Eine Warnung hat der Softwarekonzern Microsoft veröffentlicht, in der er auf das potenzielle Spionagerisiko beim Einsatz des Modes CBC in Kombination mit AES hinweist. Als einen Workaround schlägt Microsoft den Wechsel auf die Stromverschlüsselung mittels RC4 vor, die für die gemeldete Chosen-Plaintext-Attacke nicht anfällig ist. Dazu hat Microsoft eine Anleitung veröffentlicht.

Der Administrator müsste in der Liste der Verschlüsselungssammlungen für den Einsatz von RC4 beispielsweise TLS_RSA_WITH_RC4_128_MD5 ganz nach vorne stellen, damit diese Ciphersuite dem Client als erste vorgeschlagen wird. Jedoch steht auf einem anderen Blatt, ob der diese akzeptiert. Microsoft schlägt deshalb den Wechsel auf TLS 1.1 vor.

Microsoft hat dazu zwei Fix-it-Tools veröffentlicht, die TLS 1.1 im Internet Explorer und Windows-Servern aktivieren. Standardmäßig ist nur TLS 1.0 aktiviert. Auch ohne Fix-it-Tool lassen sich die Optionen im IE unter Internetoptionen/Erweitert setzen oder löschen. Die manuelle Konfiguration ist auf Windows-Servern etwas mühseliger, da man in der Registry bestimmte Schlüssel für den Secure Channel ändern muss.

Unterdessen diskutieren die Firefox-Entwickler noch, wie man das Problem am besten löst, ohne die Kompatibilität mit Webservern zu beeinträchtigen. Sie tun das allerdings bereits seit Ende Juni. Firefox unterstützt aktuell nur TLS 1.0.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE