You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Next »

Kurzinfo

Viele veraltete Verschlüsselungsmethoden wie etwa RC4 oder MD5 werden noch sehr häufig eingesetzt. Allerdigns sind diese Algorithmen nur noch in der Praxis sicher. In der Theorie sind

diese Algorithmen bereits geknackt worden, dementsprechend ist es nur noch eine Frage der Zeit bis, die graue Theorie zur Praxis wird.

 

Beschreibung

RC4

RC4 ist eine Stromchiffre welche bereits 1987 erfunden wurde. Allerdings hat es bis ins Jahr 2001 gedauert, bis die ersten theoretischen, möglichen Angriffszenarien entdeckt worden sind. 2013 sind weiter Szenarien bekannt geworden wodurch

ein knacken von RC4 ermöglicht wird. Sowohl Jacob Appelbaum als auch Bruce Schneier sind der Überzeugung, dass die NSA RC4 in Echtzeit entschlüsseln kann. Sowohl ENISA als auch BSI empfehlen RC4 nicht mehr zu verwenden und

stattdessen moderne, sichere Verfahren zu verwenden.

 

MD5

MD5 ist ein Hashalgorithmus, welcher 1991 erfunden wurde. 1994 kamen dier ersten Zweifel auf, ob MD5 wirklich so sicher ist wie angenommen, 2004 wurden weiter Schwachstellen bei der Kollisionsresistenz entdeckt.

Derzeit ist MD5 nur bezüglich der Kollisions-Angriffe gebrochen. Deswegen besteht noch keine akute Gefahr für Passwörter, die als MD5-Hash gespeichert wurden. Diese Kollisionen sind eher eine Gefahr für digitalte Signaturen.

 

SSLv3

SSL ist der Vorgänger von dem aktuellen TLS, leider ist die letzte Version von SSL (SSLv3) noch immer in großer Zahl in Verwendung. Im Okt. 2014 wurde bekannt, dass SSLv3 eine sehr kritische

Schwachstelle aufweißt, womit das Auslesen von Daten zwischen Client und Server möglich ist, allg. bekannt als "POODLE". Darum empfehlen wir dringend SSLv3 zu deaktivieren.

 

SHA1

SHA1 ist ein Hashalgorithmus wo bereits 2005 die ersten Zweifel geäußer worden sind, ob SHA1 wirklich sicher ist. 2006 und 2009 sind weitere theoretische Schwachstellen bei SHA1

bekannt geworden. Institutionen wie die NIST empfehlen bereits seit längerem SHA2 bzw. in weiterer Folge SHA3 zu verwenden, dieser befindet sich allerdings noch in der Entwicklungsphase.

 

Was ist zu tun?

Soweit wie möglich die oben genannten Algorithmen abdrehen und nicht mehr verwenden. Die ausschließliche Verwendung von aktuellen Verschlüsselungsmethoden wie etwa TLS 1.2

oder die Verwendung von Verschlüsselungsmethoden, welche auf elliptischen Kurven basieren ist zu befürworten.

 

  • No labels