128-Bit-Verschlüsselung: längst nicht mehr sicher

In den 90er Jahren war RC4 sehr beliebt. RC4 ist eine Stromchiffre (englisch: Stream Cipher), die dadurch Aufsehen erregte, dass extrem wenig Rechenzeit erforderlich ist. Damit ist sie ideal für Webserver und kann auch in Geräten mit schwacher CPU, beispielsweise Handys, implementiert werden. Die USA verboten gar den Export von 128-Bit-RC4-Verschlüsselungstechnologie und wollten den Rest der Welt mit 40 Bit auskommen lassen.

Doch Stromverschlüsselungen haben im Gegensatz zu Blockverschlüsselungen, etwa DES oder AES, viele Angriffspunkte. Um eine Stromverschlüsselung sicher zu machen, muss der Schlüssel theoretisch genauso lang sein wie die zu verschlüsselnde Nachricht. Das ist natürlich unpraktisch. Will man ein ISO-Image einer CD downloaden, müsste vorher ein Schlüssel in gleicher Größe ausgetauscht werden.

Daher wird bei RC4 wird eine Einmalzahl mit einem „Long-Term Key“ gehasht, um einen sich nicht wiederholenden Schlüsselstrom zu generieren. Dies erzeugt aber keinen echten zufälligen Schlüssel in der Länge der Nachricht.

Bereits 2001 konnten Fluhrer, Mantin und Shamir für RC4 zeigen, dass der Schlüssel aufgrund von Ungleichverteilungen im verschlüsselten Strom berechnet werden kann, wenn man genug Samples angesammelt hat. Andreas Klein konnte 2005 noch weitere Korrelationen feststellen, so dass es heute möglich ist, WEP-Verschlüsselungen in WLAN-Access-Points mit nominellen 128 Bits beziehungsweise effektiv 104 Bits mit einer Wahrscheinlichkeit von 50 Prozent in einer Minute zu knacken. Rechnet man etwa zwei Minuten, so steigt die Wahrscheinlichkeit auf 95 Prozent.

Dass WEP RC4 verwendet, ist aus Gründen der Performance nur allzu verständlich. WLAN-Access-Point haben meist eine stromsparende, aber leistungsschwache CPU. WPA setzt ebenfalls RC4 ein, allerdings mit dem wesentlich sicherem Key-Scheduling-Mechanismus TKIP, der alle 10 KByte einen neuen Schlüssel verlangt. Obwohl auch WPA das wesentlich sicherere AES nutzen kann, erlauben das die meisten WLAN-Geräte erst ab WPA2.

WPA2 bedeutet für die meisten Consumer-WLAN-Access-Points einen deutlichen Performanceverlust. ZDNet überprüft dies mit einer Fritzbox 7170. Mit WPA und TKIP werden 20 MBit/s erreicht, mit WPA2 und AES nur noch etwa 5 MBit/s.

Auch für RC4 in der TKIP-Variante gibt es bereits Brute-Force-Programme, die WPA-Verschlüsselung knacken können. Grundlage bilden die Arbeiten von Maximow und Chowratowitsch. Das Program Cowpatty, siehe Bild 7, arbeitet auf einem Standard-x86-PC und ist sehr erfolgreich bei Wörterbuchangriffen. Brute-Force-Angriffe sind mittels Rainbow-Tabellen möglich, können aber mehrere Monate dauern. Portierte man ein Programm wie Cowpatty allerdings auf eine GPU, so wären nur einige Tage nötig.

RC4 findet auch in allen Microsoft-Webservern bis einschließlich IIS 6.0 Verwendung. Erst Windows Server 2008 mit IIS 7.0 bringt AES. Laut Netcraft werden über 35 Prozent aller Websites im Internet mit Microsoft-Servern betrieben. Die überwiegende Anzahl der Microsoft-Webserver basiert heute nicht auf Windows 2008. Da es Microsoft mit der Rückwärtskompatibilität nicht so genau nimmt, wird es noch eine Zeit dauern, bis RC4 von den Microsoft-Servern verschwindet.

Website-Betreiber haben einen erheblichen Aufwand, ihre Anwendungen auf neue Versionen bringen. So betreibt Ebay seine Website noch immer unter Windows 2000 und IIS 5.0, siehe Bild 1.

Der Anwender ist hier machtlos. Bietet eine Website nur RC4 an, so kann man dies entweder akzeptieren oder die Website verlassen. Betreiber von Microsoft-Webservern haben die Möglichkeit, den vorinstallierten SSL-Dienst gegen einen anderen auszutauschen, beispielsweise Stunnel, das AES ermöglicht. Die Praxis zeigt, dass die meisten Betreiber Microsofts SSL bevorzugen, siehe Bild 5.

RC4 auf Webservern lässt sich allerdings nicht ganz so leicht knacken wie auf WLAN-Access-Points. Das liegt vor allem daran, dass bei jedem HTTPS-Request ein völlig neuer Schlüssel generiert wird. Auf einer Webseite sind meist nicht genug Samples vorhanden, um die Verschlüsselung zu dechiffrieren.