RC4 fliegt aus TLS

Rund um die Sicherheit des Systems und die Applikationen
Post Reply
User avatar
daemotron
Administrator
Administrator
Posts: 2641
Joined: 2004-01-21 17:44
Contact:
Contact daemotron
 

RC4 fliegt aus TLS

Post by daemotron »

RC4 kommt endlich dahin, wo es mittlerweile hingehört: auf den Müllhaufen der Krypto-Geschichte.

Der Vorschlag für den entsprechenden RFC kommt übrigens ausgerechnet von Microsoft... 8)
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11191
Joined: 2003-02-27 01:00
Location: Hamburg
Contact:
Contact Joe User
 

Re: RC4 fliegt aus TLS

Post by Joe User »

Schade nur, dass sie 3DES und einigen anderen Mist nicht gleich mit entsorgt haben.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
User avatar
daemotron
Administrator
Administrator
Posts: 2641
Joined: 2004-01-21 17:44
Contact:
Contact daemotron
 

Re: RC4 fliegt aus TLS

Post by daemotron »

In der Tat, da wäre es mal an der Zeit. Letztlich glaube ich aber, dass man TLS 1.x nicht wirklich "heilen" kann, indem man veraltete Algorithmen rausdefniniert - da wären noch als ungeeignet anzusehende Modi (z. B. CBC) und einiges andere mehr. Da hilft auch der Draft für TLS 1.3 nicht wirklich weiter, der flickt nur einige der übelsten Dinge.

Letztlich müsste man IMHO den gesamten Protokoll-Stack noch einmal überdenken - angefangen bei der Diskussion, auf welchen Layer die Krypto eigentlich gehört, welche Kommunikationsmerkmale kryptographisch gesichert werden sollen, bis hin zur Frage, wie man kryptographische Sicherheit end-to-end auch im Zeitalter massiv paralleler Systeme (SMP, Cuda & Co) hinbekommt.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time
Top
Post Reply

Return to “Security”