(10 Dec 2019)
אני מודה ל @noamr ו- @GilBahat על ה-peer review
Archiv: Kryptografie / cryptography / Verschlüsselung / encryption / Transport Layer Security (TLS) protocol
TLS 1.3: Slow adoption of stronger web encryption is empowering the bad guys
(April 6, 2020)
Asymmetric encryption is used during the “handshake”, which takes place prior to any data being sent. The handshake determines which cipher suite to use for the session – in other words, the symmetric encryption type – so that both browser and server agree. The TLS 1.2 protocol took multiple round trips between client and server, while TLS 1.3 is a much smoother process that requires only one trip. This latency saving shaves milliseconds off each connection.
DNS over TLS (DoT) auf FritzBox aktivieren
Zu guter Letzt können wir die Einstellungen noch prüfen. Bei der FritzBox sollte unter Internet -> Online-Monitor hinter den genutzten DNS-Servern jetzt (DoT verschlüsselt) stehen.
Known DNS Providers
Here we suggest a list of trusted DNS providers.
What is DNS over TLS? Everything you need to know
DNS over TLS keeps Internet Service Providers (ISPs) from spying on users.
dnscheck.tools – inspect your dns resolvers
(…)
dnscheck.tools – inspect your dns resolvers
(…)
servers.opennic.org (161.97.219.84)
TLS 1.3 No
TLS 1.2 Yes*
TLS 1.1 Yes
TLS 1.0 Yes*
TLS 1.3: Slow adoption of stronger web encryption is empowering the bad guys
(April 6, 2020)
Asymmetric encryption is used during the “handshake”, which takes place prior to any data being sent. The handshake determines which cipher suite to use for the session – in other words, the symmetric encryption type – so that both browser and server agree. The TLS 1.2 protocol took multiple round trips between client and server, while TLS 1.3 is a much smoother process that requires only one trip. This latency saving shaves milliseconds off each connection.
TLS 1.3: Slow adoption of stronger web encryption is empowering the bad guys
(April 6, 2020)
Asymmetric encryption is used during the “handshake”, which takes place prior to any data being sent. The handshake determines which cipher suite to use for the session – in other words, the symmetric encryption type – so that both browser and server agree. The TLS 1.2 protocol took multiple round trips between client and server, while TLS 1.3 is a much smoother process that requires only one trip. This latency saving shaves milliseconds off each connection.
> וודאו שיש לכם TLS 1.3 או TLS 1.2 תחת הסעיף Protocols. עדיף שלא יהיה לכם TLS 1.0\1.1 בכלל. מספר השרתים הפגיעים בישראל: 100,000+ לא פשוט לכתוב אייטם כזה לאנשים לא מקצועיים, אבל הוא חשוב והתפרסם ב @Haaretz
(10 Dec 2019)
אני מודה ל @noamr ו- @GilBahat על ה-peer review
DNS over TLS (DoT) auf FritzBox aktivieren
Als erstes müssen wir in die DNS-Server Einstellungen der FritzBox wechseln unter Internet -> Zugangsdaten -> DNS-Server. Die alternativen DNSv4- und DNSv6-Server können angepasst werden, …
Known DNS Providers
Here we suggest a list of trusted DNS providers.
Correct Answer: C. DNS over TLS (DoT) Explanation: DNS over TLS (DoT) is a security protocol that forces all connections between the DNS client and DNS resolver to be encrypted using TLS (Transport Layer Security), ensuring secure and authenticated DNS queries.
(21.11.2023)
Known DNS Providers
Here we suggest a list of trusted DNS providers.
What is DNS over TLS? Everything you need to know
DNS over TLS keeps Internet Service Providers (ISPs) from spying on users.
DNS over TLS (DoT) auf FritzBox aktivieren
Als erstes müssen wir in die DNS-Server Einstellungen der FritzBox wechseln unter Internet -> Zugangsdaten -> DNS-Server. Die alternativen DNSv4- und DNSv6-Server können angepasst werden, …
Operation Rubicon
Operation Rubicon (German: Operation Rubikon), until the late 1980s called Operation Thesaurus, was a secret operation by the West German Federal Intelligence Service (BND) and the U.S. Central Intelligence Agency (CIA), lasting from 1970 to 1993 and 2018, respectively, to gather communication intelligence of encrypted government communications of other countries.[1][2] This was accomplished through the sale of manipulated encryption technology (CX-52) from Swiss-based Crypto AG, which was secretly owned and influenced by the two services from 1970 onwards.[1] In a comprehensive CIA historical account of the operation leaked in early 2020, it was referred to as the „intelligence coup of the century“ in a Washington Post article.
Streng geheim! Cryptoleaks. Die große BND und CIA Spionage | ZDFinfo Doku
(Aug 29, 2020)
Jahrzehntelang belauschten BND und CIA die verschlüsselte Kommunikation von über 100 Staaten. Die Operation „Rubikon“ wurde bis heute geheim gehalten. Sie gilt als größter Erfolg des BND.
Opfer des Lauschangriffs waren arabische und südamerikanische Länder, aber auch NATO-Partner. Sie vertrauten der Krypto-Technik des schweizerischen Herstellers Crypto AG – und wurden betrogen.
Geheime Liste: Wie der Sicherheitsapparat die Chatkontrolle prägt
Auffällig ist, dass die EU-Kommission von den neun Regierungsvertreter:innen auch zwei von der australischen Bundespolizei einlud. Hintergrund könnte hier sein, dass Australien seit 2019 ein Gesetz gegen sichere Verschlüsselung anwendet. Australien gehört wie das Vereinigte Königreich, die USA, Neuseeland und Kanada zum Geheimdienstverbund „Five Eyes“.
Known DNS Providers
Here we suggest a list of trusted DNS providers.
US officials raise concerns over Israeli intelligence after Hamas attacks
(October 7, 2023)
Other US officials familiar with the matter said if the US did have intelligence suggesting an upcoming attack, it would have undoubtedly shared that information with Israel.
The Israelis historically have had dominant capabilities to monitor communications in Gaza. The Israelis also have some of the best capabilities to break into encrypted communications, US officials say.
That’s partly the reason why US officials were shocked that preparation for Saturday’s attacks weren’t detected.
‘All systems need to be hardened’: Officials, industry sound the alarm on quantum threat to encryption
(September 29, 2023)
Such an all-conquering computer doesn’t actually exist yet. But there lies the paradox of what’s called quantum-resistant or “post-quantum” encryption: You don’t need a quantum computer to start laying the foundations for a quantum-powered hack — or, fortunately, to start building a defense.
The threat is a tactic called “collect now, decrypt later.” Well-heeled foreign intelligence agencies (and the American NSA) already scoop up terabytes of encrypted communication. Whatever they can’t crack today can just go into long-term storage, waiting for quantum computers to get powerful enough to break them.
testa-de.net – Anfrage an: Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben
(2. Januar 2022)
Die Domain „testa-de.net“ ist laut WHOIS-Anfrage von Ihrer Behörde registriert. Die NRW-Justiz scheint diese Domain irgendwie zu verwenden (…), aber die Links sind nicht aufrufbar.
Bitte teilen Sie mir daher mit:
1) Ist diese Domain von Ihrer Behörde registriert?
2) Wofür wird die Domain (einschließlich aller Subdomains) von Ihnen verwendet?
3) Können andere Behörden oder Körperschaften diese Domain (einschließlich aller Subdomains) mitverwenden? Wenn ja, welche Behörden oder Körperschaften verwenden diese Domain (einschließlich aller Subdomains) mit?
Ergebnis der Anfrage
Zu Frage 1:
Ja. Die Domain testa-de.net ist von der BDBOS registriert.
Zu Frage 2:
Die BDBOS betreibt für den Bund gemäß Art 91c Absatz 4GG ein Verbindungnetz zur Verbindung der informationstechnischen Netze des Bundes und der Länder. Dieses Netz verfügt über besondere Verschlüsselungstechniken und kann aus dem Internet nicht erreicht werden.
Im Verbindungsnetz erfolgt die Adressierung von Diensten, Verfahren und Anwendungen grundsätzlich narnensbasiert über das im Verbindungsnetz bereitgestellte Domain Name System (DNS).
Signal-Chefin zur Chatkontrolle: Die EU kann diesen Rückschritt bei den Menschenrechten stoppen
Ich komme gerade aus dem Vereinigten Königreich, das an der Spitze der Kampagne gegen Verschlüsselung und das Recht auf Privatsphäre steht. Was ich dort gesehen habe, ist alarmierend. Anti-Intellektualismus und Propaganda bestimmen sowohl die populäre als auch einen Großteil der sogenannten Expertendiskussion. Ein Hauch von Hysterie und Bedrohung liegt über jedem Versuch, eine sinnvolle Diskussion zu führen – einschließlich der Diskussion über bewährte Ansätze zur Unterstützung von Kindern, die sich von der Fixierung auf die Online-Überwachung unterscheiden. Es wird beängstigend und schwierig, die Menschenrechte zu verteidigen, wenn der Eindruck entsteht, dass man damit Dämonen und Monster verteidigt. Unter diesen harten Bedingungen war eine demokratische Beratung über diesen unglaublich schwerwiegenden Verstoß gegen Rechte kaum möglich. Und ich glaube nicht, dass dies ein Zufall war.
Dieser Hauch von Hysterie verdeckt die unangenehme Tatsache, dass die Technologie für das, was sie vorschreiben wollen, in keiner praktikablen Form existiert. Entgegen den Behauptungen der Organisationen, die sie vermarkten, ist es nicht möglich, die Ende-zu-Ende-verschlüsselte Kommunikation aller sicher und privat zu scannen, um verbotene Äußerungen zu kennzeichnen. Das Gegenteil zu behaupten, ist magisches Denken.
„Five Eyes“ hinter den Entschlüsselungsplänen des EU-Ministerrats
(29.11.2020)
Gemeint ist ein erster Schritt zu einer EU-weiten Regulation, die Plattformbetreiber de facto verpflichten wird, Ende-zu-Ende-Verschlüsselung mit einem Generalschlüssel auszuhebeln. Dass diese vom britischen Geheimdienst GCHQ vorgeschlagene Methode favorisiert wird, bestätigte de Kerchove ganz nebenbei in einem am Freitag von der Nachrichtenagentur AFP verbreiteten Interview. Ein frisch geleaktes Dokument des Rats dokumentiert die tiefe Involvierung der Spionageallianz „Five Eyes“ in die Entschlüsselungspläne.
(…)
Was de Kerchove, der auch die Gaming-Websites als überwachungspflichtig ins Spiel gebracht hatte, geflissentlich verschwieg, ist, wozu dies in jedem EU-Staat unweigerlich führen wird, dessen Gesetze den Geheimdiensten ein Mandat zum Anzapfen der Glasfaserleitungen zum Zwecke der „Gefahrenverhütung“ bzw. der „Nachrichtenaufklärung“ verleihen.
May, Macron und Merkel: Kriegskoalition gegen das World Wide Web
(14.Juni 2017)
Die entsprechenden Pläne von Terror-Theresa, lange vor ihrer Wahlniederlage entworfen, lasen wir bereits vor. Schlüssel dabei ist die praktisch und naturgemäß von allen Regierungen angestrebte Infiltration, Untermininierung und damit das faktische Verbot für 3,7 Milliarden Menschen im Internet – zum überwältigenden Anteil im öffentlich zugänglichen World Wide Web – ihre Telekommunikation, ihren Geschäftsbetrieb, ihr Privatleben, ihre Interaktionen im World Wide Web zu verschlüsseln. (…)
Für meine PappenheimerInnen von Genösschen – wie ich bereits mehrfach bemerkt habe: die dümmsten, miesesten und verlogensten der Welt – gilt diesbezüglich, wie immer: Kopf einziehen und versuchen nicht aufzufallen.
Helfen wird der Nomenklatura, ob international oder in diesem Saftladen von Republik, nichts von alledem. Sie ist fällig.
Und ihre Ehrenlogen vorneweg.
UK urges Meta not to roll out end-to-end encryption on Messenger and Instagram
A Meta spokesperson said: „The overwhelming majority of Brits already rely on apps that use encryption to keep them safe from hackers, fraudsters and criminals.
Advertisement · Scroll to continue
„We don‘t think people want us reading their private messages so have spent the last five years developing robust safety measures to prevent, detect and combat abuse while maintaining online security.“
SSL Report: techcrunch.com (67.195.231.20)
Protocols
TLS 1.3 Yes
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
Meta targeted for fresh UK gov’t warning against E2E encryption for Messenger, Instagram
Although friction from policymakers has clearly made the “pivot to privacy” which founder Mark Zuckerberg announced all the way back in 2019, when he said the company would universally apply E2EE on its services, slow going.
Finally, though, this August, Meta announced it would enable E2EE by default for Messenger by the end of the year.
DNS sobre TLS: privacidad en el DNS
(11.07.2017)
NIC Chile dispone de un „servidor de prueba“ puesto a disposición de los desarrolladores y primeros usuarios en adoptar y probar esta tecnología. Este servidor es completamente funcional, y se invita a la comunidad de .CL a utilizarlo consiguiendo tiempos de respuesta nacionales, sin necesidad de utilizar
servicios en el extranjero. Este servicio se entrega en forma gratuita pero en modo experimental, sin promesas de uptime ni su continuidad en el futuro. Existe registro de las queries con fines de investigación y control de abuso.
Para utilizarlo, los datos son:
IPv4: 200.1.123.46
IPv6: 2001:1398:1:0:200:1:123:46
Ports: 853 y 443
Hostname: dnsotls.lab.nic.cl (con „strict name TLS authentication“)
SPKI: pUd9cZpbm9H8ws0tB55m9BXW4TrD4GZfBAB0ppCziBg= (pin sha256)
Se agradecen los reportes de fallas y feedback técnico a través del correo dnsotls(at)lab.nic.cl.
What‘s happening in Parliament next week?
Main debate: MPs consider Lords amendments to the extensively paused and re-written Online Safety Bill.
(…)
The government now says that the tech regulator, Ofcom, would only require companies to scan their networks for harmful material, like child sexual abuse and exploitation content, when a technology was developed that was capable of doing so – thus kicking the issue into the very long grass.
Signal will leave the UK if the current version of the Online Safety Bill becomes law, says the company’s president
(01.09.2023)
„You know, the long-standing technical consensus, and this goes back before the 90s, but really flared up in the 90s during the first iteration of what we call the crypto wars, where you had the US government wanting backdoors into encryption algorithms. And the vast majority, I would say, of the technical community showing over and over again that technologically, you cannot have it both ways. You cannot have a backdoor that only the good guys can access. Either it’s broken for everyone, or it works to preserve meaningful privacy.“
> וודאו שיש לכם TLS 1.3 או TLS 1.2 תחת הסעיף Protocols. עדיף שלא יהיה לכם TLS 1.0\1.1 בכלל. מספר השרתים הפגיעים בישראל: 100,000+ לא פשוט לכתוב אייטם כזה לאנשים לא מקצועיים, אבל הוא חשוב והתפרסם ב @Haaretz
(10 Dec 2019)
אני מודה ל @noamr ו- @GilBahat על ה-peer review
dnscheck.tools – inspect your dns resolvers
(…)
Known DNS Providers
Here we suggest a list of trusted DNS providers.
DNS Server Settings: What are they & which is the best DNS server?
(25th August 2023)
While DoH uses the HTTPS infrastructure to encapsulate DNS queries, DNS-over-TLS focuses on utilising the secure TLS protocol directly.
Attackers target the Domain Name System, the internet’s phone book. Here’s how to fight back
(July 14 2023)
DNS over HTTPS, or DoH, and DNS over TLS send these requests over the UDP transport layer, again using encryption. This prevents man-in-the-middle tampering that could be done with unprotected DNS conversations. The TLS version skips the application-layer protocols, which helps hide this traffic even further and offers a slight performance boost as a result.
Remarks on “Chat Control”
(March 23, 2023)
I am a professor of computer science and a researcher in the field of applied cryptography. On a day-to-day basis this means that I work on the design of encryption systems. Most of what I do involves building things: I design new encryption systems and try to make existing encryption technologies more useful.
Sometimes I and my colleagues also break encryption systems. I wish I could tell you this didn’t happen often, but it happens much more frequently than you’d imagine, and often in systems that have billions of users and that are very hard to fix. Encryption is a very exciting area to work in, but it’s also a young area. We don’t know all the ways we can get things wrong, and we’re still learning.
dnscheck.tools – inspect your dns resolvers
(…)
Known DNS Providers
Here we suggest a list of trusted DNS providers.
DNS Server Settings: What are they & which is the best DNS server?
(25th August 2023)
While DoH uses the HTTPS infrastructure to encapsulate DNS queries, DNS-over-TLS focuses on utilising the secure TLS protocol directly.
Attackers target the Domain Name System, the internet’s phone book. Here’s how to fight back
(July 14 2023)
DNS over HTTPS, or DoH, and DNS over TLS send these requests over the UDP transport layer, again using encryption. This prevents man-in-the-middle tampering that could be done with unprotected DNS conversations. The TLS version skips the application-layer protocols, which helps hide this traffic even further and offers a slight performance boost as a result.
Known DNS Providers
Here we suggest a list of trusted DNS providers.
Was ist DNS over TLS (DoT)?
DNS over TLS (DoT) ist ein Protokoll zur verschlüsselten Übertragung der DNS-Namensauflösung. DNS-Anfragen und DNS-Antworten sind dadurch vor dem unbefugten Mitlesen und vor Manipulationen geschützt.
dnscheck.tools – inspect your dns resolvers
(…)
TLS 1.3: Slow adoption of stronger web encryption is empowering the bad guys
(April 6, 2020)
Asymmetric encryption is used during the “handshake”, which takes place prior to any data being sent. The handshake determines which cipher suite to use for the session – in other words, the symmetric encryption type – so that both browser and server agree. The TLS 1.2 protocol took multiple round trips between client and server, while TLS 1.3 is a much smoother process that requires only one trip. This latency saving shaves milliseconds off each connection.
EU-Staaten wollen Verschlüsselung doch nicht schützen
Zwölf weitere Staaten stimmen Irland zu und lehnen den Schutz von Verschlüsselung ab. Laut den Niederlanden „sollten sich Anbieter nicht hinter Verschlüsselung verstecken können“. Frankreich will Verschlüsselung nicht schwächen, aber „unbedingt“ verschlüsselte Inhalte scannen.
Auch die EU-Kommission kritisiert den vorgeschlagenen Schutz von Verschlüsselung deutlich. „Der vorgeschlagene Text würde nicht nur die Aufdeckung von [Material über sexuellen Kindesmissbrauch] verhindern, sondern auch bereits etablierte Maßnahmen wie Spamfilter unmöglich machen.“
OpenNIC Public Servers
Anonymized logs
No logs kept
DNScrypt
DoH
DoT
Whitelisting
Blocklist
Known DNS Providers
Here we suggest a list of trusted DNS providers.