Microsoft: Patch Day-Updates werfen RC4-Krypto aus den Browsern
Mit dem gestrigen Patch Day hat Microsoft die Sicherheit seiner Produkte nicht nur verbessert, indem Fehler behoben wurden. Das Unternehmen hat jetzt auch die Unterstützung eines Verschlüsselungsverfahrens zurückgezogen, das längst nicht mehr als sicher angesehen werden kann.
Mit der Installation der veröffentlichten Updates ist es sowohl dem Internet Explorer als auch dem Edge nicht mehr möglich, mit dem RC4-Algorithmus umzugehen. Dabei handelt es sich um eine Stream-Cipher, die im Jahr 1987 entwickelt wurde und über lange Zeit von vielen Online-Angeboten auf verschlüsselten SSL-Verbindungen eingesetzt wurde.
Es gibt diverse Fälle, in denen in der letzten Zeit praktisch belegt werden konnte, dass sich die RC4-Kryptographie binnen Stunden oder Tagen aufbrechen lässt. Zwar gibt es keine Belege dafür, doch gehen führende Sicherheitsexperten inzwischen auch davon aus, dass der hochtechnisierte US-Geheimdienst NSA Datenströme, die mit dem Algorithmus kodiert wurden, sogar in Echtzeit in Klartext übersetzen kann.
Allerdings zeigte sich, dass dies zu einem echten Problem werden kann. Denn in den meisten Fällen gingen die Verbindungen zuletzt auf RC4 herunter, wenn Fehler beim Aufbau mit besseren Verfahren auftraten. Die ließen sich aber nicht hinreichend von einem Man-in-the-middle-Angriff unterscheiden. Daher habe man RC4 jetzt lieber komplett aus den Browsern ausgebaut, hieß es.
Download BoxCryptor - Verschlüsslung für die Cloud
Es gibt diverse Fälle, in denen in der letzten Zeit praktisch belegt werden konnte, dass sich die RC4-Kryptographie binnen Stunden oder Tagen aufbrechen lässt. Zwar gibt es keine Belege dafür, doch gehen führende Sicherheitsexperten inzwischen auch davon aus, dass der hochtechnisierte US-Geheimdienst NSA Datenströme, die mit dem Algorithmus kodiert wurden, sogar in Echtzeit in Klartext übersetzen kann.
Verwendung schon längst verboten
Bereits im Februar des letzten Jahres hatte die Internet Engineering Task Force (IETF) die weitere Verwendung des Verfahrens untersagt. Trotzdem dauerte es natürlich wieder lange, bis die meisten Webseiten-Betreiber dann auf besserer Krypto-Methoden umgestellt hatten. Microsofts Browser unterstützten RC4 daher bisher zwar schon nicht mehr als Standard-Modell, aber dann doch immerhin noch als Fallback-Option, damit die Nutzer im Zweifelsfall nicht vor einer gänzlich unbenutzbaren Seite stehen.Allerdings zeigte sich, dass dies zu einem echten Problem werden kann. Denn in den meisten Fällen gingen die Verbindungen zuletzt auf RC4 herunter, wenn Fehler beim Aufbau mit besseren Verfahren auftraten. Die ließen sich aber nicht hinreichend von einem Man-in-the-middle-Angriff unterscheiden. Daher habe man RC4 jetzt lieber komplett aus den Browsern ausgebaut, hieß es.
Download BoxCryptor - Verschlüsslung für die Cloud
Thema:
Neueste Downloads
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen