„Passwort“ Folge 43: Oracle-Exploits, Post-Quanten-Kryptografie und andere News

Nach der extralangen Folge zu Phrack nähert sich der Podcast wieder seinem Normalzustand an – nicht nur in der Länge, sondern auch inhaltlich: Die Hosts ärgern sich über Oracle, freuen sich über Signal und wundern sich über Geheimdienste. Alles wenig überraschend, aber dahinter stecken dennoch interessante Nachrichten.

Los geht es jedoch mit Leserfeedback und der Chatkontrolle. Die wurde zwar schon ausführlich in Folge 16 behandelt, aber die Politik lässt das Thema nun mal nicht los. Die Hosts iterieren – leicht verstimmt – warum die Chatkontrolle nach wie vor technisch unausgegoren ist, sowie unverhältnismäßig, gefährlich und vermutlich auch ineffektiv wäre.

Angriff auf Oracle

Danach wird die Laune leider nicht besser, denn Christopher erzählt von Angriffen auf Oracles E-Business-Suite und vor allem von Oracles Verhalten dazu. Das mutet weder professionell noch kundenfreundlich an. Beileibe nicht der problematischste, aber ein sehr illustrativer Aspekt daran ist, dass Oracle dem Angriff – der eine ganze Kaskade von ziemlich peinlichen Sicherheitslücken ausnutzt – nur eine einzelne CVE-Nummer zuordnet. Die Hosts halten nur mit Mühe die Contenance und vermuten weitere Fehler in der Software, die so mit Löchern gespickt scheint. Eine Annahme, die sich schon Stunden nach der Aufzeichnung bewahrheitete.

Nach so viel Frust können sich die Hosts zum Glück einem erfreulichen Thema zuwenden: Sylvester berichtet von Signals neuem Verschlüsselungsprotokoll SPQR, das auch vor zukünftigen Quantencomputern schützen soll. Die Hosts erörtern, welche Probleme Signal damit lösen möchte, warum die Lösung alles andere als trivial ist und welchen Aufwand der Messenger betreibt, damit das neue Protokoll korrekt und fehlerfrei funktioniert.

Hybride Verschlüsselung

SPQR nehmen Christopher und Sylvester auch zum Anlass, etwas allgemeiner über „hybride“ Verschlüsselungen zu sprechen, was in diesem Kontext Systeme bezeichnet, die ein klassisches Verfahren mit einem Post-Quanten-Verfahren kombiniert. Erstere sind wohlbekannt und -erforscht, während letztere vor Angriffen mit Quantencomputern schützen. Deshalb empfehlen viele relevante Stellen und Experten solche Kombinationen. Anders sehen das die Geheimdienste NSA und GCHQ, allerdings mit Argumenten, die die Hosts kaum nachvollziehen können.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(syt)