Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Studie der Netcraft Ltd. über Nutzung von Web-Servern


26.04.2002 - 

Kurze SSL-Schlüssel bergen Risiko

LONDON (IDG) - Rund 15 Prozent aller Server in den USA, die Secure-Sockets-Layer-(SSL-)Verschlüsselung verwenden, sind anfällig für Angriffe von Hackern. Dies ergab eine Untersuchung von Netcraft über die Nutzung von Web-Servern. Noch gravierender scheint das Problem in Europa zu sein.

Bei SSL handelt es sich um ein verbreitetes Protokoll für die sichere Übertragung von Nachrichten im Internet. Die Browser-basierende Technologie gilt dann als sicher, wenn die Länge des öffentlichen Schlüssels für den Server mindestens 1024 Bit beträgt. Kürzere Schlüssellängen gefährden die Sicherheit, denn Hacker können sie leichter knacken. Gegenwärtig befinden sich etwa 60 Prozent der Websites, die SSL verwenden, in den Vereinigten Staaten. Davon benutzen durchschnittlich 15 Prozent zu kurze Schlüssel.

Außerhalb der USA sprechen die Zahlen eine noch deutlichere Sprache: In Frankreich setzen gut 41 Prozent der SSL-Sites auf kurze Schlüssel. Spanien folgt mit knapp 32 und Großbritannien mit 26,5 Prozent. Obwohl die Vereinigten Staaten ihre Exportrestriktionen inzwischen gelockert haben, führt Netcraft die bestehenden Ungleichgewichte auf die früheren rigiden Ausfuhrbeschränkungen zurück. In den USA war die Bit-Länge von Schlüsseln für exportierte Technologien auf 512 Bit beschränkt.

Diese Regelungen überschatten selbst heute noch die Anwendung adäquater Schlüssellängen, denn viele Firmen wollen, dass ihre Websites auch mit Legacy-Servern und -Systemen zusammenarbeiten, und verwenden daher 512-Bit-Schlüssel. Für den Endnutzer ist nicht ohne weiteres transparent, welche Schlüssellänge eingesetzt wird. Daher kommt aus dieser Ecke wenig Protest. Unter den Entwicklern von Browsern gibt es jedoch Bestrebungen, Browser-Software zu entwickeln, die die Schlüssellänge automatisch anzeigt. Das dürfte nicht allzu schwierig umzusetzen sein. In der Industrie existiert ohnehin die Tendenz, von 512 auf 1024 Bit zu wechseln. Trotzdem ist auch das Protokoll Transport Layer Security (TLS), der Nachfolger von SSL, nicht vor solchen Sicherheitslücken gefeit. Auch hier wird oft Rückwärtskompatibilität gewünscht. (sra)