Erste Angriffe stoppen die Verbreitung nicht

Schon 2001 nutzte ein erster Angriff diese Berechenbarkeit aus. Er richtete sich gegen die WLAN-Verschlüsselung WEP. Der Vorgänger des heute üblichen WPA2-Standards nutzte zur Absicherung des Netzwerkes RC4. Da beim Aufbau einer WLAN-Verbindung häufig berechenbare, wiederkehrende Informationen verschickt werden, gelang es Angreifern, aus der Masse der übertragenen Daten das Passwort zu extrahieren.

Stellenmarkt
  1. PHP Software Entwickler (m/w/x)
    über grinnberg GmbH, Raum Stuttgart, deutschlandweit
  2. Data Scientist (w/m/d)
    dmTECH GmbH, Karlsruhe
Detailsuche

Dieser Angriff führte früh zu massiven Schäden. Hackern gelang es im Jahr 2005 zum Beispiel, in das Firmennetzwerk des US-Unternehmens TJ Maxx einzudringen und dort über mehrere Jahre unerkannt Kundendaten und Kreditkarten-Informationen zu entwenden. Sie nutzten dabei das mit WEP unzureichend abgesicherte WLAN-Netzwerk der Firma aus, um ihre Schadsoftware zu installieren. Schätzungen von Branchenkennern zufolge verursachte der Angriff einen Schaden von bis zu einer Milliarde US-Dollar.

Schlüsselstrom beschneiden, Sicherheit verbessern

Der 2001 aufgedeckte Angriff gegen WEP führte jedoch nicht dazu, dass der Einsatz von RC4 flächendeckend eingestellt wurde. Der Angriff wurde von Sicherheitsexperten vor allem einer mangelhaften Implementation des Verschlüsselungsstandards zugeschrieben.

Um diese ersten Angriffe gegen RC4 abzuwehren, empfahl RSA Security im Jahr 2011, bei der Implementierung einer RC4-Verschlüsselung die ersten 256 Zeichen des Schlüsselstroms zu streichen, da hier besonders häufig wiederkehrende Muster erkennbar waren. Alternativ sollten Nutzer den Schlüsselstrom mit einem Verfahren wie MD5 hashen. Unter diesen Voraussetzungen, so die Firma damals, sei der Algorithmus sicher.

Golem Karrierewelt
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    03.06.2022, virtuell
  2. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    22.-24.08.2022, Virtuell
Weitere IT-Trainings

Dieses Vorgehen schwächte die Probleme tatsächlich ab, es funktioniert jedoch nicht unter allen Umständen. Dieser Versuch zur Absicherung steht einem wichtigen Einsatzgebiet von RC4 im Weg, nämlich dem im Rahmen von TLS. Denn die TLS-Spezifikationen erschweren einen solchen Eingriff.

RC4 profitiert vom Beast-Angriff

RC4 profitierte allerdings im Jahr 2011 von einem Angriff auf die in TLS verwendeten Blockchiffren, etwa AES. Im September des Jahres stellten die Sicherheitsforscher Juliano Rizzo und Thai Duong einen praktikablen Angriff auf das TLS-Protokoll vor. Die Beast-Attacke (Browser Exploit Against SSL/TLS) nutzte Fehler, die bei der Verschlüsselung von Webtraffic mit Blockchiffren entstanden, um mittels eines Man-in-the-Middle-Angriffs geheime Daten auszulesen.

Da gegen die in SSL genutzte Implementierung von RC4 zu diesem Zeitpunkt noch kein praktikabler Angriff vorlag, empfahlen zahlreiche Sicherheitsforscher, RC4 anstelle der angegriffenen Blockchiffren zu nutzen. Dies führte zu einer enormen Zunahme der Verwendung von RC4. Schätzungen zufolge betrug der Anteil zeitweise mehr als 50 Prozent des mit TLS/SSL verschlüsselten Traffics.

Der Kryptograph Matthew Green warnte bereits 2011 in seinem Blog davor, die Verschlüsselung einfach auf RC4 umzustellen und verwies auf ein Beispiel aus der Erziehung seiner Kinder. "Habe ich schon mal jemanden gesehen, der sich ein Auge ausgestochen hat, weil er mit einer Schere in der Hand gerannt ist? Nein. Und trotzdem warne ich meine Kinder und sage: Rennt nicht mit der Schere in der Hand um den Pool."

Der Anfang vom Ende: ein praktikabler Angriff

Alle bislang vorgestellten Angriffe gegen RC4 wiesen erfolgreich nach, dass der Algorithmus grundlegende Schwächen hat. Einen in der Praxis unter realen Bedingungen praktikablen Angriff gab es bis zu diesem Zeitpunkt jedoch nicht. Das änderte sich im Jahr 2013.

In dem Jahr stellte ein Team um den Verschlüsselungsexperten Dan Bernstein einen in der Praxis implementierbaren Angriff auf RC4 in TLS-Verbindungen vor. Das Team nutzte die seit langem bekannten Regelmäßigkeiten im Cipher-Text aus. Es gelang ihm nachzuweisen, dass es auch nach den ersten 256 Zeichen Regelmäßigkeiten im chiffrierten Text gibt.

Eigentlich sind mehrere Gigabyte an abgefangenen Daten erforderlich, um den Angriff erfolgreich durchzuführen. Doch da Internetprotokolle eine hohe Standardisierung mit vielen wiederkehrenden Elementen aufweisen, reichen unter Umständen schon weniger Daten aus - das Team um Bernstein spricht von 2 hoch 24 Verbindungen. Damit seien bestimmte Webapplikationen verwundbar.

Nach neuesten Erkenntnissen ist jedoch nicht nur die Implementierung von RC4 in Webdiensten angreifbar, sondern auch im E-Mail-Protokoll IMAP. Auch dies geht auf die ursprüngliche Schwachstelle des Algorithmus zurück. Da bei IMAP bereits an früherer Stelle im Datenstrom ein Passwort übertragen wird, reduziert sich die Anzahl mitzuhörender Pakete enorm. Statt mehrerer Milliarden Pakete müssten jetzt nur noch 60 Millionen Pakete mitgelesen werden, so das Team um Kenny Paterson. Diese hohe Zahl an Aufrufen können Angreifer erreichen, indem sie Nutzer auf eine bösartige präparierte Webseite locken, die dann eine Vielzahl an Aufrufen generiert.

Doch damit nicht genug: Angeblich kann der Geheimdienst NSA RC4 sogar in Echtzeit knacken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Verschlüsselung: Der lange Abschied von RC4Entschlüsselung in Echtzeit? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


crypt0 21. Jul 2015

Jap, meine Implementierungen sind reiner Java-Code, keine nativen Aufrufe etc. Github...

Dünnbier 18. Jul 2015

@tritratrulala Gute Algorithmen wie Twofish und Serpent werden ignoriert weil sie zu...



Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Star Wars: Cal Kestis kämpft in Jedi Survivor weiter
    Star Wars
    Cal Kestis kämpft in Jedi Survivor weiter

    EA hat offiziell den Nachfolger zu Star Wars Jedi Fallen Order angekündigt. Hauptfigur ist erneut Cal Kestis mit seinem Roboterkumpel BD-1.

  2. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

  3. Retro Gaming: Wie man einen Emulator programmiert
    Retro Gaming
    Wie man einen Emulator programmiert

    Warum nicht mal selbst einen Emulator programmieren? Das ist lehrreich und macht Spaß - wenn er funktioniert. Wie es geht, zeigen wir am Gameboy.
    Von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /