This article shows in detail how to use OpenSSL to sign critical data with an network HSM. The data can be sensitive log data, license data, or any other data where integrity on transfer must be ensured.
This article shows how to use OpenSSL with an PKCS11 engine to generate and sign an X.509 certificate. This is not an easy task, as we need to use the PKCS11 tools to generate a key pair on the SoftHSM2 first. This tutorial is suitable for any self-signed root CA or issuing CA.
Ever wondered what TLS is? You might heard about private- and public-keys, about digital certificates and don’t know what exactly that is and how you can use them? Frankly I was in the same situation and thought I write an blog article regarding these issues to make them a little bit clearer for everyone who needs or wants to learn about it. To use Transport Layer Security (TLS) a private-public-key-pair, … First Steps with OpenSSL for signature and encryption weiterlesen
There are many ressources that shows how to generate a RSA signature and perform a RSA signature verfication process. Nowadays, more and more developers are looking for ECC keys and ECDSA signature, as there are many reasons to consider elliptic curve cryptography (ECC): Key generation is much faster for ECC keys than for RSA keys Key operation for ECDSA signature is faster The EC key size is only 1/10 of … Full working ECDSA signature with OpenSSL weiterlesen
SoftHSM2 is free and easy o install or compile. But if you search how to use SoftHSM2 for symmetric and asymmetric cryptography or hashing you will notice that the OpenDNSSEC Wiki will not have any hint what mechanisms are supportet. This post will show how to view all SoftHSM mechanisms using pkcs11-tool. This references are based on version 2.6.1 and can be downloaded from OpenDNSSEC website. To repeat the following … SoftHSM2: What crypto mechanisms and ciphers are supported? weiterlesen
In this demo I will use a fresh installed YubiKey 5 NFC token, using YubiKey Manager for Windows you easily can change token settings and modify the configuration of the token. With the same tool you can change the PIN and PUK of the token. The default PIN is „123456“ and the default PUK for YubiKey PIV token is „12345678“. In this demo I will not change the default values.
Whenever you generate a public/private key pair in hardware over PKCS#11 you need export the public key to generate an X.509v3 vertificate. pkcs11-tool is a command line tool to test functions and perform crypto operations using a PKCS#11 library in Linux. It always requires a local available working P11 module (.so in Linux or .DLL in Windows) and allows various cryptographic action. pkcs11tool is part of the OpenSC package.
Whenever you need to work with SoftHSM2 there is a need to view all your configured slots and the objects saved on these slots. As softhsm2-util is not very well documented I decided to support the cryptographic community by offering working usage examples of the main tool of SoftHSM2. This post will show how to view all SoftHSM slots and examine all objects on a specific SoftHSM slots. This working … SoftHSM2 view slot info and objects on a specific slot weiterlesen
How to generate RSA, ECC and AES keys: pkcs11-tool is a command line tool to test functions and perform crypto operations using a PKCS#11 library in Linux. It always requires a local available working P11 module (.so in Linux or .DLL in Windows) and allows various cryptographic action. pkcs11tool is part of the OpenSC package. This post is part of #CryptoCorner my contribution to open source cryptography and secure hardware … Generate RSA, ECC and AES keys with OpenSC pkcs11-tool weiterlesen
Show slot and token info: pkcs11-tool is a command line tool to test functions and perform operations of a PKCS#11 library in Linux. It always requires a local available working P11 module (.so in Linux or .DLL in Windows) and allows various cryptographic action. pkcs11tool is part of the OpenSC package. PKCS#11 is a standard interface to create symmetric and asymmetric keys and perform cryptographic operations. It is mainly used … Show slot and token info with OpenSC pkcs11-tool weiterlesen
As softhsm2-util is not very well documented I decided to support the cryptographic community by offering working usage examples of the main tool of SoftHSM2. This post will show how to initialize a SoftHSM slot and to view your SoftHSM slots. This working examples are based on version 2.6.1 and can be downloaded from OpenDNSSEC website. After installation of SoftHSM2 you can check your slot configuration with option –show-slots $ … SoftHSM2 first steps to create slots weiterlesen
Configuration example for: pkcs11-tool is a command line tool to test functions and perform operations of a PKCS#11 library in Linux. It always requires a local available working P11 module (.so in Linux or .DLL in Windows) and allows various cryptographic action. pkcs11tool is part of the OpenSC package. PKCS#11 is a standard interface to create symmetric and asymmetric keys and perform cryptographic operations. It is mainly used to access … Configuration of OpenSC pkcs11-tool weiterlesen
Sematicon in München entwickelt eine kostengünstige Crypto Appliance für IT, Cloud, Industrie und Embedded Entwicklung. Schlüssel in Hardware verspricht der Hersteller
Cold Boot Angriff erfolgreich durchgeführt! Dies ist ein Gastartikel von Herrn Trotha, der gerne seine Erfahrung mit dem BitLocker Cold Boot Hack teilen möchte: Die Ausgangssituation Primäre Situation: Der BitLocker mit TPM und PIN ist eingerichtet, jedoch fährt der Laptop nur noch bis zum Anmeldebildschirm hoch und friert dann ein. Maus und Tastatur sind nicht mehr bedienbar, auch ist der Zugriff über LAN oder WLAN nicht mehr möglich. Reparaturen sind … Cold Boot Angriff: Hacken von Microsoft BitLocker weiterlesen
Kostenfreie Online Konferenz mit den Experten Michael Karl, Michael Wagner, Andre Couturier, Manfred Moormann, Matthias Sterle, Karin Tien, Andreas Schuster
Wir wissen, dass die Arbeit von zu Hause aus für einige von Ihnen neu sein kann, vielleicht überwältigend, wenn Sie sich an Ihre neue Arbeitsumgebung anpassen. Eines unserer Ziele ist es, Ihnen zu ermöglichen, so sicher wie möglich von zu Hause aus zu arbeiten. Im Folgenden finden Sie fünf einfache Schritte, um sicher zu arbeiten. Das Beste daran ist, dass all diese Schritte nicht nur dazu beitragen, Ihre Arbeit zu … Top 5 Schritte für sicheres Arbeiten von Zuhause weiterlesen
Auch dieses Jahr fand im November die große In-Depth Security Konferenz DEEPSEC 2019 in der Imperial Riding School Vienna im Wien statt. Rund 300 Teilnehmer und zahlreiche Sponsoren und Fachredner trafen sich vom 26. bis 29. November 2019 zum Training und Erfahrungsaustausch. Mit 54 hochkarätigen Sessions in drei großzügigen Seminarräumen bot das Event für alle Interessentengruppen wie Security Officers, Security Professionals and Produkthersteller, IT Entscheider, Berater und Ersteller von Richtlinien, … DEEPSEC 2019 – Nachlese zum großen IT-Sicherheit Event weiterlesen
Heute mittag erreichte mich ein Hilferuf eines verzweifelten Windows 10 Nutzers, der bis vor kurzem gar nicht wusste, dass er BitLocker nutzt… Hallo Herr Andreas Schuster, durch ein Problem mit meinem Surface bin ich auf Ihre Seite im Internet gestoßen. Da Sie auf dieser Seite über den Bitlocker berichten, möchte ich Sie um ein Rat fragen. Ich habe folgendes Problem:
Mein aufmerksamer Geschäftspartner Thomas aus Wien hat mich kürzlich bei einer Diskussion über Cloud Verschlüsselung auf ein interessantes Verschlüsselungsprojekt namens Cryptomator der deutschen Firma Skymatic UG aufmerksam gemacht. Die Lösung wirbt mit dem Slogan „Freie clientseitige Verschlüsselung für Ihre Cloud-Daten“ und soll neben der Dropbox beliebige Cloud-Speicher verschlüsseln!
Oft werde ich als Experte gefragt welche E-Mail-Verschlüsselung wirklich praktisch einsetzbar ist und um meinen Rat gebeten. Hier spreche ich natürlich nicht von einer SMTP TLS Transportverschlüsselung zwischen den Mailsystemen, sondern über eine zertifikatsbasierte E-Mail-Verschlüsselung – z.B. mit einem Trust Center Zertifikat von A-Trust – bis zum Empfänger, sodass die verschlüsselte Nachricht in der Empfänger-Mailbox nicht unautorisiert geöffnet werden kann. Nun ist E-Mail-Verschlüsselung mit PGP (OpenPGP) oder S/MIME bereits seit … E-Mail Verschlüsselung mit A-Trust a.sign light weiterlesen
Kaum zu glauben, aber es gibt auch andere Aspekte der Informationssicherheit als NSA Spionage, russisch/chinesische Hackergruppen und türkische Cybercrime Aktivisten. Alle sollten sich noch an die Grundpfeiler der IT-Security (aktuell auf Deutsch „Informationssicherheit“) erinnern, bei denen die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität im Vordergrund stehen.
Das Security Form des Hagenberger Kreis 2017 an der FH Hagenberg ist wieder ein großer Erfolg. Über 200 Teilnehmer informieren sich an den beiden Tagen über die neuesten Trends, Bedrohungen und Gefahren der IT-Sicherheit. Die Anweise war unkompliziert. Die Parkplatzfrage in Hagenberg wurde vorbildlich gelöst, sogar Parkplatzeinweiser wurden durch freiwillige Helfer bereitgestellt. Mit den rund 200 Teilnehmern sind die räumlichen Kapazitäten im FH Trakt nahezu erschöpft.
Eine Verschlüsselungslösung wie BitLocker To Go für meine persönlichen Daten oder für Geschäftsdaten ist doch was Feines. Genauso lange bis man sein Passwort vergessen hat! Aber fast alle komfortablen Verschlüsselungslösungen bieten heute umfangreiche Recovery Funktionen oder deutlich bessere Entschlüsselungsmöglichkeiten als ein dummes Passwort. Daher möchte ich dir heute zeigen, wie du den BitLocker To Go mit einem Zertifikat und einer PKI Smartcard oder einem USB-Crypto-Token nutzt. Das Zertifikat kannst du … Smartcard Identifizierung für BitLocker To Go weiterlesen
America first! Jetzt bin ich kein besonderer Fan von Donald und Micky, aber dass uns beim BitLocker vorsätzlich eine schwächere AES-128 Verschlüsselung untergejubelt wird, finde ich von unseren Freunden aus Übersee gar nicht gut…
Ein guter Freund hat mich heute auf eine Veröffentlichung der Heise mit dem reißerischen Namen „Todesstoß: Forscher zerschmettern SHA-1“ hingewiesen. Falschmeldungsgeil natürlich gleich gelesen, ein wenig recherchiert und mich mächtig geärgert über den Blödsinn den Heise da wieder postet. Zuerst mal fachlich zum Thema. Ja, SHA-1 wissen wir seit vielen Jahren entspricht nicht mehr den kryptographischen Anforderungen,
Eines vorweg: dieser Artikel richtet sich nicht an Kryptographen und Mathematiker, die sich selbst mit der Bewertung von kryptographischen Schlüsseln und Algorithmen beschäftigen oder auf der Suche nach einer weiteren theoretischen Side-Channel-Attacke gegen AES-256 & Co. befinden. Bitte nur weiterlesen, wenn du einen Überblick über die gängigen Verschlüsselungs-Algorithmen suchst und dazu eine praxisorientierte Sicherheitsbewertung der verwendeten Schlüssellängen benötigst.
Der Microsoft BitLocker bringt neuen Schwung in die Verschlüsselungsbranche, da Windows Benutzer ab der Pro Version die BitLocker Verschlüsselungsfunktion im Betriebssystem vorinstalliert haben und auf Knopfdruck nutzen können. In dem externen Beitrag von Netzwelt habe ich einen guten Überblick über die Editionen gefunden. Da die Pro Version in der Regel nur Unternehmen nutzen, möchte ich in diesem Artikel speziell auf die Anforderungen von öffentlichen und privaten Organisationen eingehen.
Die Wochenend News von Heise zeigt wie man die Microsoft BitLocker-Verschlüsselung umgehen kann, siehe Link. Der Hack von Sami Laiho zeigt, dass die Angriffe gegen eine transparente (BitLocker) Verschlüsselung noch lange nicht aufhören.
Inspiriert durch einen IT-Security Fachkollegen aus Linz habe ich mich mit der Frage um „Low Tech“ beschäftigt und kann bestätigen, dass dies wahrscheinlich die wichtigste Antwort auf die aktuellen Securitybedrohungen wie Ransomware, CEO-Fraud, Virenausbruch und Social-Hacks ist. Gerade eben hat die Europol den IOCTA 2016 Internet Organised Crime Threat Assessment Bericht veröffentlicht, der sich den drei Kernthemen Cyber Attacken, Online Kinderpornographie und Betrug um Zahlungsverkehr widmet. Der Report ist öffentlich, … Low Tech – die Antwort auf die meisten Securitybedrohungen weiterlesen
Seit einigen Jahren beschäftige ich mich mit Verschlüsselungslösungen für Dateien und Verzeichnissen. In der IT-Security Branche werden solche Lösungen File & Folder Encryption genannt. Eine File & Folder Verschlüsselung arbeitet ähnlich wie eine Ransomware, indem Dateien auf lokalen oder Netzwerkablageorten transparent verschlüsselt werden.
Mit dem Programm kannst du gültige S/MIME Schlüssel und Zertifikate selbst erstellen. Getestet unter Windows und iOS kannst du E-Mails signieren und verschlüsseln.
Alle die ihre Encrypting-File-System – oder kurz EFS – Schlüssel nicht vom Microsoft OS oder einer Microsoft-CA erzeugen möchten, erhalten hier die Anleitung diese per OpenSSL zu erstellen. Funktionsweise Hier die Funktionsweise aus Wikipedia: Wenn eine Datei per EFS verschlüsselt wird, generiert das System zunächst einen zufälligen Schlüssel, den sogenannten File Encryption Key (FEK), mit dem die Datei dann mittels des symmetrischen Verschlüsselungsverfahrens DES oder ab Windows XP SP1 mittels … EFS Schlüssel per OpenSSL erstellen weiterlesen
Im Jahr 2016 hat Locky für Presse gesorgt. In meinem Bericht erkläre ich, wie du dich vor Ransomware schützen kannst und bei einem Befall korrekt verhältst.
Ist Microsoft EFS im Jahr [php snippet=4] einsetzbar? Dieser Blog Beitrag gibt dir einen Überblick über die Funktion, die Einschränkungen und Vorteile von Encrypting File System dem „verschlüsselnde Dateisystem“.
In einfachen Schritten zeigt der Beitrag wie mit Nessus Home ein Netzwerk-Server oder Cloud-Server geprüft wird und Sicherheitslücken aufgedeckt werden. Die Nessus Home Lizenz erlaubt die Privatnutzung in Heimnetzwerken und erlaubt eine einmalige oder regelmäßige Prüfung von bis zu 16 DNS/IP Adressen.
In diesem Beitrag wird erklärt, wo Software-Verschlüsselung in ZIP, PDF, S/MIME, BitLocker, EFS, TrueCrypt/VeraCrypt die Schlüssel speichert. Zusätzlich gehe ich auf weitere kryptographische Software ein: PKI und Smartcards, Linux sshd, putty SSH und Webserver https/SSL Schlüssel.
Mai 2016, rund zwei Jahre nach der Abkündigung der TrueCrypt Verschlüsselung im Mai 2014 interessiert mich was aus der Software und dem Sourcecode geworden ist. Kurzerhand möchte ich im heutigen Blog Beitrag den TrueCrypt Abkömmling VeraCrypt analysieren.
In diesem IoT (Internet-of-Things) Beitrag möchte ich euch zeigen wie man mit einem Linux Server einen Arduino Mikrocontroller mit GPIO Ports, LEDs und einem Piezo/Buzzer ansteuert. Mein DIY Projekt hat das Ziel die Zugriffe auf unterschiedliche Web-Anwendungen zu erkennen und dann für eine definierte Zeit einzelne LEDs oder den Buzzer zu schalten.
Jeder der den gpio Befehl von WiringPi am Raspberry Pi kennt, schätzt die einfache Steuerung von GPIO Pins ohne großen Programmieraufwand. Mit dem Raspberry Pi habe ich so schon viele Sensoren, Servos, Relays und elektronische Schaltungen gesteuert, oft für meine RC Autos. Bei einem Linux-PC oder Home-Server stehen leider keine freien I/O Ports zur Verfügung