Datenschutz & Sicherheit
„Passwort“ Folge 56: Unwirksame Beweise, ungültige Zertifikate, unverplante CVEs
Hunderttausende Zertifikate widerrufen zu müssen, ist immer bitter. Aber ganz besonders schmerzt es, wenn die Zertifikate an sich technisch und formal fehlerfrei sind – und dennoch nicht valide. Im Podcast erklärt Christopher, warum die Schweizer Zertifizierungsstelle SwissSign fast eine halbe Million S/MIME-Zertifikate widerrufen musste und, wo er gerade schon dabei ist, mit welchen Zertifikatsproblemen D-Trust sich weiter herumschlägt. Sylvester hingegen greift Googles per Zero-Knowledge-Proof belegten Fortschritt beim Knacken von Verschlüsselungen mittels Quantencomputern abermals auf. Denn der Fortschritt dürfte zwar real sein, doch der Beweis war fehlerhaft. Schlaue Leute bei Trail of Bits nutzten das, um einen eigenen, noch größeren – aber eben fingierten – Fortschritt zu „beweisen“. Ein schönes Lehrstück über die Stärken und Schwächen von Zero-Knowledge-Proofs.
Weiterlesen nach der Anzeige
Im weiteren Verlauf der Folge geht es um das „Vulnrichtment“ des NIST, also das Anreichern von Schwachstellen-IDs, den CVE-Nummern, mit weiterführenden Informationen. Das NIST sieht sich der CVE-Flut nicht mehr gewachsen und filtert nun mit einer – für die Hosts nur teilweise nachvollziehbaren – Liste an Kriterien, welche CVEs sie mit nützlichen Informationen ergänzt und welche nicht. „Not scheduled“ ist das eher euphemistische Label für diesen Status.
Daneben räumt die Folge mit erfreulich viel Hörer-Feedback zu verschiedensten Themen auf: Ein vim-Maintainer berichtete den Hosts, wie KI-generierte Bug-Reports ihm den Urlaub ruinierten; ein weiterer erklärte den beiden, was ein PLM-System (Product Lifecycle Management) eigentlich tut und warum es oft nicht isoliert und gut geschützt betrieben wird. Außerdem geht es um Tücken beim Betrieb von Mailservern, Tücken beim Lesen von (HTML-)Mails, Tücken beim Fluchen in Podcasts und einige weitere Themen.
Die aktuelle Folge von „Passwort – der Podcast von heise security“ steht seit Mittwochmorgen auf allen Plattformen zum Anhören bereit.
(syt)