Microsoft: Patch Day-Updates werfen RC4-Krypto aus den Browsern

Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0)
Mit dem gestrigen Patch Day hat Microsoft die Sicherheit seiner Produkte nicht nur verbessert, indem Fehler behoben wurden. Das Unternehmen hat jetzt auch die Unterstützung eines Verschlüsselungsverfahrens zurückgezogen, das längst nicht mehr als sicher angesehen werden kann.
Mit der Installation der veröffentlichten Updates ist es sowohl dem Internet Explorer als auch dem Edge nicht mehr möglich, mit dem RC4-Algorithmus umzugehen. Dabei handelt es sich um eine Stream-Cipher, die im Jahr 1987 entwickelt wurde und über lange Zeit von vielen Online-Angeboten auf verschlüsselten SSL-Verbindungen eingesetzt wurde.

Es gibt diverse Fälle, in denen in der letzten Zeit praktisch belegt werden konnte, dass sich die RC4-Kryptographie binnen Stunden oder Tagen aufbrechen lässt. Zwar gibt es keine Belege dafür, doch gehen führende Sicherheitsexperten inzwischen auch davon aus, dass der hochtechnisierte US-Geheimdienst NSA Datenströme, die mit dem Algorithmus kodiert wurden, sogar in Echtzeit in Klartext übersetzen kann.


Verwendung schon längst verboten

Bereits im Februar des letzten Jahres hatte die Internet Engineering Task Force (IETF) die weitere Verwendung des Verfahrens untersagt. Trotzdem dauerte es natürlich wieder lange, bis die meisten Webseiten-Betreiber dann auf besserer Krypto-Methoden umgestellt hatten. Microsofts Browser unterstützten RC4 daher bisher zwar schon nicht mehr als Standard-Modell, aber dann doch immerhin noch als Fallback-Option, damit die Nutzer im Zweifelsfall nicht vor einer gänzlich unbenutzbaren Seite stehen.

Allerdings zeigte sich, dass dies zu einem echten Problem werden kann. Denn in den meisten Fällen gingen die Verbindungen zuletzt auf RC4 herunter, wenn Fehler beim Aufbau mit besseren Verfahren auftraten. Die ließen sich aber nicht hinreichend von einem Man-in-the-middle-Angriff unterscheiden. Daher habe man RC4 jetzt lieber komplett aus den Browsern ausgebaut, hieß es.

Download
BoxCryptor - Verschlüsslung für die Cloud
Verschlüsselung, Kryptographie, Code Verschlüsselung, Kryptographie, Code Christian Ditaputratama (CC BY-SA 2.0)
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Bosch DIY Schlagbohrmaschine PSB 500 RE, Tiefenanschlag, Zusatzhandgriff, Koffer (500 Watt, max. Bohr-I: Holz: 25 mm, Beton: 10 mm)
Bosch DIY Schlagbohrmaschine PSB 500 RE, Tiefenanschlag, Zusatzhandgriff, Koffer (500 Watt, max. Bohr-I: Holz: 25 mm, Beton: 10 mm)
Original Amazon-Preis
42,50
Im Preisvergleich ab
42,50
Blitzangebot-Preis
35,99
Ersparnis zu Amazon 15% oder 6,51

Video-Empfehlungen

Tipp einsenden