News

Neue Cipher Suites gewährleisten Perfect Forward Secrecy in Windows

Microsoft hat seiner standardmäßigen Prioritätenliste zur Cipher-Auswahl vier Cipher Suites hinzugefügt – ein Schritt, der dem Betriebssystem Perfect Forward Secrecy, PFS, bringt.

Gegenwärtig steht das Update 3042058 im Download-Center von Microsoft zum Download bereit, was Anwendern die Möglichkeit gibt, die Cipher zu testen, bevor sie sie in ihren IT-Umgebungen implementieren. Das Update ist verfügbar für 32- und 64-Bit Windows 7, 8 und 8.1 sowie für Windows Server 2008 R2, Windows Server 2012 und 2012 R2.

„Das Update fügt der voreingestellten Liste in allen angegebenen Betriebssystemen die folgenden Cipher Suites hinzu und enthält Verbesserungen der Prioritätenauswahl der Cipher Suite“, schreibt Microsoft. Es geht dabei um:

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

Die Ergänzung von Perfect Forward Secrecy in Windows ist ein wichtiger Schritt voran, insbesondere im Zusammenhang mit dem Wunsch vieler großer technologischer Provider nach den Enthüllungen Edward Snowdens über die Bespitzelung durch die NSA und die GCHQ alles zu verschlüsseln. PFS bedeutet, dass neue geheime Schlüssel für jede Sitzung definiert werden, das heißt, wenn ein Schlüssel kompromittiert wurde, ist nur die eine konkrete Session bedroht. Um jede Sitzung anzugreifen, muss jeder Schlüssel einzeln attackiert werden.

„PFS ist dann besonders wichtig, wenn Cyberkriminelle mit schier unbegrenzten Ressourcen es tatsächlich fertig bringen, Chiffrierungsschlüssel abzufangen und zu knacken“, sagte Craig Young, Forscher bei Tripwire.

Auch wenn die Experten dem Vorstoß Microsofts in Richtung PFS zum größten Teil applaudieren, so hinkt das Unternehmen zeitlich doch hinterher. Google beispielsweise integrierte diese Möglichkeit schon vor fast drei Jahren in seine Produkte. Andere, darunter Dropbox, Facebook, Twitter und Tumblr unterstützen PFS seit mindestens einem Jahr. Microsoft führte PFS letztes Jahr immerhin in seinen Web-E-Mail-Dienst Outlook.com ein.

Auch wenn PFS ein Schritt nach vorn ist, so ist es doch nicht ideal. Es vermindert die Performance aufgrund hoher Anforderungen an die Rechenleistung, worauf Microsoft auch in einer Infoschrift hinweist. Das Unternehmen ruft die Administratoren von Windows-Servern auf zu testen, welche Sprünge im Ressourcenverbrauch mit TLS/SSL verschlüsselte Verbindungen auf Server- und auf Client-Seite hervorrufen. Kenneth White, Leiter des Open Crypto Audit Project (OCAP), erklärte, dass der Einsatz dieser Cipher Suites durch Microsoft, wie z.B. DHE anstatt ECDHE, das Performance-Problem verschärfen könnte.

„Das ist ein wichtiger Meilenstein, doch ihre Auswahl ist ein bisschen verwirrend“, sagte White. „Erstens sind die Forward Secrecy Suites (DHE) ephemer, doch sie verwenden keine elliptischen Kurven, und gehören tatsächlich zu den am wenigsten effektiven PFS-Paketen. Es ist auch gut, die Einführung von Authentifizierungsmodi zu sehen (AEAD anstatt GCM). Das ist natürlich ein Fortschritt, doch es wäre schön, ephemere Diffie-Hellman ECC-Suites auf den Plänen für die nächste Zukunft zu sehen.“

White erklärte, dass die Verwendung von DHE anstelle von ECDHE in einigen Fällen einen Unterschied zwischen einem zweifachen und achtfachen Abfall der Leistungsstärke ausmache.

Wenn die Belastung auf den Server steigt, ist die maximale Zahl gleichzeitiger Verbindungen stark reduziert“, sagte White. Auch Clients wie Webbrowser und API-Clients werden bei Verwendung von DHE den Prozessor stärker belasten.

Experten haben immer wieder darauf hingewiesen, dass PFS als minimaler kryptografischer Standard angewendet werden sollte, insbesondere in neuen Anwendungen. Dasselbe gilt für HSTS oder HTTP Strict Transport Security – ein Sicherheitspolicy-Header, der Browsern anzeigt, sich nur über HTTPS zu verbinden.

„Die Verwaltung unserer Kryptografie durch das Löschen von alten Ciphern oder, in diesem Fall, durch das Hinzufügen neuer, ist ein guter organisatorischer Schritt für Microsoft”, sagte Jon Rudolph, leitender Softwareingenieur bei Core Security. „Seine Cipher Suites zu kennen ist so, wie zu wissen, was man isst: Es ist das Fundament für Vertrauen. Und es lohnt sich, das Etikett zu lesen.“

Quelle: Threatpost

Neue Cipher Suites gewährleisten Perfect Forward Secrecy in Windows

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach