Itanium-Streit: Oracle soll 3 Mrd USD an HPE zahlen
1.7.2016 - Für den Computerkonzern Hewlett-Packard (HP) war Oracles Absage an Itanium-Server im Jahr 2011 ein schwerer Schlag. Vor Gericht musste nun geklärt werden, ob Oracle mit der Entscheidung unfair seine eigene Server-Plattform bevorzugt hat.
Geschworene in Kalifornien haben entschieden, dass Oracle an Hewlett-Packard Enterprise drei Milliarden US-Dollar in einem seit Jahren andauernden Streit um den Server-Prozessor Itanium zahlen soll. Das berichteten unter anderem der Finanzdienst Bloomberg und das Wall Street Journal aus dem Gericht. Die Summe entspricht der Forderung von HP. Oracle kündigte demnach umgehend an, in Berufung zu gehen.
Oracle ließ Itanium fallen
Auslöser für das Verfahren war die Entscheidung von Oracle, im Jahr 2011 die Entwicklung von Software für Intels Server-Prozessor Itanium einzustellen. Hewlett-Packard argumentierte, das sei eine Vertragsverletzung gewesen, mit der die Erfolgsaussichten der Itanium-Server verschlechtert worden seien – und brachte den Schritt auch mit dem Kauf des Server-Anbieters Sun Microsystems durch Oracle in Verbindung.
Vorwurf des Vertragsbruchs
Der Rückzug von Oracle habe außerdem einer Vereinbarung widersprochen, die im Zusammenhang mit der Abwerbung des ehemalige HP-Chefs Mark Hurd durch Oracle geschlossen wurde. "Oracles Entscheidung vom März 2011, die weitere Software-Entwicklung für die Itanium-Server-Plattform zu stoppen, stellt einen klaren Vertragsbruch dar und hat bei HP und seinen Kunden erheblichen Schaden angerichtet", erklärte John Schultz, Executive Vice President von HP Enterprise.
Geringe Popularität der Itanium-CPU
Oracle wies die Vorwürfe zurück und konterte, der gemeinsam mit Intel entwickelte Itanium-Prozessor sei da bereits wenig populär gewesen. Nach einer Gerichtsentscheidung aus dem Jahr 2012 hatte Oracle bereits die Entwicklung von Software für Itanium wieder aufgenommen. Oracle produziert unter anderem Datenbank-Software, die von vielen großen Unternehmen eingesetzt wird.
Bei der Aufspaltung von Hewlett-Packard im vergangenen Jahr war der Streit mit Oracle vom neuen Unternehmen HP Enterprise übernommen worden, das sich unter anderem auf Server und andere Technik für Rechenzentren spezialisiert. (dpa) / (tiw)
Quelle: heise.de
Das DROWN Syndrom
11.3.2016 - Viele im Internet erreichbare Server leiden derzeit unter dem DROWN-Syndrom.
Bei DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) handelt es sich um eine Sicherheitslücke in SSL, die es ermöglicht, dass mit TLSv1.2 geschützte Verbindungen auf SSLv2 zurückgestuft werden können. Dieses veraltete Protokoll gilt als unsicher kann leicht geknackt werden.
Die Schwachstelle ist unter den Nummern CVE-2016-0800, CVE-2016-0704 und CVE-2015-0293 beschrieben.
Alle Administratoren sind daher aufgefordert, möglichst umgehend die zur Verfügung stehenden Patches zu installieren.
Über die WebSite https://drownattack.com/ können Sie selber überprüfen, ob Ihre Server durch DROWN gefährdet sind.
Let's Encrypt: Gratis-SSL-Zertifikate für alle ab 3. Dezember
18.11.2015 - In Kürze startet Let's Encrypt in die öffentliche Beta und beginnt damit, SSL-Zertifikate auszustellen, die von den Browsern als vertrauenswürdig eingestuft werden – kostenlos und so einfach wie nie.
Am 3. Dezember dieses Jahres nimmt die Zertifizierungsstelle (CA) Let's Encrypt den öffentlichen Betrieb auf und beginnt damit, kostenlose SSL-Zertifikate für jedermann auszustellen. Wie Projektleiter Josh Aas berichtet, hat die CA seit dem Start der geschlossen Betaphase vor zwei Monaten bereits über 11.000 Zertifikate ausgestellt. Er ist daher zuversichtlich, dass die Systeme nun bereit für den öffentlichen Betrieb sind. Da die Entwicklung der Konfigurations-Software noch Arbeit erfordert, bezeichnet Aas den Termin als Start der öffentlichen Betaphase (Public Beta).
Wer ist Let's Encrypt
Hinter Let's Encrypt stehen bekannte Namen wie Mozilla, Akamai, Cisco und die Electronic Frontier Foundation. Sie haben sich zur Internet Security Research Group (ISRG) zusammengefunden. Das Ziel des Projekts ist nicht weniger, als verschlüsselte HTTPS-Verbindungen zum Standard im Web zu machen und so für mehr Datenschutz und Sicherheit zu sorgen. Let's Encrypt möchte dies mit kostenlosen Zertifikaten erreichen, die von den gängigen Browsern als vertrauenswürdig eingestuft werden. Darüber hinaus hat die ISRG ein neues Protokoll namens ACME entwickelt, das die Herausgabe von Zertifikaten automatisierbar macht.
https:// schnell und einfach
Die Konfiguration des Servers ist mit Let's Encrypt so einfach wie nie zuvor: Um ein Zertifikat zu erhalten und dem Server SSL beizubringen, muss man lediglich das Let's-Encrypt-Tool auf dem Server starten. Es kontaktiert die CA, fordert ein Zertifikat für eine bestimmte Domain an und beweist der CA anschließend, dass der Server tatsächlich über die Domain erreichbar ist (Domain Validation). Anschließend holt es sich das signierte Zertifikat ab und konfiguriert auf Wunsch sogar den Server für SSL.
Das Tool befindet sich aktuell in der Entwicklung, leistet aber etwa unter Ubuntu in Kombination mit Apache bereits gute Dienste. Windows-Server unterstützt es nicht, es existieren aber bereits inoffizielle Ports für die Microsoft-Plattform. Die Erweiterung der Plattformunterstützung ist von der ISRG ausdrücklich erwünscht; Client und Protokoll sind Open Source.
Quelle: Heise.de
SSL-Zertifikate: Microsoft will sich schon nächstes Jahr von SHA-1 trennen
5.11.2015 - Microsoft überlegt ob der neuen Qualität von Angriffen auf den Hash-Algorithmus, diesen schon Mitte 2016 auf die verbotene Liste zu setzen. Google und Mozilla gehen ähnliche Wege.
Microsoft wollte den unsicheren Algorithmus SHA-1 eigentlich zum 1. Januar 2017 nicht mehr in seiner Software unterstützen. Dieser wird unter anderem noch zum Signieren von SSL/TLS-Zertifikaten unterstützt. Jetzt denkt die Firma laut darüber nach, diesen Termin auf Juni 2016 vorzuziehen. Grund ist ein neuer Angriff, der SHA-1 nun endgültig den Rest geben könnte. So hatten Sicherheitsforscher im Oktober einen Bericht vorgelegt, in dem sie zeigen, wie sie mit SHA-1 erzeugte Hashes innerhalb von Tagen knacken können.
Um keine Kompatibilitätsprobleme zu verursachen, will Microsoft das Vorhaben mit anderen Browser-Herstellern abstimmen. Mozilla hatte kürzlich noch einmal seinen Plan bestätigt, Firefox-Nutzer ab dem 1. Januar 2016 vor SHA-1-Zertifikaten zu warnen und diese ab dem 1. Januar 2017 ganz zu blocken. Auch Google hat seit Jahren vor, mit Chrome ähnliche Wege zu gehen. Details dazu, für welche Einsatzgebiete Microsoft SHA-1-Zertifikate blockieren will, stehen in einem eigenen TechNet-Artikel.
Quelle: Heise.de
Let's Encrypt: Webbrowser vertrauen Zertifikaten
20.10.2015 - Die Zertifizierungsstelle IdenTrust hat die Zwischen-CAs von Let's Encrypt unterschrieben. Mitte November soll die Ausstellung von Zertifikaten für die Allgemeinheit beginnen.
Ab sofort vertrauen alle großen Webbrowser den beiden Zwischen-CAs Let's Encrypt Authority X1 und Let's Encrypt Authority X2. Denn neben Let's Encrypt hat nun auch die Zertifizierungsstelle IdenTrust die CAs unterschrieben (cross-sign).
Ein entsprechend unterschriebenes Zertifikat kann man auf einer Webseite des Projektes begutachten. Im September dieses Jahres veröffentlichte Let's Encrypt das erste Test-Zertifikat. Ab dem 16. November 2015 sollen Zertifikate für die Allgemeinheit verfügbar sein.
Let's Encrypt haben unter anderem die Electronic Frontier Foundation (EFF) und Mozilla ins Leben gerufen. Let's Encrypt will SSL/TLS-Zertifikate kostenlos für alle Server-Betreiber bereitstellen. Dabei sind sie stetig auf der Suche nach neuen Partnern.
Quelle: Heise.de
Todesstoß für SHA-1 steht bevor
16.10.2015 - Ein erster praktikabler Angriff von Sicherheitsforschern auf SHA-1 verschärft die Aussage, dass die Hashfunktion nicht mehr zum Einsatz kommen sollte.
Sicherheitsforscher haben die seit einem Jahrzehnt als unsicher geltende kryptologische Hashfunktion SHA-1 erfolgreich attackiert. Dafür haben sie ein 64-GPU-Cluster zehn Tage lang rechnen lassen. In einem ausführlichen Bericht erläutern sie ihre Vorgehensweise (PDF-Download).
Die sogenannte SHA-1-Kollision bricht den Sicherheitsforschern zufolge die Hashfunktion aber noch nicht komplett auf. Der Ansatz gebe aber einen Ausblick, wann es soweit sein könnte und die Sicherheitsforscher gehen von einer baldigen Kompromittierung aus. Frühere Berichte prophezeiten das für das Jahr 2017.
SHA-1 kostengünstiger und schneller knacken
Schon seit 2005 existieren theoretische Kollisionsattacken auf SHA-1, die die Sicherheitsforscher ausgebaut haben. Ihr Ansatz zeigt auf, dass Grafikkarten die Berechnungen besonders effizient stemmen können. Das geht nicht nur schneller als mit CPUs, sondern senkt auch die Kosten.
Aufgrund ihrer Erkenntnisse raten die Sicherheitsforscher dringlich dazu, SHA-1 zeitnah nicht mehr einzusetzen. Zudem sprechen sie sich gegen das Vorhaben des CA/Browser Forums aus, die Verteilung von SHA-1-Zertifikaten bis zum Ende des Jahres 2016 zu verlängern.
Der beteiligte Sicherheitsforscher Marc Stevens war auch Teil des Teams, das bereits MD5 den Todesstoß versetzt hat. Dabei nutzten die Forscher eine Kollision mit MD5, um sich selbst ein CA-Zertifikat zu erstellen, das von allen Browsern akzeptiert wurde.
Quelle: Heise.de