Kurzinfo
Viele veraltete Verschlüsselungsmethoden wie etwa RC4 oder MD5 werden noch sehr häufig eingesetzt. Allerdigns sind diese Algorithmen nur noch in der Praxis sicher. In der Theorie sind diese Algorithmen bereits geknackt worden, dementsprechend ist es nur noch eine Frage der Zeit bis, die graue Theorie zur Praxis wird.
Beschreibung
RC4
RC4 ist eine Stromchiffre welche bereits 1987 erfunden wurde. Allerdings hat es bis ins Jahr 2001 gedauert, bis die ersten theoretischen, möglichen Angriffszenarien entdeckt worden sind. 2013 sind weiter Szenarien bekannt geworden wodurch ein knacken von RC4 ermöglicht wird. Sowohl Jacob Appelbaum als auch Bruce Schneier sind der Überzeugung, dass die NSA RC4 in Echtzeit entschlüsseln kann. Sowohl ENISA als auch BSI empfehlen RC4 nicht mehr zu verwenden und stattdessen moderne, sichere Verfahren zu verwenden.
MD5
MD5 ist ein Hashalgorithmus, welcher 1991 erfunden wurde. 1994 kamen dier ersten Zweifel auf, ob MD5 wirklich so sicher ist wie angenommen, 2004 wurden weiter Schwachstellen bei der Kollisionsresistenz entdeckt. Derzeit ist MD5 nur bezüglich der Kollisions-Angriffe gebrochen. Deswegen besteht noch keine akute Gefahr für Passwörter, die als MD5-Hash gespeichert wurden. Diese Kollisionen sind eher eine Gefahr für digitalte Signaturen.
SSLv3
SSL ist der Vorgänger von dem aktuellen TLS, leider ist die letzte Version von SSL (SSLv3) noch immer in großer Zahl in Verwendung. Im Okt. 2014 wurde bekannt, dass SSLv3 eine sehr kritische Schwachstelle aufweißt, womit das Auslesen von Daten zwischen Client und Server möglich ist, allg. bekannt als "POODLE". Darum empfehlen wir dringend SSLv3 zu deaktivieren.
SHA1
SHA1 ist ein Hashalgorithmus wo bereits 2005 die ersten Zweifel geäußer worden sind, ob SHA1 wirklich sicher ist. 2006 und 2009 sind weitere theoretische Schwachstellen bei SHA1 bekannt geworden. Institutionen wie die NIST empfehlen bereits seit längerem SHA2 bzw. in weiterer Folge SHA3 zu verwenden, dieser befindet sich allerdings noch in der Entwicklungsphase.
Was ist zu tun?
Soweit wie möglich die oben genannten Algorithmen abdrehen und nicht mehr verwenden. Die ausschließliche Verwendung von aktuellen Verschlüsselungsmethoden wie etwa TLS 1.2 oder die Verwendung von Verschlüsselungsmethoden, welche auf elliptischen Kurven basieren ist zu befürworten.
Was ist zu beachten?
Durch abschalten der oben genannten Verschlüsselungsmethoden kann es zu Kompatibilitätsproblem bei alten Systemen kommen, im speziellen Windows XP und alte Android Versionen (2.0). Sofern solche Geräte noch im großen Mengen zum Einsatz kommen, ist entsprechend abzuwägen ob der Ausschluss dieser vertretbar ist.