Abo
  • Services:
Anzeige
Die Nachschlagephase von RC4 bei einem Alphabet der Größe eines Bytes.
Die Nachschlagephase von RC4 bei einem Alphabet der Größe eines Bytes. (Bild: Matt Crypto/Public Domain)

Erste Angriffe stoppen die Verbreitung nicht

Schon 2001 nutzte ein erster Angriff diese Berechenbarkeit aus. Er richtete sich gegen die WLAN-Verschlüsselung WEP. Der Vorgänger des heute üblichen WPA2-Standards nutzte zur Absicherung des Netzwerkes RC4. Da beim Aufbau einer WLAN-Verbindung häufig berechenbare, wiederkehrende Informationen verschickt werden, gelang es Angreifern, aus der Masse der übertragenen Daten das Passwort zu extrahieren.

Anzeige

Dieser Angriff führte früh zu massiven Schäden. Hackern gelang es im Jahr 2005 zum Beispiel, in das Firmennetzwerk des US-Unternehmens TJ Maxx einzudringen und dort über mehrere Jahre unerkannt Kundendaten und Kreditkarten-Informationen zu entwenden. Sie nutzten dabei das mit WEP unzureichend abgesicherte WLAN-Netzwerk der Firma aus, um ihre Schadsoftware zu installieren. Schätzungen von Branchenkennern zufolge verursachte der Angriff einen Schaden von bis zu einer Milliarde US-Dollar.

Schlüsselstrom beschneiden, Sicherheit verbessern

Der 2001 aufgedeckte Angriff gegen WEP führte jedoch nicht dazu, dass der Einsatz von RC4 flächendeckend eingestellt wurde. Der Angriff wurde von Sicherheitsexperten vor allem einer mangelhaften Implementation des Verschlüsselungsstandards zugeschrieben.

Um diese ersten Angriffe gegen RC4 abzuwehren, empfahl RSA Security im Jahr 2011, bei der Implementierung einer RC4-Verschlüsselung die ersten 256 Zeichen des Schlüsselstroms zu streichen, da hier besonders häufig wiederkehrende Muster erkennbar waren. Alternativ sollten Nutzer den Schlüsselstrom mit einem Verfahren wie MD5 hashen. Unter diesen Voraussetzungen, so die Firma damals, sei der Algorithmus sicher.

Dieses Vorgehen schwächte die Probleme tatsächlich ab, es funktioniert jedoch nicht unter allen Umständen. Dieser Versuch zur Absicherung steht einem wichtigen Einsatzgebiet von RC4 im Weg, nämlich dem im Rahmen von TLS. Denn die TLS-Spezifikationen erschweren einen solchen Eingriff.

RC4 profitiert vom Beast-Angriff

RC4 profitierte allerdings im Jahr 2011 von einem Angriff auf die in TLS verwendeten Blockchiffren, etwa AES. Im September des Jahres stellten die Sicherheitsforscher Juliano Rizzo und Thai Duong einen praktikablen Angriff auf das TLS-Protokoll vor. Die Beast-Attacke (Browser Exploit Against SSL/TLS) nutzte Fehler, die bei der Verschlüsselung von Webtraffic mit Blockchiffren entstanden, um mittels eines Man-in-the-Middle-Angriffs geheime Daten auszulesen.

Da gegen die in SSL genutzte Implementierung von RC4 zu diesem Zeitpunkt noch kein praktikabler Angriff vorlag, empfahlen zahlreiche Sicherheitsforscher, RC4 anstelle der angegriffenen Blockchiffren zu nutzen. Dies führte zu einer enormen Zunahme der Verwendung von RC4. Schätzungen zufolge betrug der Anteil zeitweise mehr als 50 Prozent des mit TLS/SSL verschlüsselten Traffics.

Der Kryptograph Matthew Green warnte bereits 2011 in seinem Blog davor, die Verschlüsselung einfach auf RC4 umzustellen und verwies auf ein Beispiel aus der Erziehung seiner Kinder. "Habe ich schon mal jemanden gesehen, der sich ein Auge ausgestochen hat, weil er mit einer Schere in der Hand gerannt ist? Nein. Und trotzdem warne ich meine Kinder und sage: Rennt nicht mit der Schere in der Hand um den Pool."

Der Anfang vom Ende: ein praktikabler Angriff

Alle bislang vorgestellten Angriffe gegen RC4 wiesen erfolgreich nach, dass der Algorithmus grundlegende Schwächen hat. Einen in der Praxis unter realen Bedingungen praktikablen Angriff gab es bis zu diesem Zeitpunkt jedoch nicht. Das änderte sich im Jahr 2013.

In dem Jahr stellte ein Team um den Verschlüsselungsexperten Dan Bernstein einen in der Praxis implementierbaren Angriff auf RC4 in TLS-Verbindungen vor. Das Team nutzte die seit langem bekannten Regelmäßigkeiten im Cipher-Text aus. Es gelang ihm nachzuweisen, dass es auch nach den ersten 256 Zeichen Regelmäßigkeiten im chiffrierten Text gibt.

Eigentlich sind mehrere Gigabyte an abgefangenen Daten erforderlich, um den Angriff erfolgreich durchzuführen. Doch da Internetprotokolle eine hohe Standardisierung mit vielen wiederkehrenden Elementen aufweisen, reichen unter Umständen schon weniger Daten aus - das Team um Bernstein spricht von 2 hoch 24 Verbindungen. Damit seien bestimmte Webapplikationen verwundbar.

Nach neuesten Erkenntnissen ist jedoch nicht nur die Implementierung von RC4 in Webdiensten angreifbar, sondern auch im E-Mail-Protokoll IMAP. Auch dies geht auf die ursprüngliche Schwachstelle des Algorithmus zurück. Da bei IMAP bereits an früherer Stelle im Datenstrom ein Passwort übertragen wird, reduziert sich die Anzahl mitzuhörender Pakete enorm. Statt mehrerer Milliarden Pakete müssten jetzt nur noch 60 Millionen Pakete mitgelesen werden, so das Team um Kenny Paterson. Diese hohe Zahl an Aufrufen können Angreifer erreichen, indem sie Nutzer auf eine bösartige präparierte Webseite locken, die dann eine Vielzahl an Aufrufen generiert.

Doch damit nicht genug: Angeblich kann der Geheimdienst NSA RC4 sogar in Echtzeit knacken.

 Verschlüsselung: Der lange Abschied von RC4Entschlüsselung in Echtzeit? 

eye home zur Startseite
crypt0 21. Jul 2015

Jap, meine Implementierungen sind reiner Java-Code, keine nativen Aufrufe etc. Github...

Dünnbier 18. Jul 2015

@tritratrulala Gute Algorithmen wie Twofish und Serpent werden ignoriert weil sie zu...



Anzeige

Stellenmarkt
  1. arago GmbH, Frankfurt am Main
  2. DATAGROUP Köln GmbH, Leverkusen
  3. SICK AG, Waldkirch bei Freiburg im Breisgau
  4. IT.Niedersachsen, Hannover


Anzeige
Spiele-Angebote
  1. 2,99€
  2. 40,99€
  3. 69,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Rkt und Containerd

    Konkurrierende Container-Engines bekommen neutrale Heimat

  2. 22FFL-Fertigungsprozess

    Intel macht Globalfoundries und TSMC direkte Konkurrenz

  3. Medion Smart Home im Test

    Viele Komponenten, wenig Reichweite

  4. Antike Betriebssysteme

    Quellcode von Unix 8, 9 und 10 veröffentlicht

  5. K-Classic Mobil

    Smartphone-Tarif erhält mehr Datenvolumen

  6. Wisch und weg

    Tinder kommt auf den Desktop

  7. Elektroauto

    Tencent investiert 1,8 Milliarden US-Dollar in Tesla

  8. Planescape Torment

    Unsterblich in 4K-Auflösung

  9. Browser

    Vivaldi 1.8 zeigt den Verlauf als Kalenderansicht

  10. Logitech UE Wonderboom im Hands on

    Der Lautsprecher, der im Wasser schwimmt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vikings im Kurztest: Tiefgekühlt kämpfen
Vikings im Kurztest
Tiefgekühlt kämpfen
  1. Nier Automata im Test Stilvolle Action mit Überraschungen
  2. Torment im Test Spiel mit dem Text vom Tod
  3. Nioh im Test Brutal schwierige Samurai-Action

WLAN-Störerhaftung: Wie gefährlich sind die Netzsperrenpläne der Regierung?
WLAN-Störerhaftung
Wie gefährlich sind die Netzsperrenpläne der Regierung?
  1. Telia Schwedischer ISP muss Nutzerdaten herausgeben
  2. Die Woche im Video Dumme Handys, kernige Prozessoren und Zeldaaaaaaaaaa!
  3. Störerhaftung Regierung will Netzsperren statt Abmahnkosten

In eigener Sache: Golem.de sucht Marketing Manager (w/m)
In eigener Sache
Golem.de sucht Marketing Manager (w/m)
  1. In eigener Sache Golem.de geht auf Jobmessen
  2. In eigener Sache Golem.de kommt jetzt sicher ins Haus - per HTTPS
  3. In eigener Sache Unterstützung für die Schlussredaktion gesucht!

  1. Re: aufgehört zu lesen bei "app"..

    DetlevCM | 13:11

  2. Re: Bedeutet das...

    Niaxa | 13:11

  3. Re: Das wird noch sehr interessant

    FattyPatty | 13:10

  4. Re: Erste-Welt-Probleme

    Trollfeeder | 13:09

  5. Re: Inkompatibles geschlossenes system

    tk (Golem.de) | 13:09


  1. 12:58

  2. 12:46

  3. 12:00

  4. 11:50

  5. 11:16

  6. 11:02

  7. 10:34

  8. 09:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel