Bereits kurz nach der Veröffentlichung zu den gezielten Angriffen auf Verschlüsselung durch die NSA spekulierten Krypto-Experten, dass die NSA im Rahmen von "Bullrun" durchaus ein effizientes Verfahren entwickelt haben könnte, RC4-Verschlüsselung zu brechen. Für Wissenschaftler gilt das Verfahren ohnehin als geknackt, weil es bereits theoretische Angriffsszenarien gibt, die sich allerdings kaum praktisch umsetzen lassen. Und jetzt behauptet Jakob Appelbaum öffentlich

Jacob Appelbaum gehört zum Kern von Tor und Wikileaks und hat enge Kontakte zu Snowden. (Bild: Photograph by Rama, Wikimedia Commons, Cc-by-sa-2.0-fr )

"RC4 wird von der NSA in Echtzeit geknackt -- hört auf es zu benutzen."

Nun wäre die Behauptung eines beliebigen Paranoikers keine Meldung. Allerdings ist Appelbaum kein beliebiger Paranoiker, sondern selbst Krypto-Experte aus dem Kern von WikiLeaks und Tor mit sehr engen Kontakten zu Edward Snowden, den er etwa bei der Verleihung des Whistleblower Awards vertrat. Er war Mitautor der Spiegel-Enthüllung zu Angela Merkels Handy – und das bestimmt nicht wegen der journalistischen Expertise des Amerikaners. Vielmehr ist er die Verbindung zwischen dem Spiegel und den immer noch nicht veröffentlichten NSA-Unterlagen mit Merkels Handynummer. Wenn also Appelbaum sich hinstellt und behauptet: "Ich habe das über mehrere Quellen verifiziert, einschließlich solcher mit Kenntnissen der NSA", dann sollte man diese Warnung nicht auf die leichte Schulter nehmen. Es bleibt natürlich die Frage im Raum, warum er sie nicht mit Fakten untermauert.

Mehr als 90 Prozent aller Web-Server unterstützen RC4; 36% nutzen es aktiv -- darunter fast alle großen Web-Sites. (Bild: Qualys)

Allerdings halten auch andere Krypto-Experten einen Durchbruch der NSA beim Knacken von RC4 für durchaus möglich, Bruce Schneier etwa bezeichnete es als plausible Vermutung. Das Problem mit dem Verschlüsselungsverfahren RC4 ist, dass es zwar spätestens seit der erfolgreichen aber nicht wirklich praxistauglichen Angriffe eines Forscher-Teams als geknackt gelten muss. Aber es gilt auch als sehr schnell und sozusagen als eine Art kleinster gemeinsamer Nenner, auf den kaum ein Server-Betreiber als Fallback verzichten mag. Außerdem nutzten es viele Server-Betreiber als Quick&Dirty-Workaround gegen die BEAST-Attacke, die das eigentlich viel bessere AES im CBC-Modus plagte. Das erklärt, warum heute immer noch viele Server-Betreiber RC4 ganz weit oben auf ihrer Liste haben und RC4-Verschlüsselung in vielen SSL-Verbindungen erzwingen.

Laut SSL-Labs nutzen mehr als ein Drittel aller SSL-Server RC4 mit mindestens einem modernen Browser. In einem Kurztest mit sslscan bevorzugten vor allem große Server wie die von Microsoft, Google, Facebook, Twitter, eBay und Paypal Cipher-Suites mit RC4. De Facto dürfte mehr als die Hälfte aller verschlüsselt übertragenen Daten des Web mit RC4 gesichert sein. Die Fähigkeit, diese Verschlüsselung in Echtzeit zu knacken, eröffnete somit den Zugang zu riesigen Datenmengen, deren Erzeuger die eigentlich geheim halten wollten. Immerhin enthalten diese Daten oft Passwörter und Sitzungs-Cookies, mit denen man dann, auch ganz ohne irgendwelche Verschlüsselung zu knacken, ungehindert auf Accounts zugreifen kann.

Web-Seiten-Betreiber sollten darauf achten, dass sie für jeden Browser mindestens eine Cipher-Suite anbieten, die kein RC4 enthält. Nachdem Apple als letzter großer Hersteller mit Mavericks einen Workaround gegen die BEAST-Attacke umgesetzt hat, kann man statt dessen guten Gewissens AES-CBC benutzen. Seit Oktober führt dessen Einsatz auch endlich nicht mehr zu einer Herabstufung der Bewertung durch die SSL Labs. (ju)