Abo
  • Services:
Anzeige
Bestimmte Bits im RC4-Schlüsselstrom sind bei selten auftretenden schwachen Schlüsseln vorhersehbar.
Bestimmte Bits im RC4-Schlüsselstrom sind bei selten auftretenden schwachen Schlüsseln vorhersehbar. (Bild: Imperva)

Verschlüsselung: Kryptographen zeigen neue Angriffe gegen RC4

Bestimmte Bits im RC4-Schlüsselstrom sind bei selten auftretenden schwachen Schlüsseln vorhersehbar.
Bestimmte Bits im RC4-Schlüsselstrom sind bei selten auftretenden schwachen Schlüsseln vorhersehbar. (Bild: Imperva)

Eine bislang wenig beachtete Schwäche von RC4 nutzt der Kryptograph Itsik Mantin für seine neue Angriffsmethode. Ein weiterer kürzlich vorgestellter Angriff betrifft IMAP-Verbindungen.

Anzeige

Vor 13 Jahren hat der Kryptograph Itsik Mantin zusammen mit dem RSA-Erfinder Adi Shamir Forschungsergebnisse veröffentlicht, die verschiedene Schwächen des Stromverschlüsselungsalgorithmus RC4 offenlegten. Mantin, der inzwischen für die US-Firma Imperva arbeitet, stellte jetzt auf der Black-Hat-Konferenz in Singapur ein Update zu seiner damaligen Forschung vor. Demnach lässt sich eine bislang wenig beachtete Schwäche in RC4 für praktische Angriffe ausnutzen. Mantin nannte die neue Attacke Bar Mitzvah - nach dem jüdischen Ritual für 13-Jährige.

Angriffsmethode wurde 13 Jahre lang kaum beachtet

Das Paper von 2001 hatte zwei Schwächen in RC4 offengelegt und damals für einige Furore gesorgt, weil dadurch ein Angriff auf das WEP-Protokoll möglich wurde. WEP war zur damaligen Zeit ein weit verbreiteter Standard zur Verschlüsselung von WLAN-Netzen, inzwischen ist es fast vollständig durch das neuere Protokoll WPA abgelöst. Doch die Schwäche von WEP betraf beispielsweise das TLS-Protokoll, das ebenfalls RC4 einsetzt, nicht.

Die zweite Schwäche, die Mantin als Invariance Weakness bezeichnet, erregte damals kaum Aufmerksamkeit. So hat RC4 die Eigenschaft, dass bestimmte schwache Schlüssel, die zufällig auftreten, zu einem vorhersehbaren Muster im untersten Bit des Schlüsselstroms führen. Derartige schwache Schlüssel sind relativ selten - nur einer von 16 Millionen Schlüsseln weist diese Schwäche auf. Doch wenn ein schwacher Schlüssel auftritt, lässt sich dies durch einen Angreifer erkennen, da bestimmte Bits in einem TLS-Handshake immer gleich sind.

Neu ist an dieser Attacke vor allem, dass sie in bestimmten Situationen auch durch einen rein passiven Angreifer ausgenutzt werden kann. Wenn ein Angreifer beispielsweise den Datenverkehr einer Webseite, auf der sehr viele Logins stattfinden, mitlesen kann, taucht unter Umständen irgendwann zufällig ein schwacher RC4-Schlüssel auf.

Ein anderes mögliches Angriffsszenario tritt dann auf, wenn das Opfer eines Lauschangriffs eine bösartige Webseite besucht, die sich unter der Kontrolle des Angreifers befindet. Der Angreifer kann in dem Fall permanente Neuverbindungen erzwingen.

IMAP und HTTP-Basic-Auth bedroht

Ein weiteres Forscherteam um den Kryptographen Kenny Paterson hat kürzlich ebenfalls neue Angriffsmethoden gegen den RC4-Algorithmus vorgestellt. Bekannt ist, dass im Schlüsselstrom von RC4 bestimmte Bits wahrscheinlicher sind als andere. 2013 konnte ein Team um Paterson bereits zeigen, dass sich dies für einen Angriff gegen TLS nutzen lässt, dafür mussten allerdings mehrere Milliarden Pakete beobachtet werden. Diese Schwäche von RC4 hat die Eigenschaft, dass die problematischen Wahrscheinlichkeiten in den ersten Bits des Schlüsselstroms größer sind.

Das konnten die Forscher für den neuen Angriff ausnutzen: In bestimmten Protokollen wird schon sehr früh ein Passwort übertragen. Konkret beschrieben wird ein Angriff auf das E-Mail-Protokoll IMAP und das HTTP-Basic-Auth-Verfahren. Durch das früher übertragene Passwort reduziert sich hier die Zahl der Pakete, die ein Angreifer mitlesen muss, auf etwa 60 Millionen. Ebenso wie bei der Bar-Mitzvah-Attacke kann ein Angreifer zumindest im Fall von HTTP-Basic-Auth einen Besucher auf eine bösartige Seite locken und damit eine Vielzahl an Verbindungen erzwingen.

RC4 offiziell nicht mehr zulässig

Beide Angriffe sind nur in seltenen Fällen praktikabel. Trotzdem sind sie erneut eine Warnung, dass das RC4-Verschlüsselungsverfahren aus heutiger Sicht nicht mehr sicher ist. Die Internet Engineering Task Force hatte vor kurzem bereits einen Standard veröffentlicht, der die Nutzung von RC4 in TLS untersagt. Das ist auch die Empfehlung von Mantin: Serverbetreiber sollten demnach RC4 deaktivieren, Nutzer sollten den Algorithmus im Browser abschalten und Browserherstellern sollten die Unterstützung von RC4 aus ihrer Software entfernen.

Der Firefox-Browser unterstützt seit kurzem RC4 nur noch für eine Whitelist von bestimmten Webseiten, die nach wie vor ausschließlich über den veralteten Algorithmus erreichbar sind. Einige wenige Webseiten unterstützen nach wie vor keine besseren Algorithmen, darunter beispielsweise die Webseite der aktuell stattfindenden Facebook-Entwicklerkonferenz.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Schlütersche Verlagsgesellschaft mbH & Co. KG, Hannover
  2. Swyx Solutions AG, Dortmund
  3. RA Consulting GmbH, Bruchsal
  4. Dataport, Hamburg, Altenholz bei Kiel


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Hauptversammlung

    Rocket Internet will eine Bank sein

  2. Alphabet

    Google-Chef verdient 200 Millionen US-Dollar

  3. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  4. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  5. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  6. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  7. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  8. Die Woche im Video

    Mr. Robot und Ms MINT

  9. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  10. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mario Kart 8 Deluxe im Test: Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
Mario Kart 8 Deluxe im Test
Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
  1. Hybridkonsole Nintendo verkauft im ersten Monat 2,74 Millionen Switch
  2. Nintendo Switch Verkaufszahlen in den USA nahe der Millionengrenze
  3. Nintendo Von Mario-Minecraft bis zu gelben dicken Joy-Cons

Bonaverde: Von einem, den das Kaffeerösten das Fürchten lehrte
Bonaverde
Von einem, den das Kaffeerösten das Fürchten lehrte
  1. Google Alphabet macht weit über 5 Milliarden Dollar Gewinn
  2. Insolvenz Weniger Mitarbeiter und teure Supportverträge bei Protonet
  3. Jungunternehmer Über 3.000 deutsche Startups gingen 2016 pleite

Noonee: Exoskelett ermöglicht Sitzen ohne Stuhl
Noonee
Exoskelett ermöglicht Sitzen ohne Stuhl

  1. Re: Wie wärs mit öffentlichen Verkehrsmitteln?!

    Fotobar | 30.04. 23:51

  2. Re: Top stabile Server Distro

    menno | 30.04. 23:49

  3. Re: Abgehoben

    theonlyone | 30.04. 23:31

  4. Re: 1 Dollar Gehalt

    theonlyone | 30.04. 23:24

  5. Re: Ähnlichkeit...

    User_x | 30.04. 23:12


  1. 13:08

  2. 12:21

  3. 15:07

  4. 14:32

  5. 13:35

  6. 12:56

  7. 12:15

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel