Zum Inhalt springen Zur Navigation springen
Internet-Verschlüsselung: Aktuelles zu RC4

Internet-Verschlüsselung: Aktuelles zu RC4

Die Verschlüsselungskomponente RC4, unter anderem im Einsatz bei https, ist in den letzten Tagen gleich mehrfach ins Licht der Öffentlichkeit gerückt.

Offensichtlich ist es der NSA gelungen, die Verschlüsselung in Echtzeit zu knacken und somit den Datenverkehr live mitlesen zu können. Microsoft hat jetzt reagiert und ermöglicht die vereinfachte Abschaltung in seinen Betriebssystemen.

BSI nutzt RC4 trotz eigener Warnung

Anfang  dieser Woche hatte die FAZ berichtet, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits im Januar vor der schwachen Verschlüsselung von RC4 gewarnt habe, das Verfahren auf der eigenen Webseite aber noch einsetze.

Das BSI hat inzwischen reagiert  und seine Server umgestellt, so dass der Einsatz von RC4 nicht mehr zwingend gefordert wird. Eine vollständige Abschaltung wird aber in näherer Zukunft nicht erfolgen, da ältere Systeme unter Umständen noch auf RC4-basierende Methoden angewiesen sind.

Microsoft vereinfacht Verfahren

Entwickler und Administratoren haben es mit der zum Patchday bekannt gewordenen Änderungen jetzt leichter, den Einsatz von RC4 auf den Server auszuschließen. Microsoft selbst rät sogar ausdrücklich zu diesem Schritt:

„In light of recent research into practical attacks on biases in the RC4 stream cipher, Microsoft is recommending that customers enable TLS1.2 in their services and take steps to retire and deprecate RC4 as used in their TLS implementations. Microsoft recommends TLS1.2 with AES-GCM as a more secure alternative which will provide similar performance.”

Auf eine kleine Parallele zum BSI und damit auf einen interessanten Nebenaspekt weist der Heise-Verlag hin:

„Bitter ist allerdings, dass Microsoft-Server selbst kein TLS 1.2 unterstützen und mit allen gängigen Browsern außer IE11 auf Windows 8.1 nur RC4 verwenden.“

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.