Syncthing Zertifikate und Keys für die HTTPS-GUI-Verbindung durch benutzer Zertifikate auf dem Raspberry PI ersetzen

Syncthing generiert automatisch selbstsignierte Zertifikate und Keys. Wenn man eigene Zertifikate verwenden will, muss man den Server runterfahren und die Zertifikats Datei https-cert.pem und den privaten Schlüssel https-key.pem durch eigene Zertifikate ersetzen. Die Zertifkate liegen z.B. auf dem Raspberry Pi wenn das syncthing mit apt install installiert wurde im

~/.config/syncthing

Verzeichnis. Alle Parameter von synching sind hier zu finden.

Dann einfach den Server neu starten. „Syncthing Zertifikate und Keys für die HTTPS-GUI-Verbindung durch benutzer Zertifikate auf dem Raspberry PI ersetzen“ weiterlesen

Wie kann eine mobileconfig für Apple Geräte (iPhone, iPad, iMac …) signiert werden?

Mit dem Apple Configurator erstellte Profile können in Apple Geräte übertragen werden. Diese mobileconfig-Dateien sind XML Dateien. Wenn man die signiert, wird in den Profilen ein grüner Haken und überprüft in grün angezeigt. Sonst steht da, nicht signiert in ROT.

und man hat noch weitere Vorteile. Der Apple Configurator ist ein Tool das hauptsächlich für die Verwaltung von iOS- und macOS-Geräten in Unternehmen, Schulen und anderen Organisationen verwendet wird. Es ermöglicht die Massenkonfiguration und Verwaltung von iOS- und macOS-Geräten über eine benutzerfreundliche grafische Benutzeroberfläche. Es hilft auch schon, wenn man ein Gerät hat, denn mache Einstellungen kann man nur über Profile einstellen, und für meine 6 Geräte wird die Verwaltung auch schon einfacher.

Nun zu einem kleinen Beispiel, wir wollen Zertifikate in ein Profile importieren und die Profile Datei signieren. Hier nun die nötigen Schritte:

Ich habe mal drei Zertifikate (Root, Intermediate und User-Zertifikat) mit meiner XCA erstellt, die auf einem Raspberry Pi 4 (headless) läuft (und auch auf iMac) und zwar so: „Wie kann eine mobileconfig für Apple Geräte (iPhone, iPad, iMac …) signiert werden?“ weiterlesen

Wegen Streik in HAJ (EDDV, Hannover) sehr ruhig, dann mal einen neuen Webtunnel (Bridges) für Tor einstellen und was sind Brücken-Mojis?

Ein Webtunnel (Bridges) ist dem normalen Webverkehr so ähnlich, dass er mit einer Webseite am gleichen Netzwerkendpunkt, also mit der gleichen Domäne, IP-Adresse und dem gleichen Port, koexistieren kann. Eine solche Konfiguration führe dazu, dass ein Beobachter die Webseite unter der gemeinsamen Adresse besuchen könne, ohne die Existenz der geheimen Webtunnel-Bridge zu bemerken.

Die Verwendung von Brücken in Kombination mit austauschbaren Übertragungsarten hilft die Tatsache zu verbergen, dass du Tor verwendest, kann aber die Verbindung im Vergleich zur Verwendung von normalen Tor-Relays verlangsamen.

Das geht ganz einfach, da die Brückenadressen nicht öffentlich sind: „Wegen Streik in HAJ (EDDV, Hannover) sehr ruhig, dann mal einen neuen Webtunnel (Bridges) für Tor einstellen und was sind Brücken-Mojis?“ weiterlesen

PSPP (Teil 9) Zufallsstichprobe

Stichproben in der Statistik sind ein wesentliches Werkzeug, um Informationen über eine größere Population zu gewinnen, indem man nur einen Teil dieser Population untersucht.

Eine Zufallsstichprobe ist eine Auswahl von Elementen aus einer Gesamtpopulation, bei der jedes Element in der Population eine gleichberechtigte Chance hat, in die Stichprobe aufgenommen zu werden. Das bedeutet, dass jedes Element unabhängig und zufällig ausgewählt wird, ohne dass bestimmte Merkmale oder Eigenschaften bevorzugt werden.

Zufallsstichprobe können auch mit PSPP gezogen werden. Hier ist eine Anleitung dazu: „PSPP (Teil 9) Zufallsstichprobe“ weiterlesen

Tor Browser 12.5.6 und anzeige der drei Relais

Vor ein paar Tagen gab es ein Update auf eine neue Version.

Welche Onion Circuits werden verwendet? Infos zeigt der Toolbar-Button zu den aktuellen Kanälen und Verbindungen von Tor an. Das kann über diesen Button angezeigt werden:

Ein Kanal in Tor besteht aus drei Relais:

-Der erste relay oder entry guard.
-Dem zweiten Relais oder Mittelknoten.
-Dem Ausgangsrelais.

Was wurde gefixt? „Tor Browser 12.5.6 und anzeige der drei Relais“ weiterlesen

RSA Checkliste für SSL-Zerfikate erstellen mit XCA für Portainer

ECC wird oft als zukunftssicherer angesehen, da es auf mathematischen Konzepten basiert, die voraussichtlich auch bei Fortschritten in der Kryptanalyse sicher bleiben. RSA hingegen könnte anfälliger für Angriffe werden, wenn leistungsfähigere Computer und Algorithmen entwickelt werden. ECC wird aufgrund seiner Effizienz und Sicherheitseigenschaften RSA in vielen modernen Anwendungen ersetzen. ECC läuft aber halt noch nicht überall. Portainer kann leider noch keine ECC (secp256k1), deshalb in diesen Beitrag einer Zertifikatserzeugung mit RSA Key und XCA.

Es sind diese 9 Schritte nötig. Unten gibt es die Checkliste zum kostenlosen Download.

1. XCA installieren (https://hohnstaedt.de/xca/index.php)

2. XCA starten (XCA-Menü: Zubehör-XCA, http://blog.wenzlaff.de/?p=20761) „RSA Checkliste für SSL-Zerfikate erstellen mit XCA für Portainer“ weiterlesen

XCA – Certification Authority (Zertifizierungsstelle) mit Elliptische-Kurven-Kryptografie (ECC) secp256k1

In der Informationssicherheit und Verschlüsselung steht „CA“ für Certification Authority. Eine Zertifizierungsstelle ist eine vertrauenswürdige Organisation, die digitale Zertifikate ausstellt und verwaltet. Diese Zertifikate werden verwendet, um die Identität von Websites, Servern und Benutzern in verschlüsselten Kommunikationen zu überprüfen, z. B. bei der SSL/TLS-Verschlüsselung im Web. Hier ein Bild der XCA GUI unter Linux:

Gestern wurde eine neue Version 2.5.0 der XCA veröffentlicht. Dafür gibt es auf dem Raspberry Pi 4 noch kein Package.

Aber man kann es ja auch selbst compilieren und zwar so für den aktuellen dev 2.5.3 Stand:

„XCA – Certification Authority (Zertifizierungsstelle) mit Elliptische-Kurven-Kryptografie (ECC) secp256k1“ weiterlesen

SSL/TLS-Zertifikat mit Elliptische-Kurven-Kryptografie (ECC) secp256k1 und eigener CA erzeugen und per Java einlesen auf dem Raspberry Pi

In der heutigen digitalen Welt ist die Sicherheit von Daten und Kommunikation von höchster Bedeutung. SSL/TLS-Zertifikate spielen eine entscheidende Rolle bei der Verschlüsselung von Datenübertragungen im Internet und der Gewährleistung der Vertraulichkeit und Integrität von Informationen. Das Open-Source-Programm xca ist eine leistungsstarke und vielseitige Anwendung, die die Verwaltung von SSL/TLS-Zertifikaten und vieles mehr erleichtert.

Es kann einfach per sudo apt install xca installiert werden und steht dann im Zubehör-Menü zur Verfügung:

„SSL/TLS-Zertifikat mit Elliptische-Kurven-Kryptografie (ECC) secp256k1 und eigener CA erzeugen und per Java einlesen auf dem Raspberry Pi“ weiterlesen

OpenSSL 3.1.2 auf dem Raspberry Pi

Die OpenSSL Version 1.1.1 Serie ist nur bis 11. Sep. 2023 supportet und sollte nicht mehr verwendet werden. Wir können uns aber auch selbst die 3.1.2 Version auf dem pi compilieren, solage es noch kein deb Archive gib.

OpenSSL ist eine weit verbreitete Open-Source-Sicherheitsbibliothek, die in vielen Bereichen der Informationstechnologie eine entscheidende Rolle spielt. Diese vielseitige Software wurde entwickelt, um Verschlüsselung, Authentifizierung und Sicherheitsfunktionen für eine breite Palette von Anwendungen bereitzustellen. In diesem Artikel werden wir einen zeigen wie die neue Version installiert bzw. compiliert werden kann, und zwar auf einem Raspberry Pi Zero: „OpenSSL 3.1.2 auf dem Raspberry Pi“ weiterlesen

Die wichtigsten Unterschiede zwischen Trust Stores und Key Stores für Java und HTTPS

Die wichtigsten Unterschiede zwischen Trust Stores und Key Stores für Java und HTTPS.

Der Key Store speichert private Schlüssel und zugehörige Zertifikate zur Identifizierung und Authentifizierung.
Der Trust Store speichert Zertifikate von vertrauenswürdigen Zertifizierungsstellen zur Überprüfung der Glaubwürdigkeit von Remote-Entitäten.

Beide Speicher sind wichtig, um eine sichere Kommunikation über HTTPS und andere verschlüsselte Protokolle zu gewährleisten. Der Key Store ermöglicht die Identifizierung und Authentifizierung, während der Trust Store das Vertrauen in die Gegenstelle sicherstellt. Hier die Unterschiede als Mindmap und als Tabelle:

„Die wichtigsten Unterschiede zwischen Trust Stores und Key Stores für Java und HTTPS“ weiterlesen

MAT2 (Metadata Anonymisation Toolkit 2) auch auf dem Raspberry Pi Zero geht Anonymisierung von Metadaten

MAT2, oh so fine,
Anonymizing metadata, a task of mine.
Protecting privacy, keeping data secure,
In the digital world, that’s for sure.

Open source power, freely shared,
A toolkit with features, so well-prepared.
Removing traces, hiding the signs,
MAT2 ensures privacy, line by line.

Metadata analysis, a thorough view,
Understanding what’s there, it will do.
Batch processing, efficient and fast,
Anonymizing files, a breeze to cast.

Command line or GUI, take your pick,
MAT2’s flexibility does the trick.
Research, storage, sharing too,
In digital forensics, it shines through.

So let MAT2 be your trusted mate,
Anonymizing metadata, sealing fate.
In a world of connectivity and information flow,
MAT2 keeps your privacy aglow.

-Thomas Wenzlaff

In der heutigen vernetzten Welt sind Metadaten zu einem wertvollen Gut geworden. Metadaten enthalten Informationen über andere Daten, wie beispielsweise den Ersteller, das Erstellungsdatum, den Standort und vieles mehr. Sie spielen eine wichtige Rolle in Bereichen wie der Datenspeicherung, dem Datenschutz und der Informationssicherheit. Angesichts der wachsenden Bedenken hinsichtlich des Schutzes personenbezogener Daten und der Privatsphäre ist es unerlässlich, geeignete Maßnahmen zu ergreifen, um die Anonymität von Metadaten zu gewährleisten. Hier kommt das MAT2 (Metadata Anonymisation Toolkit 2) ins Spiel, „MAT2 (Metadata Anonymisation Toolkit 2) auch auf dem Raspberry Pi Zero geht Anonymisierung von Metadaten“ weiterlesen

Software Bill of Materials (SBOM) mit CycloneDX Maven Plugin leicht erzeugen

In einer zunehmend vernetzten und digitalisierten Welt sind Softwarekomponenten und -anwendungen allgegenwärtig. Unternehmen verlassen sich auf komplexe Softwarelösungen, um ihre Geschäftsprozesse zu unterstützen und innovative Produkte und Dienstleistungen anzubieten. Angesichts der wachsenden Bedrohungen durch Sicherheitslücken und Compliance-Anforderungen wird die Transparenz über die verwendeten Softwarekomponenten immer wichtiger. Hier kommt die Software Bill of Materials (SBOM) ins Spiel, die eine detaillierte und strukturierte Auflistung aller Softwarekomponenten eines Projekts bietet. Vor einem Jahr hatte ich schon mal davon berichtet. In diesem Artikel werden die Vorteile einer SBOM genauer betrachtet.

Transparenz über Softwarekomponenten:
Eine SBOM ermöglicht eine umfassende Transparenz über die verwendeten Softwarekomponenten in einem Projekt. Sie listet alle Komponenten auf, einschließlich Open-Source-Software, Drittanbieterbibliotheken und proprietäre Codebasis. Dies schafft Klarheit über den Ursprung und die Lizenzierung der Software, was für die Einhaltung von Compliance-Anforderungen und die Vermeidung von rechtlichen Problemen von entscheidender Bedeutung ist.
„Software Bill of Materials (SBOM) mit CycloneDX Maven Plugin leicht erzeugen“ weiterlesen

Es gibt übrigens ein Tor-Browser update

Der Tor Browser ist ein kostenloser, Open-Source-Webbrowser, der für ein Höchstmaß an Anonymität und Privatsphäre beim Surfen im Internet entwickelt wurde. Der Name „Tor“ steht für „The Onion Router“, da der Browser auf einer Technologie namens Onion Routing basiert, die den Datenverkehr über ein Netzwerk von Servern leitet, um die Identität und den Standort des Nutzers zu verschleiern.

Der Tor Browser ist für eine Vielzahl von Plattformen verfügbar, einschließlich Windows, macOS, Linux und Android. Er kann einfach heruntergeladen und installiert werden, ohne dass spezielle Konfiguration oder technisches Fachwissen erforderlich ist.

Durch die Verwendung des Tor-Netzwerks ist der Browser in der Lage, den Datenverkehr des Nutzers zu verschlüsseln und durch mehrere Knotenpunkte zu leiten, bevor er die gewünschte Website erreicht. Dadurch wird es äußerst schwierig für Dritte, die tatsächliche Identität oder den Standort des Nutzers zu ermitteln.

Neben der Anonymität bietet der Tor Browser auch Funktionen wie das Blockieren von Tracker-Cookies, das Verhindern von Fingerprinting-Techniken und das automatische Löschen von Daten beim Beenden des Browsers.

Es ist wichtig zu beachten, dass der Tor Browser keine absolute Anonymität bietet und dass einige Websites möglicherweise bestimmte Aktivitäten blockieren oder einschränken, wenn sie den Datenverkehr von Tor-Knotenpunkten erkennen. Darüber hinaus kann die Verwendung von Tor auch die Geschwindigkeit des Browsing-Erlebnisses beeinträchtigen.

Insgesamt ist der Tor Browser eine wichtige Option für Nutzer, die ihre Privatsphäre schützen und ihre Anonymität im Internet wahren möchten. Es ist jedoch auch wichtig, sich der Grenzen und Einschränkungen bewusst zu sein und geeignete Vorsichtsmaßnahmen zu treffen, um sicherzustellen, dass die gewünschten Ergebnisse erzielt werden.

REST-Service absichern mit Helmet in 5 Minuten und 2 Zeilen Code

In diesem Beitrag, hatte ich gezeigt, wie man in 5 Min. einen REST-Service erstellen kann. Wer noch 5 Minuten über hat, kann den Service auch sicherer machen mit Helmet.

Helmet ist ein Express.js-Modul, das es Entwicklern ermöglicht, sicherheitsrelevante HTTP-Header für ihre Anwendungen zu setzen. Es ist einfach zu installieren und zu verwenden und kann in 2 Zeilen Code integriert werden.

Helmet setzt eine Reihe von HTTP-Headern, die die Sicherheit Ihrer Webanwendung erhöhen können, indem sie gefährliche Verhaltensweisen von Browsern und anderen Clients verhindern. Einige Beispiele für die von Helmet gesetzten Header sind:

  • X-XSS-Protection: Schaltet den XSS-Schutz (Cross-Site Scripting) im Browser ein.
  • X-Frame-Options: Verhindert, dass die Anwendung in einem Frame oder einem iframe geladen wird, was eine Art von Angriff namens „Clickjacking“ verhindert.
  • X-Content-Type-Options: Verhindert, dass der Browser die MIME-Type einer Ressource automatisch erkennt, was eine Art von Angriff namens „MIME-Sniffing“ verhindert.
  • Content-Security-Policy: Legt Regeln fest, die festlegen, welche Ressourcen von einer Seite geladen werden dürfen und welche nicht, was dazu beiträgt, Cross-Site-Scripting-Angriffe zu verhindern.

Es gibt noch viele andere Header die helmet setzt, um die Sicherheit zu erhöhen.

Diese Schritte sind nötig, in dem Verzeichnis von dem Projekt:

1. installieren von helmet (github.io)

2. Helmet im Code aufrufen

Wenn der REST-Server gestartet wird ohne helmet, sieht der Header so aus:

und mit helmet, es sind die Header gesetzt: „REST-Service absichern mit Helmet in 5 Minuten und 2 Zeilen Code“ weiterlesen

Twitter auch per Tor über Onion-Routing-Netzwerk (Darknet) erreichbar

Twitter ist auch im Darknet über diese Adresse erreichbar:

Also bin auch ich und jeder Twitter User im Darknet erreichbar, hier mein Link

Der Anonymisierungsdienst Tor ist weltweit und unabhängig von Internetblockaden erreichbar. Dann mal gleich den Tor-Browser updaten:
„Twitter auch per Tor über Onion-Routing-Netzwerk (Darknet) erreichbar“ weiterlesen

Hakrawler ein schneller golang Web-Crawler auf dem Pi im Docker

Wer einen Web-Crawler auf dem Pi laufen lassen will, kann sich mal den in Go geschiebenen hakrawler anschauen.

Blutzelle

Nach der Installation lassen wir das Programm im Docker (nur gegen eigene Server!) laufen, z.B. mit der Domäne http://kleinhirn.eu/

echo http://kleinhirn.eu | docker run –rm -i hakluke/hakrawler -subs -u

Hier ein Ausschnitt aus dem Dump:

„Hakrawler ein schneller golang Web-Crawler auf dem Pi im Docker“ weiterlesen

Einfaches generieren von Software Bill of Materials (SBOM) mit Maven CycloneDX Plugin

SBOM (Software Bill of Materials) ist eine Inventar Liste einer Codebasis (hier im Beispiel Java), einschließlich aller identifizierbaren Komponenten samt ihrer Lizenz- und Versionsinformationen sowie Angaben zu eventuell vorhandenen Sicherheitslücken.
SBOM soll helfen, den Softwarecode samt bekannter Bugs und lizenzrechtlicher Fallstricke in der Codebasis zu inventarisieren, um so Risiken auszumerzen.

Diese SBOM Listen im Json oder XML Format können leicht mit dem Maven Plugin CycloneDX erzeugt werden.

Das Plugin kann in der pom.xml an die Package-Phase wie folgt mit den default Werten angekoppelt werden:

Hier die erzeugten Beispiel SBOM für das TWBibel Projekt im XML Format (entfernt).

Und im JSON Format: