Abo
  • Services:
Anzeige
Die Nachschlagephase von RC4 bei einem Alphabet der Größe eines Bytes.
Die Nachschlagephase von RC4 bei einem Alphabet der Größe eines Bytes. (Bild: Matt Crypto/Public Domain)

Erste Angriffe stoppen die Verbreitung nicht

Schon 2001 nutzte ein erster Angriff diese Berechenbarkeit aus. Er richtete sich gegen die WLAN-Verschlüsselung WEP. Der Vorgänger des heute üblichen WPA2-Standards nutzte zur Absicherung des Netzwerkes RC4. Da beim Aufbau einer WLAN-Verbindung häufig berechenbare, wiederkehrende Informationen verschickt werden, gelang es Angreifern, aus der Masse der übertragenen Daten das Passwort zu extrahieren.

Anzeige

Dieser Angriff führte früh zu massiven Schäden. Hackern gelang es im Jahr 2005 zum Beispiel, in das Firmennetzwerk des US-Unternehmens TJ Maxx einzudringen und dort über mehrere Jahre unerkannt Kundendaten und Kreditkarten-Informationen zu entwenden. Sie nutzten dabei das mit WEP unzureichend abgesicherte WLAN-Netzwerk der Firma aus, um ihre Schadsoftware zu installieren. Schätzungen von Branchenkennern zufolge verursachte der Angriff einen Schaden von bis zu einer Milliarde US-Dollar.

Schlüsselstrom beschneiden, Sicherheit verbessern

Der 2001 aufgedeckte Angriff gegen WEP führte jedoch nicht dazu, dass der Einsatz von RC4 flächendeckend eingestellt wurde. Der Angriff wurde von Sicherheitsexperten vor allem einer mangelhaften Implementation des Verschlüsselungsstandards zugeschrieben.

Um diese ersten Angriffe gegen RC4 abzuwehren, empfahl RSA Security im Jahr 2011, bei der Implementierung einer RC4-Verschlüsselung die ersten 256 Zeichen des Schlüsselstroms zu streichen, da hier besonders häufig wiederkehrende Muster erkennbar waren. Alternativ sollten Nutzer den Schlüsselstrom mit einem Verfahren wie MD5 hashen. Unter diesen Voraussetzungen, so die Firma damals, sei der Algorithmus sicher.

Dieses Vorgehen schwächte die Probleme tatsächlich ab, es funktioniert jedoch nicht unter allen Umständen. Dieser Versuch zur Absicherung steht einem wichtigen Einsatzgebiet von RC4 im Weg, nämlich dem im Rahmen von TLS. Denn die TLS-Spezifikationen erschweren einen solchen Eingriff.

RC4 profitiert vom Beast-Angriff

RC4 profitierte allerdings im Jahr 2011 von einem Angriff auf die in TLS verwendeten Blockchiffren, etwa AES. Im September des Jahres stellten die Sicherheitsforscher Juliano Rizzo und Thai Duong einen praktikablen Angriff auf das TLS-Protokoll vor. Die Beast-Attacke (Browser Exploit Against SSL/TLS) nutzte Fehler, die bei der Verschlüsselung von Webtraffic mit Blockchiffren entstanden, um mittels eines Man-in-the-Middle-Angriffs geheime Daten auszulesen.

Da gegen die in SSL genutzte Implementierung von RC4 zu diesem Zeitpunkt noch kein praktikabler Angriff vorlag, empfahlen zahlreiche Sicherheitsforscher, RC4 anstelle der angegriffenen Blockchiffren zu nutzen. Dies führte zu einer enormen Zunahme der Verwendung von RC4. Schätzungen zufolge betrug der Anteil zeitweise mehr als 50 Prozent des mit TLS/SSL verschlüsselten Traffics.

Der Kryptograph Matthew Green warnte bereits 2011 in seinem Blog davor, die Verschlüsselung einfach auf RC4 umzustellen und verwies auf ein Beispiel aus der Erziehung seiner Kinder. "Habe ich schon mal jemanden gesehen, der sich ein Auge ausgestochen hat, weil er mit einer Schere in der Hand gerannt ist? Nein. Und trotzdem warne ich meine Kinder und sage: Rennt nicht mit der Schere in der Hand um den Pool."

Der Anfang vom Ende: ein praktikabler Angriff

Alle bislang vorgestellten Angriffe gegen RC4 wiesen erfolgreich nach, dass der Algorithmus grundlegende Schwächen hat. Einen in der Praxis unter realen Bedingungen praktikablen Angriff gab es bis zu diesem Zeitpunkt jedoch nicht. Das änderte sich im Jahr 2013.

In dem Jahr stellte ein Team um den Verschlüsselungsexperten Dan Bernstein einen in der Praxis implementierbaren Angriff auf RC4 in TLS-Verbindungen vor. Das Team nutzte die seit langem bekannten Regelmäßigkeiten im Cipher-Text aus. Es gelang ihm nachzuweisen, dass es auch nach den ersten 256 Zeichen Regelmäßigkeiten im chiffrierten Text gibt.

Eigentlich sind mehrere Gigabyte an abgefangenen Daten erforderlich, um den Angriff erfolgreich durchzuführen. Doch da Internetprotokolle eine hohe Standardisierung mit vielen wiederkehrenden Elementen aufweisen, reichen unter Umständen schon weniger Daten aus - das Team um Bernstein spricht von 2 hoch 24 Verbindungen. Damit seien bestimmte Webapplikationen verwundbar.

Nach neuesten Erkenntnissen ist jedoch nicht nur die Implementierung von RC4 in Webdiensten angreifbar, sondern auch im E-Mail-Protokoll IMAP. Auch dies geht auf die ursprüngliche Schwachstelle des Algorithmus zurück. Da bei IMAP bereits an früherer Stelle im Datenstrom ein Passwort übertragen wird, reduziert sich die Anzahl mitzuhörender Pakete enorm. Statt mehrerer Milliarden Pakete müssten jetzt nur noch 60 Millionen Pakete mitgelesen werden, so das Team um Kenny Paterson. Diese hohe Zahl an Aufrufen können Angreifer erreichen, indem sie Nutzer auf eine bösartige präparierte Webseite locken, die dann eine Vielzahl an Aufrufen generiert.

Doch damit nicht genug: Angeblich kann der Geheimdienst NSA RC4 sogar in Echtzeit knacken.

 Verschlüsselung: Der lange Abschied von RC4Entschlüsselung in Echtzeit? 

eye home zur Startseite
crypt0 21. Jul 2015

Jap, meine Implementierungen sind reiner Java-Code, keine nativen Aufrufe etc. Github...

Dünnbier 18. Jul 2015

@tritratrulala Gute Algorithmen wie Twofish und Serpent werden ignoriert weil sie zu...



Anzeige

Stellenmarkt
  1. Schwarz Zentrale Dienste KG, Neckarsulm
  2. BG-Phoenics GmbH, München
  3. ARRK ENGINEERING, München
  4. Robert Bosch GmbH, Berlin


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. (u. a. John Wick, Pulp Fiction, Leon der Profi, Good Will Hunting)

Folgen Sie uns
       


  1. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  2. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  3. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  4. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  5. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  6. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  7. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  8. Oracle

    Java SE 9 und Java EE 8 gehen live

  9. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch

  10. Streaming

    Update für Fire TV bringt Lupenfunktion



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

  1. Re: K(n)ackpunkt Tastaturlayout

    atrioom | 03:28

  2. Re: Und bei DSL?

    bombinho | 03:21

  3. Re: Geringwertiger Gütertransport

    DASPRiD | 03:07

  4. Re: Absicht?

    exxo | 02:46

  5. Billgphones tuns auch!

    AndreasOZ | 02:11


  1. 17:43

  2. 17:25

  3. 16:55

  4. 16:39

  5. 16:12

  6. 15:30

  7. 15:06

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel