(10 Dec 2019)
אני מודה ל @noamr ו- @GilBahat על ה-peer review
Archiv: Kryptografie / cryptography / Verschlüsselung / encryption / Transport Layer Security (TLS) protocol
UNBOUND
Unbound is a validating, recursive, caching DNS resolver. It is designed to be fast and lean and incorporates modern features based on open standards.
To help increase online privacy, Unbound supports DNS-over-TLS and DNS-over-HTTPS which allows clients to encrypt their communication. In addition, it supports various modern standards that limit the amount of data exchanged with authoritative servers. These standards do not only improve privacy but also help making the DNS more robust. The most important are Query Name Minimisation, the Aggressive Use of DNSSEC-Validated Cache and support for authority zones, which can be used to load a copy of the root zone.
DNS over TLS (DoT) auf FritzBox aktivieren
Zu guter Letzt können wir die Einstellungen noch prüfen. Bei der FritzBox sollte unter Internet -> Online-Monitor hinter den genutzten DNS-Servern jetzt (DoT verschlüsselt) stehen.
How to Change DNS Servers on Most Popular Routers
(Updated on March 12, 2022)
Change DNS Server on Linksys
Change DNS Server on a NetGear Router
Change DNS Server on D-Link
Change DNS Server on Asus
Change DNS Server on TP-Link
Change DNS Server on Cisco
Change DNS Server on TRENDnet
Change DNS Server on Belkin
Change DNS Server on Buffalo
Change DNS Server on Google Wifi
Known DNS Providers
Here we suggest a list of trusted DNS providers.
Was ist DNS over TLS?
Bei DNS over TLS (DoT) handelt es sich um ein Protokoll zur verschlüsselten Übertragung von DNS-Anfragen (Domain Name System). Üblicherweise wird die Namensauflösung im Internet unverschlüsselt über UDP übertragen. Bei DoT erfolgt hingegen die Zuordnung von Domains und den dazugehörigen IP-Adressen verschlüsselt über das Transport-Layer-Security-Protokoll (TLS). Hierdurch ist die Übertragung vor Abhörversuchen, Manipulationen und Man-in-the-Middle-Angriffen geschützt.
UNBOUND
Unbound is a validating, recursive, caching DNS resolver. It is designed to be fast and lean and incorporates modern features based on open standards.
To help increase online privacy, Unbound supports DNS-over-TLS and DNS-over-HTTPS which allows clients to encrypt their communication. In addition, it supports various modern standards that limit the amount of data exchanged with authoritative servers. These standards do not only improve privacy but also help making the DNS more robust. The most important are Query Name Minimisation, the Aggressive Use of DNSSEC-Validated Cache and support for authority zones, which can be used to load a copy of the root zone.
DNS over TLS (DoT) auf FritzBox aktivieren
Zu guter Letzt können wir die Einstellungen noch prüfen. Bei der FritzBox sollte unter Internet -> Online-Monitor hinter den genutzten DNS-Servern jetzt (DoT verschlüsselt) stehen.
How to Change DNS Servers on Most Popular Routers
(Updated on March 12, 2022)
Change DNS Server on Linksys
Change DNS Server on a NetGear Router
Change DNS Server on D-Link
Change DNS Server on Asus
Change DNS Server on TP-Link
Change DNS Server on Cisco
Change DNS Server on TRENDnet
Change DNS Server on Belkin
Change DNS Server on Buffalo
Change DNS Server on Google Wifi
Known DNS Providers
Here we suggest a list of trusted DNS providers.
Was ist DNS over TLS?
Bei DNS over TLS (DoT) handelt es sich um ein Protokoll zur verschlüsselten Übertragung von DNS-Anfragen (Domain Name System). Üblicherweise wird die Namensauflösung im Internet unverschlüsselt über UDP übertragen. Bei DoT erfolgt hingegen die Zuordnung von Domains und den dazugehörigen IP-Adressen verschlüsselt über das Transport-Layer-Security-Protokoll (TLS). Hierdurch ist die Übertragung vor Abhörversuchen, Manipulationen und Man-in-the-Middle-Angriffen geschützt.
> וודאו שיש לכם TLS 1.3 או TLS 1.2 תחת הסעיף Protocols. עדיף שלא יהיה לכם TLS 1.0\1.1 בכלל. מספר השרתים הפגיעים בישראל: 100,000+ לא פשוט לכתוב אייטם כזה לאנשים לא מקצועיים, אבל הוא חשוב והתפרסם ב @Haaretz
(10 Dec 2019)
אני מודה ל @noamr ו- @GilBahat על ה-peer review
TLS 1.3: Slow adoption of stronger web encryption is empowering the bad guys
(April 6, 2020)
Asymmetric encryption is used during the “handshake”, which takes place prior to any data being sent. The handshake determines which cipher suite to use for the session – in other words, the symmetric encryption type – so that both browser and server agree. The TLS 1.2 protocol took multiple round trips between client and server, while TLS 1.3 is a much smoother process that requires only one trip. This latency saving shaves milliseconds off each connection.
DNS over TLS (DoT) auf FritzBox aktivieren
Zu guter Letzt können wir die Einstellungen noch prüfen. Bei der FritzBox sollte unter Internet -> Online-Monitor hinter den genutzten DNS-Servern jetzt (DoT verschlüsselt) stehen.
Known DNS Providers
Here we suggest a list of trusted DNS providers.
What is DNS over TLS? Everything you need to know
DNS over TLS keeps Internet Service Providers (ISPs) from spying on users.
dnscheck.tools – inspect your dns resolvers
(…)
dnscheck.tools – inspect your dns resolvers
(…)
servers.opennic.org (161.97.219.84)
TLS 1.3 No
TLS 1.2 Yes*
TLS 1.1 Yes
TLS 1.0 Yes*
TLS 1.3: Slow adoption of stronger web encryption is empowering the bad guys
(April 6, 2020)
Asymmetric encryption is used during the “handshake”, which takes place prior to any data being sent. The handshake determines which cipher suite to use for the session – in other words, the symmetric encryption type – so that both browser and server agree. The TLS 1.2 protocol took multiple round trips between client and server, while TLS 1.3 is a much smoother process that requires only one trip. This latency saving shaves milliseconds off each connection.
TLS 1.3: Slow adoption of stronger web encryption is empowering the bad guys
(April 6, 2020)
Asymmetric encryption is used during the “handshake”, which takes place prior to any data being sent. The handshake determines which cipher suite to use for the session – in other words, the symmetric encryption type – so that both browser and server agree. The TLS 1.2 protocol took multiple round trips between client and server, while TLS 1.3 is a much smoother process that requires only one trip. This latency saving shaves milliseconds off each connection.
> וודאו שיש לכם TLS 1.3 או TLS 1.2 תחת הסעיף Protocols. עדיף שלא יהיה לכם TLS 1.0\1.1 בכלל. מספר השרתים הפגיעים בישראל: 100,000+ לא פשוט לכתוב אייטם כזה לאנשים לא מקצועיים, אבל הוא חשוב והתפרסם ב @Haaretz
(10 Dec 2019)
אני מודה ל @noamr ו- @GilBahat על ה-peer review
DNS over TLS (DoT) auf FritzBox aktivieren
Als erstes müssen wir in die DNS-Server Einstellungen der FritzBox wechseln unter Internet -> Zugangsdaten -> DNS-Server. Die alternativen DNSv4- und DNSv6-Server können angepasst werden, …
Known DNS Providers
Here we suggest a list of trusted DNS providers.
Correct Answer: C. DNS over TLS (DoT) Explanation: DNS over TLS (DoT) is a security protocol that forces all connections between the DNS client and DNS resolver to be encrypted using TLS (Transport Layer Security), ensuring secure and authenticated DNS queries.
(21.11.2023)
Known DNS Providers
Here we suggest a list of trusted DNS providers.
What is DNS over TLS? Everything you need to know
DNS over TLS keeps Internet Service Providers (ISPs) from spying on users.
DNS over TLS (DoT) auf FritzBox aktivieren
Als erstes müssen wir in die DNS-Server Einstellungen der FritzBox wechseln unter Internet -> Zugangsdaten -> DNS-Server. Die alternativen DNSv4- und DNSv6-Server können angepasst werden, …
Operation Rubicon
Operation Rubicon (German: Operation Rubikon), until the late 1980s called Operation Thesaurus, was a secret operation by the West German Federal Intelligence Service (BND) and the U.S. Central Intelligence Agency (CIA), lasting from 1970 to 1993 and 2018, respectively, to gather communication intelligence of encrypted government communications of other countries.[1][2] This was accomplished through the sale of manipulated encryption technology (CX-52) from Swiss-based Crypto AG, which was secretly owned and influenced by the two services from 1970 onwards.[1] In a comprehensive CIA historical account of the operation leaked in early 2020, it was referred to as the „intelligence coup of the century“ in a Washington Post article.
Streng geheim! Cryptoleaks. Die große BND und CIA Spionage | ZDFinfo Doku
(Aug 29, 2020)
Jahrzehntelang belauschten BND und CIA die verschlüsselte Kommunikation von über 100 Staaten. Die Operation „Rubikon“ wurde bis heute geheim gehalten. Sie gilt als größter Erfolg des BND.
Opfer des Lauschangriffs waren arabische und südamerikanische Länder, aber auch NATO-Partner. Sie vertrauten der Krypto-Technik des schweizerischen Herstellers Crypto AG – und wurden betrogen.
Geheime Liste: Wie der Sicherheitsapparat die Chatkontrolle prägt
Auffällig ist, dass die EU-Kommission von den neun Regierungsvertreter:innen auch zwei von der australischen Bundespolizei einlud. Hintergrund könnte hier sein, dass Australien seit 2019 ein Gesetz gegen sichere Verschlüsselung anwendet. Australien gehört wie das Vereinigte Königreich, die USA, Neuseeland und Kanada zum Geheimdienstverbund „Five Eyes“.
Known DNS Providers
Here we suggest a list of trusted DNS providers.
US officials raise concerns over Israeli intelligence after Hamas attacks
(October 7, 2023)
Other US officials familiar with the matter said if the US did have intelligence suggesting an upcoming attack, it would have undoubtedly shared that information with Israel.
The Israelis historically have had dominant capabilities to monitor communications in Gaza. The Israelis also have some of the best capabilities to break into encrypted communications, US officials say.
That’s partly the reason why US officials were shocked that preparation for Saturday’s attacks weren’t detected.
‘All systems need to be hardened’: Officials, industry sound the alarm on quantum threat to encryption
(September 29, 2023)
Such an all-conquering computer doesn’t actually exist yet. But there lies the paradox of what’s called quantum-resistant or “post-quantum” encryption: You don’t need a quantum computer to start laying the foundations for a quantum-powered hack — or, fortunately, to start building a defense.
The threat is a tactic called “collect now, decrypt later.” Well-heeled foreign intelligence agencies (and the American NSA) already scoop up terabytes of encrypted communication. Whatever they can’t crack today can just go into long-term storage, waiting for quantum computers to get powerful enough to break them.
testa-de.net – Anfrage an: Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben
(2. Januar 2022)
Die Domain „testa-de.net“ ist laut WHOIS-Anfrage von Ihrer Behörde registriert. Die NRW-Justiz scheint diese Domain irgendwie zu verwenden (…), aber die Links sind nicht aufrufbar.
Bitte teilen Sie mir daher mit:
1) Ist diese Domain von Ihrer Behörde registriert?
2) Wofür wird die Domain (einschließlich aller Subdomains) von Ihnen verwendet?
3) Können andere Behörden oder Körperschaften diese Domain (einschließlich aller Subdomains) mitverwenden? Wenn ja, welche Behörden oder Körperschaften verwenden diese Domain (einschließlich aller Subdomains) mit?
Ergebnis der Anfrage
Zu Frage 1:
Ja. Die Domain testa-de.net ist von der BDBOS registriert.
Zu Frage 2:
Die BDBOS betreibt für den Bund gemäß Art 91c Absatz 4GG ein Verbindungnetz zur Verbindung der informationstechnischen Netze des Bundes und der Länder. Dieses Netz verfügt über besondere Verschlüsselungstechniken und kann aus dem Internet nicht erreicht werden.
Im Verbindungsnetz erfolgt die Adressierung von Diensten, Verfahren und Anwendungen grundsätzlich narnensbasiert über das im Verbindungsnetz bereitgestellte Domain Name System (DNS).
Signal-Chefin zur Chatkontrolle: Die EU kann diesen Rückschritt bei den Menschenrechten stoppen
Ich komme gerade aus dem Vereinigten Königreich, das an der Spitze der Kampagne gegen Verschlüsselung und das Recht auf Privatsphäre steht. Was ich dort gesehen habe, ist alarmierend. Anti-Intellektualismus und Propaganda bestimmen sowohl die populäre als auch einen Großteil der sogenannten Expertendiskussion. Ein Hauch von Hysterie und Bedrohung liegt über jedem Versuch, eine sinnvolle Diskussion zu führen – einschließlich der Diskussion über bewährte Ansätze zur Unterstützung von Kindern, die sich von der Fixierung auf die Online-Überwachung unterscheiden. Es wird beängstigend und schwierig, die Menschenrechte zu verteidigen, wenn der Eindruck entsteht, dass man damit Dämonen und Monster verteidigt. Unter diesen harten Bedingungen war eine demokratische Beratung über diesen unglaublich schwerwiegenden Verstoß gegen Rechte kaum möglich. Und ich glaube nicht, dass dies ein Zufall war.
Dieser Hauch von Hysterie verdeckt die unangenehme Tatsache, dass die Technologie für das, was sie vorschreiben wollen, in keiner praktikablen Form existiert. Entgegen den Behauptungen der Organisationen, die sie vermarkten, ist es nicht möglich, die Ende-zu-Ende-verschlüsselte Kommunikation aller sicher und privat zu scannen, um verbotene Äußerungen zu kennzeichnen. Das Gegenteil zu behaupten, ist magisches Denken.
„Five Eyes“ hinter den Entschlüsselungsplänen des EU-Ministerrats
(29.11.2020)
Gemeint ist ein erster Schritt zu einer EU-weiten Regulation, die Plattformbetreiber de facto verpflichten wird, Ende-zu-Ende-Verschlüsselung mit einem Generalschlüssel auszuhebeln. Dass diese vom britischen Geheimdienst GCHQ vorgeschlagene Methode favorisiert wird, bestätigte de Kerchove ganz nebenbei in einem am Freitag von der Nachrichtenagentur AFP verbreiteten Interview. Ein frisch geleaktes Dokument des Rats dokumentiert die tiefe Involvierung der Spionageallianz „Five Eyes“ in die Entschlüsselungspläne.
(…)
Was de Kerchove, der auch die Gaming-Websites als überwachungspflichtig ins Spiel gebracht hatte, geflissentlich verschwieg, ist, wozu dies in jedem EU-Staat unweigerlich führen wird, dessen Gesetze den Geheimdiensten ein Mandat zum Anzapfen der Glasfaserleitungen zum Zwecke der „Gefahrenverhütung“ bzw. der „Nachrichtenaufklärung“ verleihen.
May, Macron und Merkel: Kriegskoalition gegen das World Wide Web
(14.Juni 2017)
Die entsprechenden Pläne von Terror-Theresa, lange vor ihrer Wahlniederlage entworfen, lasen wir bereits vor. Schlüssel dabei ist die praktisch und naturgemäß von allen Regierungen angestrebte Infiltration, Untermininierung und damit das faktische Verbot für 3,7 Milliarden Menschen im Internet – zum überwältigenden Anteil im öffentlich zugänglichen World Wide Web – ihre Telekommunikation, ihren Geschäftsbetrieb, ihr Privatleben, ihre Interaktionen im World Wide Web zu verschlüsseln. (…)
Für meine PappenheimerInnen von Genösschen – wie ich bereits mehrfach bemerkt habe: die dümmsten, miesesten und verlogensten der Welt – gilt diesbezüglich, wie immer: Kopf einziehen und versuchen nicht aufzufallen.
Helfen wird der Nomenklatura, ob international oder in diesem Saftladen von Republik, nichts von alledem. Sie ist fällig.
Und ihre Ehrenlogen vorneweg.
UK urges Meta not to roll out end-to-end encryption on Messenger and Instagram
A Meta spokesperson said: „The overwhelming majority of Brits already rely on apps that use encryption to keep them safe from hackers, fraudsters and criminals.
Advertisement · Scroll to continue
„We don‘t think people want us reading their private messages so have spent the last five years developing robust safety measures to prevent, detect and combat abuse while maintaining online security.“
SSL Report: techcrunch.com (67.195.231.20)
Protocols
TLS 1.3 Yes
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
Meta targeted for fresh UK gov’t warning against E2E encryption for Messenger, Instagram
Although friction from policymakers has clearly made the “pivot to privacy” which founder Mark Zuckerberg announced all the way back in 2019, when he said the company would universally apply E2EE on its services, slow going.
Finally, though, this August, Meta announced it would enable E2EE by default for Messenger by the end of the year.
DNS sobre TLS: privacidad en el DNS
(11.07.2017)
NIC Chile dispone de un „servidor de prueba“ puesto a disposición de los desarrolladores y primeros usuarios en adoptar y probar esta tecnología. Este servidor es completamente funcional, y se invita a la comunidad de .CL a utilizarlo consiguiendo tiempos de respuesta nacionales, sin necesidad de utilizar
servicios en el extranjero. Este servicio se entrega en forma gratuita pero en modo experimental, sin promesas de uptime ni su continuidad en el futuro. Existe registro de las queries con fines de investigación y control de abuso.
Para utilizarlo, los datos son:
IPv4: 200.1.123.46
IPv6: 2001:1398:1:0:200:1:123:46
Ports: 853 y 443
Hostname: dnsotls.lab.nic.cl (con „strict name TLS authentication“)
SPKI: pUd9cZpbm9H8ws0tB55m9BXW4TrD4GZfBAB0ppCziBg= (pin sha256)
Se agradecen los reportes de fallas y feedback técnico a través del correo dnsotls(at)lab.nic.cl.