Microsoft drängt auf Abschaltung von RC4-Krypto

Der Software-Konzern Microsoft hat Entwickler dazu aufgefordert, endlich auf den Einsatz zweier Verschlüsselungs-Algorithmen zu verzichten, die bereits seit einiger Zeit nicht mehr als sicher gelten. Konkret handelt es sich hier um die Stromverschlüsselung RC4 sowie das Hash-Verfahren SHA-1. Nachdem bereits mehrere Sicherheits-Experten in der letzten Zeit empfahlen, die beiden Technologien durch modernere Methoden zu ersetzen, hat sich nun auch Microsoft offiziell dieser Aufforderung angeschlossen.

Dass diese Äußerungen gerade jetzt kommen, hat im Wesentlichen zwei Gründe: Zum einen gab es in der letzten Zeit aus der Forschung neue Veröffentlichungen, bei denen alternative und besser funktionierende Angriffe auf RC4 beschrieben wurden und die auch zu realen erfolgreichen Attacken führten. Weiterhin gehört dieses Krypto-Verfahren zu jenen, bei denen der dringende Verdacht besteht, dass es dem US-Geheimdienst NSA sogar möglich ist, ihn in Echtzeit zu brechen.

Trotzdem ist das Verfahren im Netz weiterhin stark verbreitet. Bei einem Test über rund fünf Millionen Webseiten hinweg, die sich über verschlüsselte Verbindungen aufrufen lassen, war zwar nur bei 3,9 Prozent RC4 zwingend erforderlich, bei weiteren 43 Prozent kam das Verfahren aber immerhin bevorzugt zum Einsatz. Bei den übrigen Seiten wurde bereits auf die Methode verzichtet.

Microsoft empfiehlt den Anbietern, die noch immer auf das Verfahren setzen, nun dringend, auf TLS1.2 und AES-GCM umzusteigen. Aber auch die Nutzer selbst können hier einen Beitrag leisten und RC4 auf ihren Geräten deaktivieren, um einerseits ihre eigene Kommunikation besser zu schützen und auch Druck auf jene Webseiten-Betreiber auszuüben.

Wie das Unternehmen mitteilte, sind im neuen Internet Explorer 11 und in Windows 8.1 bereits entsprechende Grundeinstellungen vorhanden. Auf anderen Systemen kann das Verfahren durch einen Eingriff in die Registry komplett abgestellt werden, der in einem aktuellen Blog-Post beschrieben wird.