• +49 (0)3641 2714966
  • hello@enginsight.com
MENUMENU
Zertifikatsfehler auf Bildschirm

CVE-2016-2183: Sweet32

Die bisher als ausreichend sicher anerkannte Data Encryption Standard (DES) Verschlüsselung von SSL/TLS Verbindungen, weist erhebliche Sicherheitsmängel auf. Der sogenannte Sweet32-Angriff ermöglicht durch gezielte Beobachtung von übertragenen Daten die Entschlüsselung gesendeter Informationen. Eine sichere Internetverbindung und der Schutz Ihrer Daten sind mit dieser Verschlüsselungsmethode somit nicht mehr gewährleistet.

Sicherheistlücke Sweet 32: Was steckt dahinter?

DES-Chiffren basieren auf einer vergleichsweise geringen Blockgröße von 64-bit, was sie anfällig für Kollisionsangriffe macht. Die geringe Blockgröße bietet Potenzial für sogenannte Geburtstagsangriffe, welche das statistische Phänomen des gleichnamigen Geburtstagsparadoxons ausnutzen. Demnach steigt mit zunehmender Anzahl an abgefangenen Datenpaketen die Wahrscheinlichkeit einer Kollision, die Rückschlüsse auf den eigentlichen Klartext zulassen.

Sweet 32: Potentielle Bedrohungen

  • Dechiffrierung von Session-Cookies durch einen Angreifer und somit die Ermöglichung eines Serverzugriffs, um diesen zu kompromittieren um z.B. schadhaften Code in eine Website einzuschleusen
  • Insbesondere gefährdet sind Internetprotokolle wie: SSL/TLS, SSH, IPsec, UMTS und OpenVPN

Gegenmaßnahmen für bessere IT-Sicherheit

Deaktivieren Sie alle Chiffren, die den Data Encryption Standard (DES) Verschlüsselungsalgorithmus verwenden, wie beispielsweise:

  • DES-CBC-SHA
  • DES-CBC3-SHA
  • ECDH-RSA-DES-CBC3-SHA
  • ECDHE-RSA-DES-CBC3-SHA

Zur Umsetzung der Gegenmaßnahmen können wir Sie sehr gern unterstützen. Schreiben Sie uns einfach eine E-Mail. Wir freuen uns auf Ihre Nachricht.

Schreiben Sie uns


https://www.openssl.org/blog/blog/2016/08/24/sweet32/

 

Share this post

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email

Enginsight ist ein Telekom Techboost Unternehmen

Zwei Personen sprechen über IT-Sicherheit Comic

Exklusive Infos

Erfahren Sie als erster alles über Produkt- und Security Neuigkeiten