Der Netzaktivist und Kryptographieexperte Jacob Appelbaum warnt vor der weiteren Verwendung von RC4 für Verschlüsselung. In einer kurzen Nachricht auf Twitter behauptet der in Deutschland lebende US-Amerikaner, dass die NSA RC4 mittlerweile in Echtzeit entschlüsseln könne.

Vorwurf

Appelbaum beruft sich dabei auf mehrere Quellen, inklusive solcher mit intimer Kenntnis der NSA. Konkrete Belege kann er zwar nicht liefern, der Sicherheitsexperte gilt nicht gerade als Paranoiker, der leichtfertig Behauptungen aufstellt. Zudem halten auch andere Sicherheitsexperten wie Bruce Schneier einen solchen Durchbruch für plausibel, wie heise berichtet.

Warnung

Schon seit längerem warnen Krypto-Experten vor dem Einsatz von RC4. Spätestens seit Forscher im Frühjahr eine erfolgreiche Attacke auf solcherart verschlüsselte Verbindungen vorgezeigt haben, ist dieses als nicht sicher anzusehen. Die damalige Demonstration war allerdings noch weit von einer Echzeitüberwachung entfernt, genau dies scheint aber mittlerweile der NSA gelungen zu sein.

Schwierige Situation

Das Problem an dieser Erkenntnis: RC4 ist noch immer weit verbreitet für SSL-Verbindungen, stellt es doch so etwas wie einen kleinsten gemeinsamen Nenner dar, den alle Browser unterstützen. Dies auch da gegen das eigentlich wesentlich sicherer AES-CBC seit längerem eine eigene Attacke (BEAST) bekannt ist. Diese wurde zwar mittlerweile praktisch überall geschlossen, trotzdem haben sich noch nicht alle Serverbetreiber vollständig auf den moderneren Cipher eingelassen. (red, derStandard.at, 07.12.13)