Web-Seiten von Bund und BSI mit gefährlicher Verschlüsselung
Die Web-Seiten der Bundesverwaltung erzwingen eine Verschlüsselung, die die NSA wohl knacken kann. Dabei sollten es gerade die Experten des Bundesamtes für Sicherheit in der Informationstechnik eigentlich besser wissen.
Die Web-Seiten des Bundes und insbesondere des BSI erzwingen eine Verschlüsselung, die die NSA wohl knacken kann. Dabei sollten es gerade die Experten des Bundesamtes für Sicherheit in der Informationstechnik eigentlich besser wissen.
Wie ein einfacher Test mit dem Open-Source-Tool sslscan enthüllt, unterstützen Server wie der des BSI und BSI für Bürger nur vier Verfahren zur Verschlüsselung:
# sslscan www.bsi.de | grep Accepted
Accepted SSLv3 128 bits RC4-SHA
Accepted SSLv3 128 bits RC4-MD5
Accepted TLSv1 128 bits RC4-SHA
Accepted TLSv1 128 bits RC4-MD5
Alle vier erfordern eine Verschlüsselung mit RC4, die man heutzutage eigentlich nicht mehr einsetzen sollte. "Die Stromchiffre RC4 hat bekannte kryptographische Schwächen" erklärt das BSI in seiner sehr guten Technischen Richtlinie für Kryptographische Verfahren. Die folgende Einschätzung, dass diese "nicht zu praktischen Angriffen führen" darf allerdings mittlerweile als überholt gelten. Nach aktuellen Erkenntnissen sollte man vielmehr davon ausgehen, dass die NSA die RC4-Verschlüsselung in Echtzeit knacken kann.
RC4 wurde eine Zeit lang als schneller Workaround empfohlen, der gegen einen vor zwei Jahren entdeckten Angriff namens BEAST schützt. Dem ist auch die bis 2013 gültige Ausnahme in den Richtlinien des BSI geschuldet: "Abweichend zu obigen Vorgaben kann übergangsweise der Verschlüsselungsalgorithmus RC4_128 genutzt werden". Doch mittlerweile haben alle Browser-Hersteller den BEAST-Angriff durch spezielle Vorkehrungen unmöglich gemacht, so dass dieser Grund für den Einsatz und sogar das Erzwingen kaputter Verschlüsselung entfällt. Im Übrigen empfiehlt auch die europäische Sicherheitsbehörde ENISA in ihrem soeben veröffentlichten Leitfaden zum Einsatz von Kryptografie, RC4 nicht einmal mehr für den Einsatz auf Legacy-Systemen.
Bund.de und das BSI unterscheiden sich von den vielen Web-Servern, die RC4 trotzdem nutzen, weil es dessen Einsatz sogar erzwingt und lieber auf eine Verschlüsselung verzichtet, als auf andere Verfahren auszuweichen. Aufgefallen war die sehr eigenwillige Konfiguration der Server, die man so gut wie nirgends sonst findet, einem Leser, der im Gefolge des letzten heise-Security-Artikels zu RC4 und NSA seinen Firefox-Browser so umkonfiguriert hatte, dass er dem Gegenüber kein RC4 mehr anbot. Daraufhin konnte er keine verschlüsselte Verbindung mit den offiziellen Seiten der Bundesverwaltung mehr aufbauen. Schlimmer noch: Manche Seiten, die Verschlüsselung zwingend erfordern – wie die des BSI – waren für ihn gar nicht mehr erreichbar.
Das wäre nicht passiert, wenn sich das BSI an seiner eigenen Richtlinie orientiert hätte. Dort steht in Kapitel 3.2.3 (und somit hinter den Ausnahmen) bei den "Mindestanforderungen für Interoperabilität" unmissverständlich:
Für Konformität mit dieser Richtlinie müssen mindestens die folgenden Cipher Suites unterstützt werden:
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Die aktuelle Server-Konfiguration unterstützt keines dieser beiden Verfahren. Dass die Server auch keine Forward Secrecy einsetzen (BSI: "Bei der Verwendung von TLS zum Schutz personenbezogener oder anderer sensibler Daten ist Forward Secrecy grundsätzlich notwendig"), überrascht da kaum noch. Das alles ist umso schlimmer, als die Server des BSI und des Bundes natürlich eine Vorbildfunktion haben. Auf unsere letzte Woche erfolgten Hinweise an das BSI und die Frage, ob das BSI an diesen Einstellungen festhalten wird, gab es bislang keine Reaktion. (ju)
