MENU Schließen
Schließen

CVE-2016-2183: Sweet32

Die bisher als ausreichend sicher anerkannte Data Encryption Standard (DES) Verschlüsselung von SSL/TLS Verbindungen, weist erhebliche Sicherheitsmängel auf. Der sogenannte Sweet32-Angriff ermöglicht durch gezielte Beobachtung von übertragenen Daten die Entschlüsselung gesendeter Informationen. Eine sichere Internetverbindung und der Schutz Ihrer Daten sind mit dieser Verschlüsselungsmethode somit nicht mehr gewährleistet.

Sicherheistlücke Sweet 32: Was steckt dahinter?

DES-Chiffren basieren auf einer vergleichsweise geringen Blockgröße von 64-bit, was sie anfällig für Kollisionsangriffe macht. Die geringe Blockgröße bietet Potenzial für sogenannte Geburtstagsangriffe, welche das statistische Phänomen des gleichnamigen Geburtstagsparadoxons ausnutzen. Demnach steigt mit zunehmender Anzahl an abgefangenen Datenpaketen die Wahrscheinlichkeit einer Kollision, die Rückschlüsse auf den eigentlichen Klartext zulassen.

Sweet 32: Potentielle Bedrohungen

  • Dechiffrierung von Session-Cookies durch einen Angreifer und somit die Ermöglichung eines Serverzugriffs, um diesen zu kompromittieren um z.B. schadhaften Code in eine Website einzuschleusen
  • Insbesondere gefährdet sind Internetprotokolle wie: SSL/TLS, SSH, IPsec, UMTS und OpenVPN

Gegenmaßnahmen für bessere IT-Sicherheit

Deaktivieren Sie alle Chiffren, die den Data Encryption Standard (DES) Verschlüsselungsalgorithmus verwenden, wie beispielsweise:

  • DES-CBC-SHA
  • DES-CBC3-SHA
  • ECDH-RSA-DES-CBC3-SHA
  • ECDHE-RSA-DES-CBC3-SHA

Zur Umsetzung der Gegenmaßnahmen können wir Sie sehr gern unterstützen. Schreiben Sie uns einfach eine E-Mail. Wir freuen uns auf Ihre Nachricht.

Schreiben Sie uns


https://www.openssl.org/blog/blog/2016/08/24/sweet32/

Weitere Beiträge im Enginsight Blog
Die wahren Kosten eines Cyberangriff vs. Präventsionskosten - ein Fallbeispiel

Cybersecurity als Investition

Warum modernste Maßnahmen weniger kosten als die Folgen eines erfolgreichen Cyberangriffs Die Bedrohungslage steigt. Immer häufiger und immer ausgefeilter werden die Angriffe. So gut wie

White Hat

Mini-Pentest oder manueller Pentest?

Ist ein DIY-Pentest eine wirksame Cybersecurity-Maßnahme? Die zunehmende Komplexität in der Cybersicherheit fordert auch den Einsatz von neuen Technologien. Einfacher, besser… und sicherer? Es kommen

Security-Trends und Themen im Jahr 2024

Security-Trends und -Thesen 2024

Was sagen die Experten zu besonderen Bedrohungen, möglichen Schutzmechanismen/-technologien und den neuen Regularien? 2024 wird im Bereich Informations- und Cybersicherheit wohl wieder ein extrem anstrengendes

Enginsight Logo