Abo
  • Services:
Anzeige
Die Nachschlagephase von RC4 bei einem Alphabet der Größe eines Bytes.
Die Nachschlagephase von RC4 bei einem Alphabet der Größe eines Bytes. (Bild: Matt Crypto/Public Domain)

Erste Angriffe stoppen die Verbreitung nicht

Schon 2001 nutzte ein erster Angriff diese Berechenbarkeit aus. Er richtete sich gegen die WLAN-Verschlüsselung WEP. Der Vorgänger des heute üblichen WPA2-Standards nutzte zur Absicherung des Netzwerkes RC4. Da beim Aufbau einer WLAN-Verbindung häufig berechenbare, wiederkehrende Informationen verschickt werden, gelang es Angreifern, aus der Masse der übertragenen Daten das Passwort zu extrahieren.

Anzeige

Dieser Angriff führte früh zu massiven Schäden. Hackern gelang es im Jahr 2005 zum Beispiel, in das Firmennetzwerk des US-Unternehmens TJ Maxx einzudringen und dort über mehrere Jahre unerkannt Kundendaten und Kreditkarten-Informationen zu entwenden. Sie nutzten dabei das mit WEP unzureichend abgesicherte WLAN-Netzwerk der Firma aus, um ihre Schadsoftware zu installieren. Schätzungen von Branchenkennern zufolge verursachte der Angriff einen Schaden von bis zu einer Milliarde US-Dollar.

Schlüsselstrom beschneiden, Sicherheit verbessern

Der 2001 aufgedeckte Angriff gegen WEP führte jedoch nicht dazu, dass der Einsatz von RC4 flächendeckend eingestellt wurde. Der Angriff wurde von Sicherheitsexperten vor allem einer mangelhaften Implementation des Verschlüsselungsstandards zugeschrieben.

Um diese ersten Angriffe gegen RC4 abzuwehren, empfahl RSA Security im Jahr 2011, bei der Implementierung einer RC4-Verschlüsselung die ersten 256 Zeichen des Schlüsselstroms zu streichen, da hier besonders häufig wiederkehrende Muster erkennbar waren. Alternativ sollten Nutzer den Schlüsselstrom mit einem Verfahren wie MD5 hashen. Unter diesen Voraussetzungen, so die Firma damals, sei der Algorithmus sicher.

Dieses Vorgehen schwächte die Probleme tatsächlich ab, es funktioniert jedoch nicht unter allen Umständen. Dieser Versuch zur Absicherung steht einem wichtigen Einsatzgebiet von RC4 im Weg, nämlich dem im Rahmen von TLS. Denn die TLS-Spezifikationen erschweren einen solchen Eingriff.

RC4 profitiert vom Beast-Angriff

RC4 profitierte allerdings im Jahr 2011 von einem Angriff auf die in TLS verwendeten Blockchiffren, etwa AES. Im September des Jahres stellten die Sicherheitsforscher Juliano Rizzo und Thai Duong einen praktikablen Angriff auf das TLS-Protokoll vor. Die Beast-Attacke (Browser Exploit Against SSL/TLS) nutzte Fehler, die bei der Verschlüsselung von Webtraffic mit Blockchiffren entstanden, um mittels eines Man-in-the-Middle-Angriffs geheime Daten auszulesen.

Da gegen die in SSL genutzte Implementierung von RC4 zu diesem Zeitpunkt noch kein praktikabler Angriff vorlag, empfahlen zahlreiche Sicherheitsforscher, RC4 anstelle der angegriffenen Blockchiffren zu nutzen. Dies führte zu einer enormen Zunahme der Verwendung von RC4. Schätzungen zufolge betrug der Anteil zeitweise mehr als 50 Prozent des mit TLS/SSL verschlüsselten Traffics.

Der Kryptograph Matthew Green warnte bereits 2011 in seinem Blog davor, die Verschlüsselung einfach auf RC4 umzustellen und verwies auf ein Beispiel aus der Erziehung seiner Kinder. "Habe ich schon mal jemanden gesehen, der sich ein Auge ausgestochen hat, weil er mit einer Schere in der Hand gerannt ist? Nein. Und trotzdem warne ich meine Kinder und sage: Rennt nicht mit der Schere in der Hand um den Pool."

Der Anfang vom Ende: ein praktikabler Angriff

Alle bislang vorgestellten Angriffe gegen RC4 wiesen erfolgreich nach, dass der Algorithmus grundlegende Schwächen hat. Einen in der Praxis unter realen Bedingungen praktikablen Angriff gab es bis zu diesem Zeitpunkt jedoch nicht. Das änderte sich im Jahr 2013.

In dem Jahr stellte ein Team um den Verschlüsselungsexperten Dan Bernstein einen in der Praxis implementierbaren Angriff auf RC4 in TLS-Verbindungen vor. Das Team nutzte die seit langem bekannten Regelmäßigkeiten im Cipher-Text aus. Es gelang ihm nachzuweisen, dass es auch nach den ersten 256 Zeichen Regelmäßigkeiten im chiffrierten Text gibt.

Eigentlich sind mehrere Gigabyte an abgefangenen Daten erforderlich, um den Angriff erfolgreich durchzuführen. Doch da Internetprotokolle eine hohe Standardisierung mit vielen wiederkehrenden Elementen aufweisen, reichen unter Umständen schon weniger Daten aus - das Team um Bernstein spricht von 2 hoch 24 Verbindungen. Damit seien bestimmte Webapplikationen verwundbar.

Nach neuesten Erkenntnissen ist jedoch nicht nur die Implementierung von RC4 in Webdiensten angreifbar, sondern auch im E-Mail-Protokoll IMAP. Auch dies geht auf die ursprüngliche Schwachstelle des Algorithmus zurück. Da bei IMAP bereits an früherer Stelle im Datenstrom ein Passwort übertragen wird, reduziert sich die Anzahl mitzuhörender Pakete enorm. Statt mehrerer Milliarden Pakete müssten jetzt nur noch 60 Millionen Pakete mitgelesen werden, so das Team um Kenny Paterson. Diese hohe Zahl an Aufrufen können Angreifer erreichen, indem sie Nutzer auf eine bösartige präparierte Webseite locken, die dann eine Vielzahl an Aufrufen generiert.

Doch damit nicht genug: Angeblich kann der Geheimdienst NSA RC4 sogar in Echtzeit knacken.

 Verschlüsselung: Der lange Abschied von RC4Entschlüsselung in Echtzeit? 

eye home zur Startseite
crypt0 21. Jul 2015

Jap, meine Implementierungen sind reiner Java-Code, keine nativen Aufrufe etc. Github...

Dünnbier 18. Jul 2015

@tritratrulala Gute Algorithmen wie Twofish und Serpent werden ignoriert weil sie zu...



Anzeige

Stellenmarkt
  1. über Duerenhoff GmbH, Raum München
  2. Bundeskriminalamt, Wiesbaden
  3. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  4. Deloitte, Berlin


Anzeige
Spiele-Angebote
  1. (-33%) 9,99€
  2. (-11%) 39,99€
  3. (u. a. Tomb Raider für 2,99€ und Wolfenstein II für 24,99€)

Folgen Sie uns
       


  1. Facebook Messenger

    Bug lässt iPhone-Nutzer nur wenige Wörter tippen

  2. Multi-Shot-Kamera

    Hasselblad macht 400-Megapixel-Fotos mit 2,4 GByte Größe

  3. Mitsubishi

    Rückkamera identifiziert Verkehrsteilnehmer

  4. Otherside Entertainment

    Underworld Ascendant soll mehr Licht ins Dunkle bringen

  5. Meltdown und Spectre

    "Dann sind wir performancemäßig wieder am Ende der 90er"

  6. Google Play Services

    Update gegen Chromecast-WLAN-Blockade kommt bald

  7. Cars 3 und Coco in HDR

    Die ersten Pixar-Filme kommen als Ultra-HD-Blu-ray

  8. Überwachungstechnik

    EU-Parlament fordert schärfere Ausfuhrregeln

  9. Loki

    App zeigt Inhalte je nach Stimmung des Nutzers an

  10. Spielebranche

    Fox kündigt Studiokauf und Alien-MMORPG an



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vorschau Kinofilme 2018: Lara, Han und Player One
Vorschau Kinofilme 2018
Lara, Han und Player One
  1. Kinofilme 2017 Rückkehr der Replikanten und Triumph der Nasa-Frauen
  2. Star Wars - Die letzten Jedi Viel Luke und zu viel Unfug

EU-Netzpolitik: Mit vollen Hosen in die App-ocalypse
EU-Netzpolitik
Mit vollen Hosen in die App-ocalypse

Preiswertes Grafik-Dock ausprobiert: Ein eGPU-Biest für unter 50 Euro
Preiswertes Grafik-Dock ausprobiert
Ein eGPU-Biest für unter 50 Euro
  1. XG Station Pro Asus' zweite eGPU-Box ist schlicht
  2. Zotac Amp Box (Mini) TB3-Gehäuse eignen sich für eGPUs oder SSDs
  3. Snpr External Graphics Enclosure KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

  1. Re: 100 Mbit/s bei der Telekom

    RipClaw | 13:13

  2. Re: Das Kochbeispiel

    rapunzel666 | 13:13

  3. Re: Meltdown for dummies

    Truster | 13:11

  4. Re: Hardware Revision

    cry88 | 13:11

  5. Re: Lootboxen

    ufo70 | 13:07


  1. 13:15

  2. 13:00

  3. 12:45

  4. 12:30

  5. 12:00

  6. 11:58

  7. 11:48

  8. 11:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel