Newegg verliert Patentstreit zu RC4-Verschlüsselung

Der US-amerikanische Online-Versand Newegg hat vor einem Gericht im Bundesstaat Texas einen Patentstreit über den Stromverschlüsselungs-Algorithmus RC4 vorerst verloren. Das Unternehmen muss laut Urteil 2,3 Millionen US-Dollar Schadensersatz an TQP Development zahlen, eine Firma des Patentlizenz-Experten Erich Spangenberg. Das Patent, über das der Streit entbrannt war, deckt laut TQP alle SSL-Verbindungen ab, die den RC4-Algorithmus verwenden – und trifft damit einen Großteil der Server im Internet, die sichere Verbindungen anbieten.

Auch die Tatsache, dass die beklagte Firma im Rahmen des Verfahrens Whitfield Diffie, gemeinsam mit seinem Kollegen Martin Hellman Gründervater der Public-Key-Kryptogafie, in den Zeugenstand berief, half nicht. Spangenberg errang mit dem Urteil einen Etappensieg, der seiner Firma gute Argumente in Lizenzverhandlungen mit gewerblichen US-Nutzern von RC4 gibt. Momentan verklagt das Unternehmen laut Bericht von Ars Technica auch Google, LinkedIn und Sony vor dem selben Gericht. TQP hat mit dem RC4-Patent bis jetzt über 45 Millionen US-Dollar durch außergerichtliche Einigungen verdient – unter anderem zahlten Amazon und Microsoft.

Neweggs Vertreter haben jedoch bereits angekündigt, in Revision zu gehen. Die Firma hat sich einen Namen damit gemacht, gegen Patentlizenz-Forderungen vorzugehen anstatt sich, wie viele andere Unternehmen, außergerichtlich zu einigen.

RC4 ist immer noch sehr weit verbreitet; mehr als 90 Prozent aller SSL-fähigen Webserver weltweit setzen das Verfahren ein. Und das, obwohl das Verfahren eigentlich als geknackt gelten muss. So rief Krypto-Experte Jacob Appelbaum kürzlich dazu auf, RC4 nicht mehr zu nutzen. Die NSA könne mittlerweile diese Verbindungen in Echtzeit knacken.

Aus technischer Sicht kann man es zwar durchaus vertreten, RC4 als Fallback noch mit zu unterstützen. Doch nach unserem Bericht, dass unter anderem das BSI und die Bundesverwaltung dessen Einsatz sogar erzwingen, erreichen uns fast täglich Hinweise, dass Banken und andere sicherheitsrelevante Server ebenfalls nur dieses eine, unsichere Verfahren unterstützen. Das BSI immerhin hat mittlerweile seine Server so umgestellt, dass sie jetzt AES-CBC einsetzen. (fab)