Ter de retirar centenas de milhares de certificados deve ser amargo. Mas é especialmente doloroso quando o certificado está técnica e oficialmente livre de erros – mas é inválido. No podcast, Christopher explica por que a autoridade de certificação suíça SwissSign teve que revogar quase meio milhão de certificados S/MIME e, enquanto isso, quais problemas de certificado a D-Trust continua tendo. Sylvester, por outro lado, mais uma vez retomou o progresso do Google na quebra de criptografia usando computadores quânticos, o que foi comprovado por evidências de conhecimento zero. Porque o progresso pode ser real, mas as evidências são falhas. As pessoas inteligentes da Trail of Bits usam isso para “provar” seu próprio progresso, ainda maior – mas fictício. Uma boa lição sobre os pontos fortes e fracos das provas de conhecimento zero.
Leia mais depois do anúncio
Outra coisa sobre a “vulnerabilidade” do NIST é adicionar o ID da vulnerabilidade, o número CVE, com mais informações. O NIST não se considera mais capaz de lidar com a enxurrada de CVEs e agora filtra os CVEs que são adicionais com informações úteis e que não usam uma lista de critérios – que são apenas parcialmente conhecidos pelos hosts. “Não programado” é um rótulo bastante eufemístico para esse status.
O episódio também fornece feedback divertido ao ouvinte sobre uma variedade de tópicos: um mantenedor do vim conta ao anfitrião como um relatório de bug gerado por IA está arruinando as férias; As outras duas pessoas explicaram se o sistema PLM (Product Lifecycle Management) está correto e por que muitas vezes não é operado isoladamente e também protegido. Ele também cobre as armadilhas das operações do servidor de e-mail, as armadilhas da leitura de e-mails (HTML), as armadilhas dos palavrões em podcasts e alguns outros tópicos.
O episódio atual de “Password – the heise security podcast” está disponível para ouvir em todas as plataformas desde a manhã de quarta-feira.
(olhos)
