Die Verschlüsselungskomponente RC4, unter anderem im Einsatz bei https, ist in den letzten Tagen gleich mehrfach ins Licht der Öffentlichkeit gerückt.
Offensichtlich ist es der NSA gelungen, die Verschlüsselung in Echtzeit zu knacken und somit den Datenverkehr live mitlesen zu können. Microsoft hat jetzt reagiert und ermöglicht die vereinfachte Abschaltung in seinen Betriebssystemen.
BSI nutzt RC4 trotz eigener Warnung
Anfang dieser Woche hatte die FAZ berichtet, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits im Januar vor der schwachen Verschlüsselung von RC4 gewarnt habe, das Verfahren auf der eigenen Webseite aber noch einsetze.
Das BSI hat inzwischen reagiert und seine Server umgestellt, so dass der Einsatz von RC4 nicht mehr zwingend gefordert wird. Eine vollständige Abschaltung wird aber in näherer Zukunft nicht erfolgen, da ältere Systeme unter Umständen noch auf RC4-basierende Methoden angewiesen sind.
Microsoft vereinfacht Verfahren
Entwickler und Administratoren haben es mit der zum Patchday bekannt gewordenen Änderungen jetzt leichter, den Einsatz von RC4 auf den Server auszuschließen. Microsoft selbst rät sogar ausdrücklich zu diesem Schritt:
„In light of recent research into practical attacks on biases in the RC4 stream cipher, Microsoft is recommending that customers enable TLS1.2 in their services and take steps to retire and deprecate RC4 as used in their TLS implementations. Microsoft recommends TLS1.2 with AES-GCM as a more secure alternative which will provide similar performance.”
Auf eine kleine Parallele zum BSI und damit auf einen interessanten Nebenaspekt weist der Heise-Verlag hin:
„Bitter ist allerdings, dass Microsoft-Server selbst kein TLS 1.2 unterstützen und mit allen gängigen Browsern außer IE11 auf Windows 8.1 nur RC4 verwenden.“