RC4: Sicher surfen ohne Schnüffler

14 Nov, 2013

RC4 ist ein Verschlüsselungsalgorithmus, der u.a. bei Shopping- oder E-Banking-Websites eingesetzt wird, damit keine Dritten die übertragenen Daten lesen können. Er gilt jedoch heutzutage als nicht mehr genug sicher, und zudem wird auch vermutet, dass Geheimdienste wie der NSA allenfalls sogar solche SSL-Verbindungen in Echtzeit dechiffrieren, also mitlesen können.

Beim Verbindungsaufbau eines Browsers mit einem Web-Server tauschen beide Seiten die Verschlüsselungsverfahren aus, die sie beherrschen. Finden sie einen Algorithmus, den beide können, dann wird dieser für die darauf folgende Kommunikation eingesetzt. RC4 steht da aktuell immer noch weit oben auf diesen Listen – quasi als kleinster, gemeinsamer Nenner.

Als normaler Internet-Nutzer ist man eigentlich darauf angewiesen, dass die Server-Administratoren die Verschlüsselungs-Liste pflegen, seit dieser Woche gibt es jedoch auch für den Internet Explorer die Möglichkeit, RC4 von vornherein ausschliessen zu können. Microsoft hat am Dienstag ein Update veröffentlicht und empfiehlt nun, dass die Endbenutzer selbst die Sicherheit ihres Computers erhöhen.

Falls das Update 2868725 noch nicht durch die automatische Windows-Update-Funktion installiert wurde (im Update-Verlauf nach 2868725 suchen), kann man es auch manuell herunterladen.

Danach in einem einfachen Text-Editor (Editor, Notepad, o.ä.) folgenden Text einkopieren:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

und z.B. als Datei no_RC4.reg (ohne .txt als Dateiendung) abspeichern.
Jetzt muss nur noch diese Datei ausgeführt, d.h. doppelklickt werden.

Auf der Seite https://cc.dcsec.uni-hannover.de kann überprüft werden, ob RC4 wirklich aus der Liste der vom Browser unterstützten Verschlüsselungen verschwunden ist; siehe Bildgalerie oben.

Eine Anleitung, wie dies auch bei Firefox gemacht werden kann, findet man bei zweitaktpirat.de.

Disclaimer für die Vorsichtigen: Am Besten machen Sie vor Manipulationen an der Registry erst ein Backup (regedit.exe starten, links den „Computer“ auswählen und alles exportieren).
Registry-Updates sollten nur aus vertrauenswürdigen Quellen verwendet werden, und/oder so wie hier, wenn Sie sehen können, was dadurch verändert wird.

 

About the author

Ivan Kellenberger

Schon seit seinem Studium zum Informatik-Ingenieur, als das Internet erst an Universitäten und staatlichen Einrichtungen zur Verfügung stand, bewegt sich Ivan Kellenberger durch "das Netz". Als eines der Gründungsmitglieder ist Ivan seit 1996 bei Futurecom tätig und führt als Mitglied der Geschäftsleitung der Y&R Group Switzerland die IT Unit der Gruppe. Für den Frog-Blog spürt er immer wieder die neuesten Trends der digitalen Welt auf.

Related Posts