Nieuws
image

Microsoft schakelt RC4-algoritme op Windows uit

dinsdag 12 november 2013, 19:59 door Redactie, 4 reacties
Laatst bijgewerkt: 13-11-2013, 11:30

Om Windowsgebruikers tegen afluisteren te beschermen heeft Microsoft een update uitgebracht die het mogelijk maakt om een populair algoritme voor het versleutelen van internetverkeer uit te schakelen. Het gaat om het uit 1987 stammende RC4-encryptiealgoritme dat wordt gebruikt bij opzetten van een HTTPS-verbinding.

Dit jaar zijn er praktische aanvallen tegen RC4 gedemonstreerd die lieten zien dat een aanvaller versleuteld verkeer kan ontsleutelen. Daardoor is het volgens Microsoft niet meer veilig om Windowsgebruikers het algoritme te laten gebruiken. In Windows 8.1 en Internet Explorer 11 is de ondersteuning van RC4 al verwijderd en wordt TLS1.2 standaard gebruikt voor het opzetten van beveiligde verbindingen.

Een nu door Microsoft gepubliceerde update doet dit ook voor Windows 7, Server 2008, Windows 8, Server 2012 en Windows RT. Deze update zal bij de meeste gebruikers automatisch via de Automatische Update-functie worden geïnstalleerd. De instellingen die ervoor zorgen dat RC4 niet meer wordt gebruikt moeten gebruikers echter zelf middels verschillende registerwijzigingen doorvoeren. De update maakt alleen het verwijderen van RC4 mogelijk.

Gebruik

Microsoft analyseerde 5 miljoen websites en ontdekte dat 58% van de websites geen RC4 gebruikt bij het opzetten van een versleutelde verbinding, terwijl zo'n 43% dit wel doet. Van deze 43% die RC4 gebruikt blijkt dat slechts 3,9% het algoritme echt vereist. "Door het standaard uitschakelen van RC4 kan het gebruik van RC4 met bijna veertig procent afnemen", aldus William Peteroy van het Microsoft Security Response Center.

Reacties (4)
12-11-2013, 20:41 door 0101
Voor Firefox-gebruikers die ook van RC4 afwillen:
1. Ga in de adresbalk naar about:config.
2. Klik rustig door bij de waarschuwing.
3. Type RC4 in in het zoekveld.
4. Zet alle RC4-cypers op false.
Bijvoorbeeld:
security.ssl3.ecdh_ecdsa_rc4_128_sha;false
security.ssl3.ecdh_rsa_rc4_128_sha;false
security.ssl3.ecdhe_ecdsa_rc4_128_sha;false
security.ssl3.ecdhe_rsa_rc4_128_sha;false
security.ssl3.rsa_rc4_128_md5;false
security.ssl3.rsa_rc4_128_sha;false
12-11-2013, 21:29 door Anoniem
En als je dan toch bezig bent, zet dan security.tls.version.max op 3 (>=FF24, 2 voor FF23) en security.tls.version.min op 1.
13-11-2013, 00:59 door Anoniem
Door 0101: Voor Firefox-gebruikers die ook van RC4 afwillen:
1. Ga in de adresbalk naar about:config.
2. Klik rustig door bij de waarschuwing.
3. Type RC4 in in het zoekveld.
4. Zet alle RC4-cypers op false.
Bijvoorbeeld:
security.ssl3.ecdh_ecdsa_rc4_128_sha;false
security.ssl3.ecdh_rsa_rc4_128_sha;false
security.ssl3.ecdhe_ecdsa_rc4_128_sha;false
security.ssl3.ecdhe_rsa_rc4_128_sha;false
security.ssl3.rsa_rc4_128_md5;false
security.ssl3.rsa_rc4_128_sha;false

Heb je advies overgenomen en daarna weer teruggedraaid
https://bugzilla.mozilla.org/show_bug.cgi?id=927045
13-11-2013, 10:03 door Anoniem
Het artikel klopt niet helemaal, RC4 wordt niet per default uitgeschakeld door de update, er wordt support toegevoegd middels een registry setting:

"The update supports the removal of RC4 as an available cipher on affected systems through registry settings".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure