Das Aus für SSL 3.0

Mit dem am 14. Oktober 2014 präsentierten Angriff namens Poodle (Padding Oracle On Downgraded Legacy Encryption) haben die Google-Sicherheitsforscher Bodo Möller, Thai Duong und Krzysztof Kotowicz nun ganz offiziell das Ende der SSL-Version 3.0 eingeläutet.

Das Verschlüsselungsprotokoll SSL wurde im Jahre 1996 in der Version 3.0 veröffentlicht und gilt schon seit geraumer Zeit als veraltet und unsicher. Dabei kann SSL 3.0 entweder mit der kryptografisch schwachen RC4-Stromverschlüsselung oder im CBC-Modus betrieben werden. Wie Googles Sicherheitsexperten jetzt in ihrem White-Paper beschrieben haben, besteht auch bei der Verwendung der CBC-Blockverschlüsslung die Möglichkeit, dass ein potentieller Angreifer die verschlüsselten Daten dechiffriert und somit an sensible Informationen, wie z.B. Session-Cookies, gelangt. Das Entscheidende ist dabei allerdings nicht unbedingt die Verwundbarkeit von SSL 3 ...Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK