Startseite Beiträge
Projekte Über uns

Pfad: Startseite > Ankündigungen > PSA: Security improvements on the infrastructure

PSA: Security improvements on the infrastructure

Written by: Vormrodo | Published on: February 18th 2026, 12:30 o'clock (Europe/Berlin) | Distribution: Fragmented | Language(s): German, English

DE:
An alle Interessierte und Nutzer der Projekte,
mit dem Lauf der Zeit und den Fortschritten in der Technologie kommen auch immer neue Gefahren und raffiniertere Angriffsmethoden dazu. Über die letzten drei Jahrzehnte mussten beispielsweise kryptographische Algorithmen mit höheren Schlüssellängen im Internet adaptiert werden, um mit der generell stärker werdenden Rechenleistung von Computern aufzuholen und Brüche in der Verschlüsselung zu vermeiden. Auch der Schutz vor Lauschangriffen braucht mit der Entstehung komplexerer Angriffsmethoden immer wieder Neuerungen.

Als Vormrodian Projects achten wir sehr auf die Sicherheit unserer Dienste und unserer Nutzer, weshalb wir aktiv daran arbeiten, mögliche Angriffsflächen weitgehend zu reduzieren und neuen Schwachstellen entgegenzutreten. Cyberkriminelle und Staatsakteure stellen beides eine Gefahr für unsere Infrastruktur dar und eine Kaperung von unserem Datenverkehr wäre durch beide gleichgültig katastrophal.
Diesbezüglich haben wir nun einige Sicherheitspraktiken und Verbesserungen unternommen, um mit den gegenwärtigen Empfehlungen und Cybersicherheitsstandards aufzuholen. Folgendes ist geschehen:

  • Verbesserung der Verschlüsselung mit TLS:
    Die Schlüssellänge für unsere TLS-Zertifikate wurde von 2048 auf 4096 bits erhöht (Algorithmus: RSA). RSA-Schlüssel mit einer Länge von 2048 bits gelten als veraltet, da sie mit der Länge in wenigen Jahren nicht mehr mit moderner Rechenleistung standhalten könnte. Diese Erhöhung sorgt dafür, dass die derzeit empfohlene Schlüssellänge von 4096 bits, welche für eine weitaus längere Zeit ungebrochen bleiben kann, genutzt wird. Hinweis: Diese Verbesserung stellt keinen Schutz vor Quantencomputern dar, da es noch keine Post-Quanten-Verschlüsselung gibt, mit welcher TLS-Zertifikate ausgestellt werden. Sobald dies existiert, holen wir auf.

  • Monitoring von unseren TLS-Zertifikaten:
    Um staatlichen MITM-Angriffen auf verschlüsselte Verbindungen vorzubeugen und diese rechtzeitig zu erkennen, nutzen wir nun einen Monitoring-Dienst (siehe https://certificate.transparency.dev/monitors/), der uns durch das Certificate Transparency (CT) Standart über alle Veränderungen an unseren TLS-Zertifikaten informiert. Maliziöse Ausstellungen falscher TLS-Zertifikate, die wir nicht authorisiert haben, können somit ertappt werden.

  • Projekt Conexizan:
    Wir haben auf unserem XMPP-Server einige Erweiterungen (Module) konfiguriert, die die Sicherheit während des Anmeldeverfahrens auf Basis bekanntgewordener Schwächen (siehe https://monal-im.org/post/00004-sasl/) garantiert. Zum Beispiel ist der Server dadurch vor Downgrade-Attacken sicher, die dazu dienen würden, eine unsichere TLS-Version für Verbindungen zwischen Nutzer und Server zu wählen.
    Ebenso ist es Nutzern nun möglich, auf kompatiblen Clientsoftwares die Kanalbindungs-Funktion zu aktivieren, die dazu dient, einige MITM-Angriffe zu erkennen und Nutzeranmeldungen folglich fehlschlagen zu lassen, damit keinerlei Daten an die Angreifer gelangen.
    MITM (Man-in-the-Middle) ist ein Angriffstyp, bei der ein Angreifer versucht, sich zwischen zwei Datenverkehrsknoten zu stellen und die Daten mitzulesen. Ein solcher Angriff ist vor mehr als zwei Jahren gegen den russischen XMPP-Server Jabber.ru erfolgt (siehe https://notes.valdikss.org.ru/jabber.ru-mitm/). Vermutet wird, dass Strafverfolgungsbehörden dahinter gesteckt haben.

    • PGP-Signatur dieser Ankündigung