und will auch nicht mit professioneller Software konkurrieren. Sie lässt sich aber einfach bedienen, ist günstig und bringt ein Plus an Sicherheit.

Das war die Leseprobe unseres heise-Plus-Artikels „Security: Die eigene CA mit TPM-Chip einrichten“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Die Entwickler der Rust Coreutils haben Version 0.7 veröffentlicht. Der Fokus der Aktualisierung liegt auf Performance-Optimierungen, die sich über Dutzende Utilities erstrecken. Zu den Verbesserungen gehören schnellere Hash Maps, neue ASCII-Schnellpfade und reduzierte malloc-Aufrufe bei verschiedenen Befehlen. Zusätzlich haben die Entwickler Build-Fixes für NetBSD und PowerPC integriert.

Ein weiterer Schwerpunkt der Version liegt auf der Reduzierung von unsicherem Code. Konkret haben die Entwickler unsicheren libc-Code durch sichere Rust-Abstraktionen ersetzt, was die Sicherheit der Implementierung weiter erhöht. Dies knüpft an die Arbeit der Vorgängerversion 0.6 an, die bereits Buffer Overflows und Use-After-Free-Fehler durch Rusts Ownership-System eliminiert hatte. Version 0.7 eliminiert zudem Panics beim Schreiben nach /dev/full in über 20 Utilities wie echo, date und sort, was die Produktionsreife weiter erhöht.

GNU-Kompatibilität sinkt prozentual

Bei der Kompatibilität zur GNU Test Suite verzeichnet Version 0.7 einen scheinbaren Rückschritt: Die Quote sank von 96,3 Prozent in Version 0.6 auf 94,6 Prozent. Dieser Rückgang erklärt sich jedoch durch die Integration von 19 neuen Tests aus GNU Coreutils 9.10. Die absolute Anzahl bestandener Tests ist trotz der gesunkenen Prozentquote gestiegen. Zudem sind sechs weitere Tests übersprungen worden und sieben zusätzliche Tests fehlgeschlagen.

Der prozentuale Rückgang ist normal angesichts der sich entwickelnden Referenz-Test-Suite. Die neuen Tests aus GNU Coreutils 9.10 sind schwieriger zu bestehen als die bisherigen, weshalb die Quote sinkt, während die Implementierung gleichzeitig absolut gesehen mehr Tests besteht. Trotzdem strebt das Rust-Coreutils-Projekt weiterhin eine vollständige GNU-Kompatibilität von 100 Prozent an. Dabei arbeiten die Entwickler eng mit dem GNU-Projekt zusammen und haben zahlreiche Patches zu den GNU Coreutils beigesteuert, was beide Projekte stärkt.

Performance-Verbesserungen im Detail

Die Performance-Optimierungen in Version 0.7 sollten für Systemadministratoren und Endnutzer besonders bei Batch-Operationen mit vielen Dateien, der Verarbeitung großer Datenmengen und wiederholten Aufrufen von Utilities in Skripten messbar sein. Konkret bringen zum Beispiel unexpand 14 Prozent Geschwindigkeitsgewinn, du zwischen drei und sechs Prozent und shuf rund vier Prozent. Die schnelleren Hash Maps beschleunigen Operationen, die auf Schlüssel-Wert-Zuordnungen angewiesen sind. Die neuen ASCII-Schnellpfade optimieren die Verarbeitung von ASCII-Zeichen, die in vielen Anwendungsfällen den Großteil der verarbeiteten Daten ausmachen.

Reduzierte malloc-Aufrufe führen zu weniger Speicher-Fragmentierung und potenziell kürzeren CPU-Aktivitätszeiten, was sich positiv auf die Gesamtperformance auswirkt. Diese Optimierungen reihen sich in eine kontinuierliche Entwicklung ein: Bereits in Version 0.6 wurden die Base-Encoding-Utilities wie base32 und base64 beschleunigt, und Version 0.4 brachte spezifische Optimierungen für factor, cksum, tsort und mkdir.

Die Release Notes zu Version 0.7 stehen auf GitHub zur Verfügung.

(fo)

Nachdem Google die Anrufaufzeichnung in seiner Telefon-App vor wenigen Wochen zunächst in der Betaversion ausprobiert werden konnte, verteilt der Konzern die Funktion nun offenbar nach und nach für alle Nutzerinnen und Nutzer. Zudem führt das Unternehmen Kontaktposter für ausgehende Anrufe ein.

Googles Telefon-App kann Anrufe aufzeichnen

Anrufe mitschneiden ist auf Samsung-Geräten seit einer Weile möglich, die Funktion wurde im April 2025 mit One UI 7 eingeführt. Jetzt liefert Google nach und integriert die Funktion in seine Telefon-App, die auf vielen Android-Geräten vorinstalliert ist. Laut Google kann die Funktion auf Pixel-Geräten ab dem Pixel 6 genutzt werden, auf denen mindestens Android 14 oder neuer installiert sein muss – aktuell ist Android 16. Auf Smartphones anderer Hersteller muss mindestens Android 9 oder neuer installiert sein.

Nutzer der Telefon-App können die Anrufaufnahme direkt über ein Auswahlfenster während eines Anrufs aktivieren. In den App-Einstellungen steht Nutzern überdies die Möglichkeit zur Wahl, sämtliche Anrufe von unbekannten Nummern aufzuzeichnen. Ebenso kann man eine automatische Aufzeichnung für bestimmte Rufnummern festlegen. Die aufgezeichneten Anrufe sind direkt in der Anrufübersicht anhör- und auch teilbar. Laut Google bleiben die gespeicherten Anrufe nur lokal auf dem Gerät und landen nicht in der Cloud.

Nur mit ausdrücklicher Erlaubnis

Bevor man die Funktion nutzt, sollte man wissen, dass man in Deutschland einen Anruf nicht heimlich und ohne Einverständnis des Gegenübers aufzeichnen darf: Nach Paragraph 201 Absatz 1 des Strafgesetzbuchs ist das unbefugte Mitschneiden von Telefongesprächen untersagt – es ist ansonsten eine „Verletzung der Vertraulichkeit des Wortes“. Um einen Anruf aufzeichnen zu dürfen, benötigt man die explizite Zustimmung des Gesprächspartners. Bei Verstoß drohen Freiheitsstrafen von bis zu drei Jahren.

Die Gesprächspartner werden beim Start „hörbar darüber benachrichtigt, dass der Anruf aufgezeichnet wird“, betont Google. Auch beim Beenden der Aufnahme werden laut Google beide Parteien darüber informiert, dass der Anruf nicht mehr aufgezeichnet wird. Diese Hinweise ersetzen jedoch keine Einverständniserklärung, und es reicht nicht aus, dass die Funktion laut Google hörbar angekündigt wird. Ohne ein ausdrückliches „Ja, ich bin mit der Aufzeichnung des Gesprächs einverstanden“ des Gegenübers sind Nutzer der Funktion rechtlich schlecht aufgestellt. Ebenso verboten ist die Verwendung eines unbefugt aufgenommenen Telefongesprächs und das Weiterreichen an Dritte.

Kontaktkarte für ausgehende Anrufe

Weniger problematisch ist eine weitere Funktion, die Google für seine Telefon-App angekündigt hat: Nach den Kontaktpostern für eingehende Anrufe, die Nutzerinnen und Nutzer eines Android-Smartphones für ihre Kontakte selbst anlegen müssen, erweitert Google das Feature: Nutzer können das Erscheinungsbild der Anruferansichten künftig selbst personalisieren und damit bestimmen, wie ihre „Visitenkarten“ beim Gegenüber aussehen.

Nutzer können in ihrer „Visitenkarte“ selbst ein Foto von sich auswählen sowie ihre Lieblingsfarbe und Lieblingsschriftart festlegen. Die Funktion wird zuerst auf Android-Smartphones bereitgestellt, später auch für Smartwatches mit Wear OS. Uns wird die Funktion derzeit nur in der Betaversion der Telefon-App angeboten.

Die Funktion ist nicht nur für Pixel-Smartphones und Android 16 bestimmt, sondern sollte alle aktuellen Android-Smartphones erreichen, auf denen Googles Telefon-App standardmäßig vorinstalliert ist.

(afl)