Abo
  • Services:
Anzeige
Bestimmte Bits im RC4-Schlüsselstrom sind bei selten auftretenden schwachen Schlüsseln vorhersehbar.
Bestimmte Bits im RC4-Schlüsselstrom sind bei selten auftretenden schwachen Schlüsseln vorhersehbar. (Bild: Imperva)

Verschlüsselung: Kryptographen zeigen neue Angriffe gegen RC4

Bestimmte Bits im RC4-Schlüsselstrom sind bei selten auftretenden schwachen Schlüsseln vorhersehbar.
Bestimmte Bits im RC4-Schlüsselstrom sind bei selten auftretenden schwachen Schlüsseln vorhersehbar. (Bild: Imperva)

Eine bislang wenig beachtete Schwäche von RC4 nutzt der Kryptograph Itsik Mantin für seine neue Angriffsmethode. Ein weiterer kürzlich vorgestellter Angriff betrifft IMAP-Verbindungen.

Anzeige

Vor 13 Jahren hat der Kryptograph Itsik Mantin zusammen mit dem RSA-Erfinder Adi Shamir Forschungsergebnisse veröffentlicht, die verschiedene Schwächen des Stromverschlüsselungsalgorithmus RC4 offenlegten. Mantin, der inzwischen für die US-Firma Imperva arbeitet, stellte jetzt auf der Black-Hat-Konferenz in Singapur ein Update zu seiner damaligen Forschung vor. Demnach lässt sich eine bislang wenig beachtete Schwäche in RC4 für praktische Angriffe ausnutzen. Mantin nannte die neue Attacke Bar Mitzvah - nach dem jüdischen Ritual für 13-Jährige.

Angriffsmethode wurde 13 Jahre lang kaum beachtet

Das Paper von 2001 hatte zwei Schwächen in RC4 offengelegt und damals für einige Furore gesorgt, weil dadurch ein Angriff auf das WEP-Protokoll möglich wurde. WEP war zur damaligen Zeit ein weit verbreiteter Standard zur Verschlüsselung von WLAN-Netzen, inzwischen ist es fast vollständig durch das neuere Protokoll WPA abgelöst. Doch die Schwäche von WEP betraf beispielsweise das TLS-Protokoll, das ebenfalls RC4 einsetzt, nicht.

Die zweite Schwäche, die Mantin als Invariance Weakness bezeichnet, erregte damals kaum Aufmerksamkeit. So hat RC4 die Eigenschaft, dass bestimmte schwache Schlüssel, die zufällig auftreten, zu einem vorhersehbaren Muster im untersten Bit des Schlüsselstroms führen. Derartige schwache Schlüssel sind relativ selten - nur einer von 16 Millionen Schlüsseln weist diese Schwäche auf. Doch wenn ein schwacher Schlüssel auftritt, lässt sich dies durch einen Angreifer erkennen, da bestimmte Bits in einem TLS-Handshake immer gleich sind.

Neu ist an dieser Attacke vor allem, dass sie in bestimmten Situationen auch durch einen rein passiven Angreifer ausgenutzt werden kann. Wenn ein Angreifer beispielsweise den Datenverkehr einer Webseite, auf der sehr viele Logins stattfinden, mitlesen kann, taucht unter Umständen irgendwann zufällig ein schwacher RC4-Schlüssel auf.

Ein anderes mögliches Angriffsszenario tritt dann auf, wenn das Opfer eines Lauschangriffs eine bösartige Webseite besucht, die sich unter der Kontrolle des Angreifers befindet. Der Angreifer kann in dem Fall permanente Neuverbindungen erzwingen.

IMAP und HTTP-Basic-Auth bedroht

Ein weiteres Forscherteam um den Kryptographen Kenny Paterson hat kürzlich ebenfalls neue Angriffsmethoden gegen den RC4-Algorithmus vorgestellt. Bekannt ist, dass im Schlüsselstrom von RC4 bestimmte Bits wahrscheinlicher sind als andere. 2013 konnte ein Team um Paterson bereits zeigen, dass sich dies für einen Angriff gegen TLS nutzen lässt, dafür mussten allerdings mehrere Milliarden Pakete beobachtet werden. Diese Schwäche von RC4 hat die Eigenschaft, dass die problematischen Wahrscheinlichkeiten in den ersten Bits des Schlüsselstroms größer sind.

Das konnten die Forscher für den neuen Angriff ausnutzen: In bestimmten Protokollen wird schon sehr früh ein Passwort übertragen. Konkret beschrieben wird ein Angriff auf das E-Mail-Protokoll IMAP und das HTTP-Basic-Auth-Verfahren. Durch das früher übertragene Passwort reduziert sich hier die Zahl der Pakete, die ein Angreifer mitlesen muss, auf etwa 60 Millionen. Ebenso wie bei der Bar-Mitzvah-Attacke kann ein Angreifer zumindest im Fall von HTTP-Basic-Auth einen Besucher auf eine bösartige Seite locken und damit eine Vielzahl an Verbindungen erzwingen.

RC4 offiziell nicht mehr zulässig

Beide Angriffe sind nur in seltenen Fällen praktikabel. Trotzdem sind sie erneut eine Warnung, dass das RC4-Verschlüsselungsverfahren aus heutiger Sicht nicht mehr sicher ist. Die Internet Engineering Task Force hatte vor kurzem bereits einen Standard veröffentlicht, der die Nutzung von RC4 in TLS untersagt. Das ist auch die Empfehlung von Mantin: Serverbetreiber sollten demnach RC4 deaktivieren, Nutzer sollten den Algorithmus im Browser abschalten und Browserherstellern sollten die Unterstützung von RC4 aus ihrer Software entfernen.

Der Firefox-Browser unterstützt seit kurzem RC4 nur noch für eine Whitelist von bestimmten Webseiten, die nach wie vor ausschließlich über den veralteten Algorithmus erreichbar sind. Einige wenige Webseiten unterstützen nach wie vor keine besseren Algorithmen, darunter beispielsweise die Webseite der aktuell stattfindenden Facebook-Entwicklerkonferenz.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Stuttgart, Leinfelden-Echterdingen
  2. Wolters Kluwer Deutschland GmbH, Hürth bei Köln
  3. ROHDE & SCHWARZ GmbH & Co. KG, München
  4. über Hanseatisches Personalkontor Rottweil, Gottmadingen (bei Singen am Htwl.)


Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. Yakuza Zero PS4 29€ und NHL 17 PS4/XBO 25€)
  2. (alle Angebote versandkostenfrei, u. a. Samsung Galaxy A3 2017 für 199,00€)
  3. 449,00€

Folgen Sie uns
       


  1. Service

    Telekom verspricht kürzeres Warten auf Techniker

  2. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  3. Android-Apps

    Rechtemissbrauch erlaubt unsichtbare Tastaturmitschnitte

  4. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  5. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  6. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  7. FTP-Client

    Filezilla bekommt ein Master Password

  8. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  9. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  10. ZTE

    Chinas großes 5G-Testprojekt läuft weiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später

The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Vernetzte Hörgeräte und Hearables: Ich filter mir die Welt widdewiddewie sie mir gefällt
Vernetzte Hörgeräte und Hearables
Ich filter mir die Welt widdewiddewie sie mir gefällt
  1. Polar Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung
  2. The Dash Pro Bragis Drahtlos-Ohrstöpsel können jetzt auch übersetzen
  3. Beddit Apple kauft Schlaf-Tracker-Hersteller

  1. Re: bitte klär mich jemand nochmal auf...

    divStar | 16:51

  2. Re: Kenne ich

    kotzwuerg | 16:50

  3. Re: Wofür ist das BVG-WiFi gut?

    nomisum | 16:48

  4. Re: Machen wir doch mal die Probe aufs Exempel

    divStar | 16:42

  5. Weg vom Soc?

    MadMonkey | 16:31


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel