Microsoft: Patch Day-Updates werfen RC4-Krypto aus den Browsern

Mit dem gestrigen Patch Day hat Microsoft die Sicherheit seiner Produkte nicht nur verbessert, indem Fehler behoben wurden. Das Unternehmen hat jetzt auch die Unterstützung eines Verschlüsselungsverfahrens zurückgezogen, das längst nicht mehr als sicher angesehen werden kann.
Verschlüsselung, Code, Kryptographie
Christian Ditaputratama (CC BY-SA 2.0)
Mit der Installation der veröffentlichten Updates ist es sowohl dem Internet Explorer als auch dem Edge nicht mehr möglich, mit dem RC4-Algorithmus umzugehen. Dabei handelt es sich um eine Stream-Cipher, die im Jahr 1987 entwickelt wurde und über lange Zeit von vielen Online-Angeboten auf verschlüsselten SSL-Verbindungen eingesetzt wurde.

Es gibt diverse Fälle, in denen in der letzten Zeit praktisch belegt werden konnte, dass sich die RC4-Kryptographie binnen Stunden oder Tagen aufbrechen lässt. Zwar gibt es keine Belege dafür, doch gehen führende Sicherheitsexperten inzwischen auch davon aus, dass der hochtechnisierte US-Geheimdienst NSA Datenströme, die mit dem Algorithmus kodiert wurden, sogar in Echtzeit in Klartext übersetzen kann.


Verwendung schon längst verboten

Bereits im Februar des letzten Jahres hatte die Internet Engineering Task Force (IETF) die weitere Verwendung des Verfahrens untersagt. Trotzdem dauerte es natürlich wieder lange, bis die meisten Webseiten-Betreiber dann auf besserer Krypto-Methoden umgestellt hatten. Microsofts Browser unterstützten RC4 daher bisher zwar schon nicht mehr als Standard-Modell, aber dann doch immerhin noch als Fallback-Option, damit die Nutzer im Zweifelsfall nicht vor einer gänzlich unbenutzbaren Seite stehen.

Allerdings zeigte sich, dass dies zu einem echten Problem werden kann. Denn in den meisten Fällen gingen die Verbindungen zuletzt auf RC4 herunter, wenn Fehler beim Aufbau mit besseren Verfahren auftraten. Die ließen sich aber nicht hinreichend von einem Man-in-the-middle-Angriff unterscheiden. Daher habe man RC4 jetzt lieber komplett aus den Browsern ausgebaut, hieß es.

Download BoxCryptor - Verschlüsslung für die Cloud
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 07:49 Uhr NiPoGi Mini PC 1024 GB(1TB) M.2 SSD, 12th Gen Intel Alder Lake-N100(bis zu 3.4 GHz), AK2 Plus 16 GB DDR4 Computer, Tower mit 2xHDMI/WiFi 5/BT 4.2/Gigabit Ethernet für Zuhause/BüroNiPoGi Mini PC 1024 GB(1TB) M.2 SSD, 12th Gen Intel Alder Lake-N100(bis zu 3.4 GHz), AK2 Plus 16 GB DDR4 Computer, Tower mit 2xHDMI/WiFi 5/BT 4.2/Gigabit Ethernet für Zuhause/Büro
Original Amazon-Preis
249,99
Im Preisvergleich ab
?
Blitzangebot-Preis
199,00
Ersparnis zu Amazon 20% oder 50,99
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!