Immer mehr Internetseiten schützen sich via SSL Verbindung vor Zugriffen Dritter. Zu erkennen sind diese Seiten in der Adresszeile bei der die Adresse mit https:// beginnt. Hier spielen Verbindungen zu Banken und vergleichbarn Institutionen, zu Facebook und Google und viele mehr eine gewichtige Rolle.
„SSL/TLS ist die Basis für sichere Internet-Verbindungen; für die Verschlüsselung kommt dabei sehr häufig das bereits 1987 von Ron Rivest erfundene RC4 zum Einsatz. Gegen diesen Algorithmus haben Forscher jetzt einen Angriff vorgestellt, der zumindest den Anfang einer gesicherten Übertragung entschlüsseln kann. Der Angriff ist zwar noch eher theoretischer Natur, zeigt aber deutlich, dass Handlungsbedarf besteht.“
Wie kann man sich schützen? Es ist klar, nutzt man ältere Betriebssysteme dann ist das TLS 1.2 nicht integriert. Dies ist aber ein Muss für eine sichere SSL Verbindung. Man sollte sicher sein das mindestens der IExplorer 8 seinen Dienst verrichtet. Der verstehn das Protokoll V1.2. Wenn nicht, dann sollte kontrolliert werden ob das Sicherheitsupdate KB980436 installiert wurde. Ist im SP3 mit enthalten. In den Einstellungen „Internetoptionen“ des Systems muss in den „Erweiterten“ Einstellungen unter „Sicherheit“ das Protokoll 1.2 zu finden und aktiv sein! Sicherheitshalber das 1.0 abwählen.
Sicherer fährt man mit dem Mozilla Firefox oder dem Apple Safari Browser Im Mozilla Firefox gibt man in die Adresszeile about:config ein und bestätigt den Sicherheitshinweis. Dort im Suchfeld dann RC4 eingeben und suchen lassen. Die gefundenen Einträge beginnend mit security.ssl3 dann doppelklicken und somit von der Einstellung true auf false ändern! Das wars. So wird die RC4 Codierung nicht mehr priorisiert und genutzt.
Weitere Artikel:
- Erneuter Krypto-Angriff auf SSL/TLS-Verschlüsselung
- Tool knackt Office-Verschlüsselung binnen weniger Minuten
- RC4 und CBC mit Problemen, der Ausweg heißt TLS 1.2
