Internet-Verschlüsselung: Aktuelles zu RC4

internet 08
News

Die Verschlüsselungskomponente RC4, unter anderem im Einsatz bei https, ist in den letzten Tagen gleich mehrfach ins Licht der Öffentlichkeit gerückt.

Offensichtlich ist es der NSA gelungen, die Verschlüsselung in Echtzeit zu knacken und somit den Datenverkehr live mitlesen zu können. Microsoft hat jetzt reagiert und ermöglicht die vereinfachte Abschaltung in seinen Betriebssystemen.

BSI nutzt RC4 trotz eigener Warnung

Anfang  dieser Woche hatte die FAZ berichtet, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits im Januar vor der schwachen Verschlüsselung von RC4 gewarnt habe, das Verfahren auf der eigenen Webseite aber noch einsetze.

Das BSI hat inzwischen reagiert  und seine Server umgestellt, so dass der Einsatz von RC4 nicht mehr zwingend gefordert wird. Eine vollständige Abschaltung wird aber in näherer Zukunft nicht erfolgen, da ältere Systeme unter Umständen noch auf RC4-basierende Methoden angewiesen sind.

Microsoft vereinfacht Verfahren

Entwickler und Administratoren haben es mit der zum Patchday bekannt gewordenen Änderungen jetzt leichter, den Einsatz von RC4 auf den Server auszuschließen. Microsoft selbst rät sogar ausdrücklich zu diesem Schritt:

„In light of recent research into practical attacks on biases in the RC4 stream cipher, Microsoft is recommending that customers enable TLS1.2 in their services and take steps to retire and deprecate RC4 as used in their TLS implementations. Microsoft recommends TLS1.2 with AES-GCM as a more secure alternative which will provide similar performance.”

Auf eine kleine Parallele zum BSI und damit auf einen interessanten Nebenaspekt weist der Heise-Verlag hin:

“Bitter ist allerdings, dass Microsoft-Server selbst kein TLS 1.2 unterstützen und mit allen gängigen Browsern außer IE11 auf Windows 8.1 nur RC4 verwenden.”

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.