Google, Mozilla und Microsoft schaffen RC4 Anfang 2016 ab

Die Unternehmen Google, Microsoft und Mozilla haben sich auf eine Frist zur vollständigen Einstellung des Supports des Verschlüsselungsalgorithmus‘ RC4 geeinigt.

Mit dem steigenden Risiko von Cyberattacken auf RC4 wird dieser Algorithmus zunehmend unzuverlässiger, und führende Browseranbieter haben beschlossen, ihn restlos abzuschaffen – und zwar Ende Januar oder Anfang Februar kommenden Jahres.

Laut Angaben von Richard Barnes von Mozilla wird die Unterstützung von RC4 in Firefox mit der für den 26. Januar geplanten Veröffentlichung der Version 44 eingestellt werden. „Die Deaktivierung von RC4 bedeutet, dass Firefox sich nicht länger mit Servern verbinden kann, die die Verwendung von RC4 fordern“, erklärte der Mozilla-Vertreter auf dem Entwicklerforum des Unternehmens. „Die Daten, die uns vorliegen, zeigen, dass es von solchen Servern nicht mehr viele gibt, sie aber noch immer existieren, auch wenn die Firefox-Nutzer sie selten aufrufen.“

Adam Langley von Google erklärte, das die entsprechende Chrome-Version der breiten Öffentlichkeit im Januar oder Februar zur Verfügung stehen wird. Auf ein Datum legte er sich noch nicht fest, er sagte lediglich, dass die HTTPS-Server, die ausschließlich RC4 verwenden, abgeschaltet würden. „Wenn Chrome eine HTTPS-Verbindung aufbaut, ist der Browser verpflichtet, alles nur Mögliche zu tun, um die Sicherheit zu gewährleisten“, kommentierte Langley in einem Schreiben zum Thema an die Mailingliste security@chromium.org. „Zum gegenwärtigen Zeitpunkt entspricht die Verwendung von RC4 in HTTPS-Verbindungen nicht diesen Anforderungen, daher planen wir, die Unterstützung von RC4 in einer der nächsten Chrome-Versionen zu deaktivieren“.

Aktuell können alle stabilen Firefox-Versionen sowie Beta-Versionen RC4 ohne Einschränkungen anwenden, doch tatsächlich verwenden sie den Algorithmus nur für 0,08 und 0,05% der Verbindungen respektive. Für Chrome ist dieser Wert mit 0,13%. etwas höher. „Um ihre Arbeit fortsetzen zu können, müssen die Betreiber der entsprechenden Server wahrscheinlich nur geringfügige Änderungen in der Konfiguration für den Wechsel zu einer zuverlässigeren Cipher Suite vornehmen“, ist Langley überzeugt.

Microsoft hat das Ende des Supports für den veralteten Algorithmus in den Produkten Microsoft Edge und IE 11 angekündigt; die Unterstützung wird per Standard zu Beginn des kommenden Jahres deaktiviert sein. „Microsoft Edge und der Internet Explorer 11 verwenden RC4 nur beim Zurücksetzen des Protokolls TLS 1.2 oder 1.1 auf TLS 1.0“, erklärte David Walp, Senior Program Manager von Microsoft Edge. „Das Zurücksetzen auf das Protokoll TLS 1.0, das RC4 verwendet, erfolgt meist aus Versehen. Doch diese Situation, so unschuldig sie auch sein mag, ist kaum von einer „Man-in-the-Middle-Attacke“ zu unterscheiden. Aus diesem Grund wird RC4 Anfang 2016 standardmäßig für alle Anwender von Microsoft Edge und dem Internet Explorer unter Windows 7, Windows 8.1 und Windows 10 deaktiviert.“

Bereits mehr als zehn Jahre beklagen Forscher die Mängel von RC4 und verweisen dabei auf die Möglichkeit, willkürliche Werte auszuwählen, die für die Erstellung des Schlüsseltextes mit diesem Algorithmus verwendet werden. Mit ausreichend Zeit, Rechenressourcen und Zugriff auf eine gewisse Zahl von TLS-Anfragen ausgestattet, stellt es für einen Angreifer kein besonders großes Problem dar, einen solchen Text zu entschlüsseln.

Im Jahr 2013 eröffnete sich Daniel J. Bernstein infolge seiner Forschungen an der Universität Illinois die Möglichkeit, eine praktische Angriffsart gegen eine bekannte Sicherheitslücke in RC4 zu entwickeln, die die Kompromittierung von TLS-Sitzungen zum Ziel hatte. Das war einer der ersten Erfahrungsberichte dieser Art, der öffentlich gemacht wurde.

Im vergangenen Juli haben belgische Forscher einen Angriffstyp auf RC4 veröffentlicht, der es ermöglicht, cookie-Dateien des Opfers abzufangen und sie wesentlich schneller zu entschlüsseln als man es vorher für möglich gehalten hat.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.