- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,149
- Punkte für Reaktionen
- 1,705
- Punkte
- 113
http://heise.de/-3291361
Damit werden einige Besitzer von SoHo-Routern ggf. nicht mehr auf die externen Schnittstellen ihrer Geräte zugreifen können, wenn diese nur die alte RC4-Verschlüsselung implementiert haben.
Es gab vor einigen Jahren mal ein Problem mit der Angreifbarkeit von bestimmten SSL-Verbindungen, was in der Folge zu einer (kurzfristigen) Empfehlung geführt hatte, nur noch RC4-Verschlüsselung zu verwenden. Die dieser Lücke zugrundeliegende Problematik wurde dann recht schnell durch Änderungen auf der Client-Seite entschärft (nur Apple brauchte dort etwas länger) und trotzdem hielt sich der Mythos "RC4 ist das Beste und man sollte nur noch die verwenden" noch ein paar Monate ... bis dann im Zuge der Snowden-Enthüllungen herauskam, daß die NSA RC4-Verschlüsselung wohl in Echtzeit brechen kann - für so richtig sicher wurde das aber auch vorher schon nicht mehr gehalten bzw. zumindest wurde es vorher schon mit dem Attribut "veraltet" versehen.
Seither wurde u.a. die Verwendung von RC4 in TLS von der IETF explizit verboten (prohibited) - jedoch erst im Februar 2015 ... aber gerade Geräte und Firm-/Software aus der Zeit von 2011 bis 2013 verwenden eben gerne noch RC4 - auch weil es beim Durchsatz weniger bremst als anspruchsvollere Algorithmen.
Bei AVM war es z.B. so, daß irgendwann im Spätherbst 2013 dann die Firmware beginnend mit Version 06.0x (bzw. 05.60, wie sie vorher hieß) soweit kastriert war (da war RC4 dann schon höchst fragwürdig, aber das war wohl nicht mehr aufzuhalten in der AVM-Entwicklung), daß diese nur noch RC4-Verschlüsselung verwendete (für den Webserver bei externem Zugriff). Das wieder rückgängig zu machen, war dann auch einer der Kernpunkte des von AVM nachgeschobenen Updates auf 06.06 für die FRITZ!Box-Modelle 7270v2/v3 im Herbst des vergangenen Jahres, als dann klar war, daß die Browser-Hersteller ihrerseits RC4 nicht mehr unterstützen würden. So lange konnten aber die Besitzer der Modelle 7270v2/v3 nur mit einer "fragwürdigen" Verschlüsselung mit ihrer FRITZ!Box arbeiten, wenn sie aus dem Internet auf die Oberfläche zugegriffen haben (gilt auch für Apps, die extern TR-064 verwendeten) - andere waren seit 06.2x wieder sicherer und die Beschränkung auf "only RC4" betraf auch die Firmware-Versionen vor 06.0x noch nicht.
Die Frage wäre jetzt, wie das bei anderen (älteren) Routern aussieht ... wobei die Verwendung von SSL/TLS ja auch nicht überall stattfindet. Wie das z.B. bei der 6360 aussehen könnte (da existiert die 06.06 m.W. auch schon 6 Monate länger als das Update auf 06.06 für die 7270 - keine Ahnung, ob AVM da die Rolle rückwärts schon vollzogen hatte, genug Zeit wäre gewesen), wäre ggf. zu berücksichtigen, wenn hier der Nächste mit einem Bericht aufschlägt, daß sein Internet-Explorer auf einmal keine (SSL-)Verbindung mehr mit einer solchen FRITZ!Box herstellen will ... das gilt natürlich auch für andere Geräte, wobei die dann meist sogar noch die alten Export-Algorithmen an Bord haben.
Bei der 6360 hatte zwar KDG mal ein großes Geschrei um das Rollout einer Version 06.50 gemacht ... aber das ist zumindest nicht bei allen Kunden auch angekommen, wie ich aus der Familie weiß - dort ist immer noch die 06.06 vorhanden (zumindest war sie es vor 4 Wochen noch, obwohl da die VF-Ankündigung auch schon 4 Wochen alt war). Der Fernzugang ist da allerdings deaktiviert, daher kann ich im Moment nicht prüfen, welche Algorithmen dort unterstützt werden.
Jedenfalls ist die bisher noch gültige Empfehlung, es bei Verschlüsselungsproblemen wg. fehlender RC4-Unterstützung dann doch mal mit dem IE zu probieren, von jetzt an auch nicht mehr hilfreich.
Damit werden einige Besitzer von SoHo-Routern ggf. nicht mehr auf die externen Schnittstellen ihrer Geräte zugreifen können, wenn diese nur die alte RC4-Verschlüsselung implementiert haben.
Es gab vor einigen Jahren mal ein Problem mit der Angreifbarkeit von bestimmten SSL-Verbindungen, was in der Folge zu einer (kurzfristigen) Empfehlung geführt hatte, nur noch RC4-Verschlüsselung zu verwenden. Die dieser Lücke zugrundeliegende Problematik wurde dann recht schnell durch Änderungen auf der Client-Seite entschärft (nur Apple brauchte dort etwas länger) und trotzdem hielt sich der Mythos "RC4 ist das Beste und man sollte nur noch die verwenden" noch ein paar Monate ... bis dann im Zuge der Snowden-Enthüllungen herauskam, daß die NSA RC4-Verschlüsselung wohl in Echtzeit brechen kann - für so richtig sicher wurde das aber auch vorher schon nicht mehr gehalten bzw. zumindest wurde es vorher schon mit dem Attribut "veraltet" versehen.
Seither wurde u.a. die Verwendung von RC4 in TLS von der IETF explizit verboten (prohibited) - jedoch erst im Februar 2015 ... aber gerade Geräte und Firm-/Software aus der Zeit von 2011 bis 2013 verwenden eben gerne noch RC4 - auch weil es beim Durchsatz weniger bremst als anspruchsvollere Algorithmen.
Bei AVM war es z.B. so, daß irgendwann im Spätherbst 2013 dann die Firmware beginnend mit Version 06.0x (bzw. 05.60, wie sie vorher hieß) soweit kastriert war (da war RC4 dann schon höchst fragwürdig, aber das war wohl nicht mehr aufzuhalten in der AVM-Entwicklung), daß diese nur noch RC4-Verschlüsselung verwendete (für den Webserver bei externem Zugriff). Das wieder rückgängig zu machen, war dann auch einer der Kernpunkte des von AVM nachgeschobenen Updates auf 06.06 für die FRITZ!Box-Modelle 7270v2/v3 im Herbst des vergangenen Jahres, als dann klar war, daß die Browser-Hersteller ihrerseits RC4 nicht mehr unterstützen würden. So lange konnten aber die Besitzer der Modelle 7270v2/v3 nur mit einer "fragwürdigen" Verschlüsselung mit ihrer FRITZ!Box arbeiten, wenn sie aus dem Internet auf die Oberfläche zugegriffen haben (gilt auch für Apps, die extern TR-064 verwendeten) - andere waren seit 06.2x wieder sicherer und die Beschränkung auf "only RC4" betraf auch die Firmware-Versionen vor 06.0x noch nicht.
Die Frage wäre jetzt, wie das bei anderen (älteren) Routern aussieht ... wobei die Verwendung von SSL/TLS ja auch nicht überall stattfindet. Wie das z.B. bei der 6360 aussehen könnte (da existiert die 06.06 m.W. auch schon 6 Monate länger als das Update auf 06.06 für die 7270 - keine Ahnung, ob AVM da die Rolle rückwärts schon vollzogen hatte, genug Zeit wäre gewesen), wäre ggf. zu berücksichtigen, wenn hier der Nächste mit einem Bericht aufschlägt, daß sein Internet-Explorer auf einmal keine (SSL-)Verbindung mehr mit einer solchen FRITZ!Box herstellen will ... das gilt natürlich auch für andere Geräte, wobei die dann meist sogar noch die alten Export-Algorithmen an Bord haben.
Bei der 6360 hatte zwar KDG mal ein großes Geschrei um das Rollout einer Version 06.50 gemacht ... aber das ist zumindest nicht bei allen Kunden auch angekommen, wie ich aus der Familie weiß - dort ist immer noch die 06.06 vorhanden (zumindest war sie es vor 4 Wochen noch, obwohl da die VF-Ankündigung auch schon 4 Wochen alt war). Der Fernzugang ist da allerdings deaktiviert, daher kann ich im Moment nicht prüfen, welche Algorithmen dort unterstützt werden.
Jedenfalls ist die bisher noch gültige Empfehlung, es bei Verschlüsselungsproblemen wg. fehlender RC4-Unterstützung dann doch mal mit dem IE zu probieren, von jetzt an auch nicht mehr hilfreich.
