• IT-Karriere:
  • Services:

Nur Abschalten von RSA-Verschlüsselung hilft wirklich

Die Entwickler des TLS-Protokolls hatten sich nach Bleichenbachers Angriff entschieden, Gegenmaßnahmen zu implementieren, statt die verwundbaren Verschlüsselungsmodi auszumisten. Die Gegenmaßnahmen wurden dabei mit jeder TLS-Version komplizierter. Erst TLS 1.3 behebt diesen Fehler und lässt diese problematischen Verschlüsselungsmodi nicht mehr zu.

Stellenmarkt
  1. Bruno Bader GmbH + Co.KG, Pforzheim
  2. Hottgenroth Software GmbH & Co. KG, Köln

Doch hier kommt ein weiteres Problem zum Tragen: Selbst wenn TLS 1.3 zum Einsatz kommt - solange die RSA-Verschlüsselung in alten Protokollen unterstützt wird sind Cross-Protokoll-Angriffe denkbar.

RSA-Verschlüsselung sollte abgeschaltet werden

Selbst Server, die in unseren Tests nicht als verwundbar auftauchten, sind möglicherweise unsicher. Denn neben den Angriffen über verschiedene Fehler und Verhaltensweisen des Servers können auch Timing-Angriffe genutzt werden, um einen Bleichenbacher-Angriff durchzuführen. Dazu gab es beispielsweise 2014 eine Forschungsarbeit. Wegen bestimmter Eigenschaften der üblichen Bignum-Bibliotheken kann man davon ausgehen, dass Timing-Probleme weiterhin vorhanden sind, auch in populären Implementierungen wie OpenSSL.

Das sicherste wäre, die RSA-Verschlüsselung ganz abzuschalten und nur noch Verschlüsselungsmethoden mit Forward Secrecy und einem Diffie-Hellman-Schlüsselaustausch - heutzutage üblicherweise mit elliptischen Kurven - zu verwenden. Alle modernen Clients unterstützen das und auf Webservern gibt es nur noch wenig Traffic, der die alten RSA-Verschlüsselungsmodi nutzt.

Golem Akademie
  1. Ansible Fundamentals: Systemdeployment & -management
    26.-30. April 2021, online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Es ist an der Zeit, den uralten Verschlüsselungsstandard PKCS #1 v1.5 auszumisten - und auf sicherere Methoden zu setzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 RSA im Standard PKCS #1 v1.5 angreifbar
  1.  
  2. 1
  3. 2
  4. 3
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. IT-Jobs
    Sechs Warnsignale bei Bewerbungsgesprächen
  2. Überwachung
    Whatsapp verrät Online-Status an Stalker
  3. Amazon
    Gehaltsliste legt geringe Bezahlung von Angestellten offen
  4. Landgericht
    Vodafone darf für verlorene Router keinen Neupreis verlangen
  5. Fileserver
    FTP sollte mit 50 endlich in Rente gehen
Anzeige
Top-Angebote
  1. 1.799€
  2. mit 499€ neuer Bestpreis auf Geizhals
  3. (u. a. Stellaris - Galaxy Edition für 4,19€, Stellaris - Distant Stars Story Pack (DLC) für 2...
  4. 3.999€ statt 4.699€
Kommentarübersicht
Re: Linux ist so extrem unsicher
pEinz 14. Dez 2017

Linux == Kernel Komm da erstmal ran

Re: Letsencrypt - Was muss ich tun
Anonymer Nutzer 14. Dez 2017

https://blog.cloudflare.com/do-the-chacha-better-mobile-performance-with-cryptography...

Re: Kann mir das jemand erklären?
VigarLunaris 14. Dez 2017

An den Erklärungen merkt man schon das Problem mit solcherlei Fehlern. Es wird...

Bei Angrif und Bleichenbach fällt mir nur das ein
wurstfett 13. Dez 2017

https://www.youtube.com/watch?v=R-nQDA_RnOk "Angst kenn eich ney" Geenau der Angriff ist...

Folgen Sie uns
       
Outriders angespielt

Im Video stellt Golem.de das von People Can Fly entwickelte Actionspiel Outriders vor.

Outriders angespielt Video aufrufen
Arbeit
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden
ERP
Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock

    Elektroauto
    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /