Platzhalter für die vermutlich bald bekannt werdende Lücke in RC4.

Vorgeschichte

Bereits 2001 gab es Anzeichen für Schwachstellen in RC4. RC4 war aber nach wie vor eine sehr schnelle Verschlüsselungsmethode und gewann durch das Bekanntwerden anderer Lücken an Popularität, da RC4 gegen diese Angriffe immun war. Im März 2013 gelang es, HTTPS Verbindungen, die RC4 verwenden zu entschlüsseln. Darauf wurde vom Einsatz von RC4 in TLS >= 1.1 abgeraten. Inzwischen verlor TLS 1.0 an stark an Bedeutung und der Angriff auf RC4 wurde einfacher. Ausserdem gibt es inzwischen ebenso schnelle Alternativen.

Timeline

Seit Anfang 2015 gibt es vermehrt Hinweise, das RC4 endgültig kaputt ist:

• In Firefox 36 und Internet Explorer 11 wird RC4 inzwischen kaum noch verwendet und die vollständige Deaktivierung ist geplant. Trotzdem ist RC4 noch sehr verbreitet
• Standard verbietet Einsatz von RC4: https://tools.ietf.org/html/rfc7465
• Angriff auf RC4 für die Black Hat in Asien traktiert: https://www.blackhat.com/asia-15/briefings.html
• Mathy Vanhoef and Frank Piessens präsentieren einen Angriff, der Cookies innert 75 Stunden entschlüsselt: https://www.rc4nomore.com
• Oracle deaktiviert RC4 in Java: https://www.oracle.com/technetwork/java/javase/8u51-relnotes-2587590.html
• Mozilla, Google und Microsoft deaktivieren RC4 Anfang 2016: https://blogs.windows.com/msedgedev/2015/09/01/ending-support-for-the-rc4-cipher-in-microsoft-edge-and-internet-explorer-11/
• OpenSSL deaktiviert RC4 ab 1.1.0: https://www.openssl.org/news/changelog.html#x13

Dieser Artikel dient als Platzhalter für die Lücke und Mahnung an alle, die RC4 noch verwenden. Dazu gibt es wirklich keinen Grund mehr.