Ein Angriff auf die Verschlüsselung von https

Die gute Nachricht: Es ist noch lange nicht alles kaputt, zumindest aus Benutzersicht. Für Kryptographen gilt ein System, bei dem man nach wenigen 10.000 Handshakes auf den Inhalt zurückschließen kann, schon längst als gebrochen. Dieses Szenario bietet sich, wenn man den Algorithmus RC4 im Protokoll von https verwendet, so jedenfalls schildert es diese Zusammenfassung eines Papers.

Die Verschlüsselung hinter https, das TLS-Protokoll, erlaubt es, zwischen Browser und Server die verwendeten Verschlüsselungsverfahren auszuhandeln. Das macht deshalb Sinn, weil möglicherweise nicht alle Implementierungen alle Verfahren bieten bzw. es so möglich ist, neue Verfahren hinzuzufügen bzw. alte zu entfernen. RC4 ist eines der Verfahren, die standardmäßig zur Auswahl stehen. Unglücklicherweise bevorzugen viele große Webseiten (wie z.B. Google) diesen Algorithmus - er ist sehr performant zu implementieren, was eine geringere Last auf den Servern bedeutet.

Zugegebenermaßen ist der Angriff für den Alltag nicht von so großer Bedeutung, daß man sofort die Reißleine ziehn muß. Wer aber dennoch auf Nummer Sicher gehen möchte, kann RC4 aus den möglichen Kandidaten beim Aushandeln der Verbindung entfernen. Bei Firefox geht das folgendermaßen:

  • Als URL “about:config” eingeben
  • Im Suchfeld nach “_rc4” suchen
  • Alle Zeilen, deren Value “true” ist, doppelklicken

Google Chrome scheint hier leider keine Einstellmöglichkeiten zu besitzen.