NSA-Enthüllungen Microsoft schaltet unsichere Verschlüsselung RC4 ab

Über die veraltete Verschlüsselungstechnik RC4 besteht der Verdacht, dass der US-Geheimdienst NSA sie in Echtzeit knacken kann. Mit einem Softwareupdate will Microsoft den Standard nun aus Windows tilgen. Auch das Bundesamt für Sicherheit in der Informationstechnik verabschiedet sich von RC4.

Microsoft-Hauptquartier in Redmond: Veraltete Verschlüsselungstechnik
Getty Images

Microsoft-Hauptquartier in Redmond: Veraltete Verschlüsselungstechnik


Im monatlichen Patchday von Microsoft wird ein nicht zuletzt durch die Enthüllungen von Edward Snowden bekannt gewordenes Sicherheitsproblem berührt: die veraltete Verschlüsselungstechnik RC4. Nutzern ist sie durch Standards wie https, WEP oder WPA bekannt. Dieser Algorithmus gilt schon seit längerem nicht mehr als verlässlich, weshalb mehrere Sicherheitsexperten zum RC4-Verzicht drängten. Dem schließt sich Microsoft nun an. In Microsofts Sicherheitsempfehlung 2868725 wird nun zum Herunterladen und Installieren des entsprechenden Updates aufgefordert, das RC4 entfernt.

Beim Windows-Update wird RC4 bei Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT abgeschaltet. Wie wichtig diese Nachrüstung ist, zeigt der Umstand, dass der Standard im Netz sehr weit verbreitet ist. Laut "Winfuture" war bei einem Test von fünf Millionen Websites zwar nur bei 3,9 Prozent RC4 zwingend erforderlich. Doch weitere 43 Prozent setzten nach wie vor bevorzugt auf das Verfahren.

Zu denen, die bereits umgestellt haben, gehört seit Mittwoch auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die staatlichen Sicherheitstechniker rüsteten die amtseigenen Server und die von bund.de derart um, dass RC4-Verschlüsselungen nicht mehr akzeptiert werden. Wie "Heise" berichtet, besteht dagegen im besonders sensiblen Bereich des Online-Bankings noch gehöriger Nachholbedarf. Bis in jüngste Zeit setzten noch viele Banken auf das unsichere Verfahren. Grund sei die Zusammenarbeit mit dem IT-Dienstleister Fiducia, der bei den von ihm betreuten Webseiten, etwa von Volksbanken und Raiffeisenbanken, einzig auf RC4 setzte.

In einem Update berichtet Heise am Donnerstagvormittag jedoch: "Auch die Volksbanken respektive Fiducia haben nachgebessert."

meu



insgesamt 13 Beiträge
Alle Kommentare öffnen
Seite 1
Intranuovo 14.11.2013
1. und danach?
Mal ganz ehrlich: Wenn NSA und der Rest der Geheimdienste weltweit ihren Job auch nur halbwegs richtig machen, wissen sie doch schon wie die neuen Verschlüsselungstechnologien aufgebaut sind und wie man sie aushebeln kann, bevor sie als Serienprodukt auf dem Markt sind. Genau da liegt doch die Kernkompetenz von Geheimdiensten...
felisconcolor 14.11.2013
2. Ich weiss auch wie
ein Ottomotor funktioniert, aber ihn nachbauen wird für mich schon etwas schwieriger. Die Funktion aller Verschlüsselungsmethoden ist bekannt, daran ist nichts schlimmes. Es geht halt nur darum ob sich das Ergebnis der Verschlüsselung so einfach Entschlüsseln lässt. Sie müssen bei heut üblichen Verschlüsselungen nämlich die beiden Primzahlenfaktoren einer riesig grossen Zahl ermitteln. Beispiel: riesig grosse Zahl hier 15 Primfaktoren hier 3 und 5 das war einfach aber jetzt denken sie einfach mal in anderen Dimensionen. Das Verfahren ist bekannt und wie sie sehen auch ziemlich einfach. Aber es nutzt ihnen im Grunde gar nichts.
mattijoon 14.11.2013
3. Doch es macht Sinn
Zitat von IntranuovoMal ganz ehrlich: Wenn NSA und der Rest der Geheimdienste weltweit ihren Job auch nur halbwegs richtig machen, wissen sie doch schon wie die neuen Verschlüsselungstechnologien aufgebaut sind und wie man sie aushebeln kann, bevor sie als Serienprodukt auf dem Markt sind. Genau da liegt doch die Kernkompetenz von Geheimdiensten...
Stoppen kann man die Geheimdienste wahrscheinlich nicht. Aber man kann es ihnen schwieriger machen, so dass sie mehr Ressourcen, Geld und Zeit aufwenden muessen um den von Alexander beschworenen "Heuhaufen" zu bekommen. Wer die Totale Information will, sollte sie zumindest nicht zum Nulltarif bekommen....
Henry.H 14.11.2013
4. weiß jemand hier...
... wie sicher das neue Fox Mobile Betriebssystem ist?
smarty79 14.11.2013
5. Verfahren müssen eben allgemein bekannt sein
Zitat von IntranuovoMal ganz ehrlich: Wenn NSA und der Rest der Geheimdienste weltweit ihren Job auch nur halbwegs richtig machen, wissen sie doch schon wie die neuen Verschlüsselungstechnologien aufgebaut sind und wie man sie aushebeln kann, bevor sie als Serienprodukt auf dem Markt sind. Genau da liegt doch die Kernkompetenz von Geheimdiensten...
Das ist ja genau die Gefahr von "Security bei Obscurity": Wenige, die Einblick das Verfahren haben, können es knacken, während die Unbekanntheit des Verfahrens als Sicherheit verkauft wird. Genau das wiederum ist ja das schöne an AES, welches die Alternative zu RC4 darstellt: Das Verfahren ist seit jeher bekannt und jeder, der will, kann versuchen es zu knacken. Was auch bisher schon viele ohne durchschlagenden Erfolg versucht haben. Die Sicherheit muss aus dem System und eben nicht aus der Bekanntheit des Systems kommen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.