Hoe om onkruid uit de volgende heartbleed bug: ENISA Details crypto zorgen

De cryptografische protocollen die worden gebruikt om gegevens te bewegen over het web te beveiligen zetten gebruikers in gevaar als gevolg van gebreken die dateren vele jaren te ontwerpen.

Gezien de huidige druk om alles in reactie op de onthullingen van overheidstoezicht te versleutelen, is het belangrijk dat de protocollen die worden gebruikt om het werk te doen zijn eigenlijk veilig. Het probleem is dat deze protocollen vaak niet tot de taak, een probleem dat onderzoekers van het Bureau van de Europese Unie voor netwerk- en informatiebeveiliging (ENISA) zijn gericht op het verhelpen.

In een nieuw rapport waarin wordt aangegeven hoe overheden en bedrijven de fouten gevonden in de hedendaagse buggy protocollen kunnen voorkomen, ENISA zegt: “Het belangrijkste probleem met de protocollen van vandaag is dat veel resultaat van cryptografische ontwerp vele jaren (zelfs decennia) geleden Zo cryptografische protocollen last meer van. legacy issues dan de onderliggende cryptografische componenten. ”

“Het doel moet zijn om te werken aan een betere cryptografisch protocol infrastructuur die dergelijke problemen niet vertoont,” aldus het rapport.

In het rapport wordt een aantal protocollen in gebruik zoals Transport Layer Security (TLS) voor veilige communicaties tussen een webserver en browser, evenals anderen gebruikt voor draadloze, mobiele communicatie of banken. Het omvat protocollen die worden gebruikt voor data op internet van de dingen systemen, LTE, Bluetooth, EMV banking card chips en cloud computing.

Naar huis te rijden, dat het onderzoek naar deze protocollen onvolwassen blijft, ENISA benadrukt dat “de fundamentele protocol fouten nog steeds worden gevonden”, wijzend op de recente heartbleed bug als voorbeeld.

Een probleem ENISA benadrukt dat “Veiligheidsbewijzen garanderen juistheid, zijn veel gecompliceerder dan die cryptografische systemen”, maar cryptografische protocollen zijn doorgaans gemaakt door netwerk en protocollen deskundigen en niet cryptografisch protocol deskundigen;. Een andere manier om de toestand van verbeteren dergelijke protocollen is voor onderzoekers om de ontwikkelaar automatische verificatie dat een implementatie van een protocol komt een bepaalde zekerheid doel.

Toekomstige protocollen mag niet ingewikkelder dan nodig is, en zo zijn ontworpen dat ze kunnen worden uitgebreid naarmate de tijd verstrijkt, zegt ENISA.

De organisatie ook zijn 2013 cryptografische richtlijnen voor het lopende jaar, waarin een reeks voorstellen voor de bescherming van gegevens voor organisaties die te verzamelen en persoonlijke gegevens op te slaan bieden bijgewerkt. Het nieuwe rapport bevat nu meer informatie over nevenkanaalaanvallen – zoals de POODLE aanval gedetailleerd door Google onlangs – evenals genereren van willekeurige getallen, en life cycle management. Het rapport omvat ook hash functies die gebruikt worden, bijvoorbeeld om wachtwoorden en een reeks cijfers te beschermen.

“Wat is er aandacht voor de noodzaak van certificatieschema’s in alle fasen van de technologische levenscyclus,” zei ENISA-directeur Udo Helmbrecht.

Beveiliging door haar ontwerp of standaard ‘ingebouwd in processen en producten, zijn basisprincipes voor vertrouwen. Het standaardiseren van het proces is een essentieel element in het waarborgen van de juiste toepassing van de hervorming van de bescherming van gegevens ten dienste van de burgers van de EU en de interne markt.

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond

Security Awareness Training en beleid; IT Security: Concerns, budgetten, trends en plannen; Secure reparatie beleid; IT Manager’s Guide to Cybercrime

Hoe om jezelf te beschermen in naschokken heartbleed’s; heartbleed: Serious OpenSSL zero-day kwetsbaarheid geopenbaard Hoe om te herstellen van heartbleed

Veiligheid; FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; beveiliging; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber -emergency reactie van de overheid waakhond