Microsoft: Unsichere DES-Verschlüsselung fliegt aus Windows raus
Microsoft hat jetzt angekündigt, dass der lange als unsicher geltende Cipher DES zum September aus Windows entfernt wird.
(Bild: Erstellt mit KI in Bing Designer durch heise online / dmk)
Die Verschlüsselung mit DES gilt seit Langem, bereits länger als zwei Dekaden, als unsicher. Nun macht Microsoft Nägel mit Köpfen: Die DES-Verschlüsselung fliegt endgültig aus Windows raus.
(Bild: Screenshot / dmk)
Bereits 1998 haben IT-Sicherheitsforscher demonstriert, dass DES-Schlüssel, die aufgrund US-amerikanischer Export-Beschränkungen zudem seit 1992 auf effektiv 40-Bit Länge und ab 1999 schließlich auf 56 Bit Länge beschränkt waren, innerhalb von nicht einmal drei Tagen und mit begrenztem Budget zu knacken waren. Die damalige US-Regierung argumentierte, dass das lediglich mit wesentlich höherem Aufwand möglich und die kurzen Schlüssel daher kein Problem seien. Die Forscher haben das mit einem von der Electronic Frontier Foundation (EFF) damals selbst gebauten "Supercomputer" mit knapp 2000 speziell designten CPUs (ASICs) mit weniger als 40 MHz Taktfrequenz, der etwa 250.000 US-Dollar kostete, widerlegt.
Im September ist Schluss
Auf der Liste der aus Windows entfernten Funktionen schreibt Microsoft nun, dass der Data Encryption Standard (DES) als unsicher gegenüber modernen kryptografischen Angriffen gelte und durch robustere Verschlüsselungsalgorithmen ersetzt wird. DES sei standardmäßig bereits seit Windows 7 und Windows Server 2008 R2 deaktiviert gewesen. Aus Windows 11 24H2 und Windows Server 2025 und jeweils neueren Versionen wird DES entfernt. Der Support dafür endet im September 2025.
Videos by heise
Am Donnerstag hat Microsoft diese Änderung nun auch in die Auflistung der aus Windows Server 2025 entfernten Funktionen aufgenommen. Vergangene Woche hat Microsoft auf dieser Liste Powershell 2.0 von entfernten Funktionen zu nicht mehr weiterentwickelten Features verschoben, was die Gnadenfrist dafür noch etwas verlängern dürfte.
(Bild: Screenshot / dmk)
Etwas später legte Microsoft noch die Information nach, dass Admins prüfen sollen, ob in ihren Netzwerken DES für Kerberos zum Einsatz komme. Die Redmonder schreiben im Windows Message Center: "Bereitet euch auf die Entfernung von DES in Kerberos für Windows Server 2025 und Windows 11 24H2 vor. Zwar wird die optionale Komponente nicht standardmäßig installiert. Es ist jedoch wichtig, DES-Einsatz zu erkennen und deaktivieren, um Störungen vor der Anwendung der September-2025-Sicherheitsupdaes zu vermeiden. Als Alternative sollten Sie den Einsatz des Advanced Encryption Standard (AES) erwägen."
Vor rund zehn Jahren musste OpenSSL eine Funktion korrigieren, die hilft, die Erzeugung von 16 besonders unsicheren und extrem schwachen DES-Schlüsseln zu verhindern. Es hatten sich Tippfehler in der Testfunktion eingeschlichen, die sie beeinträchtigten; die Prüf-Funktion sei damals nach Projektangaben jedoch ohnehin nie eingesetzt worden. Aber auch zu dem Zeitpunkt war lange klar, dass man von DES besser die Finger lässt.
Information von Microsoft bezüglich DES für Kerberos ergänzt.
(dmk)
