Yahoos E-Mail-Verschlüsselung weist Schwachstellen auf

EnterpriseSicherheit

Die Implementierung von HTTPS hat Yahoo einem Sicherheitsexperten zufolge nicht bei allen Servern gleich vorgenommen. Das Unternehmen nutzt für Yahoo Mail noch das als schwach geltende Verschlüsselungsverfahren RC4. Für den Anmeldedienst nutzt es die sichere Alternative AES.

Die von Yahoo diese Woche eingeführte Verschlüsselung des Datenverkehrs zwischen den Browser von Yahoo-Nutzern und den eigenen Servern stößt bei Ivan Ristic, Direktor für Application Security Research bei Qualys, auf Kritik. Die Implementierung von HTTPS sei je nach Server unterschiedlich. Sogar technisch unsicher soll die Implementierung in einigen Fällen sein, so der Sicherheitsexperte.

Logo YahooAls Beispiel nennt Ristic die Verwendung des Verschlüsselungsverfahrens RC4 für Yahoos HTTPS-E-Mail-Server, berichtet Computerworld. “RC4 wird als schwach angesehen, weshalb wir dazu raten, es nicht zu benutzen, oder nur dann, wenn es keine andere Möglichkeit gibt”, schreibt Ristic in einem Blog.

Weiter in dem Bericht heißt es, dass Yahoo unter anderem für Anmeldeserver wie “login.yahoo.com” auf die sichere Alternative AES setzt. Schutzmaßnahmen gegen bekannte Angriffe wie BEAST oder CRIME fehlten allerdings. CRIME richtet sich auf eine Funktion mit dem Namen TLS-Compression. Diese sei bei login.yahoo.com aktiviert.

Darüber hinaus kritisiert Ristic die fehlende Unterstützung der Technik Forward Secrecy bei allen von ihm getesteten Yahoo-Servern. Die Technik stellt sicher, dass zuvor abgefangener SSL-Datenverkehr auch dann nicht entschlüsselt werden kann, wenn der Schlüssel des Servers im Nachhinein kompromittiert wurde. Möglich mache dies ein Diffie-Hellman-Schlüsselaustausch. Auf einen herkömmlichen RSA-Schlüsseltausch setze dahingegen Yahoo.

Bereits seit 2011 unterstützt Computerworld zufolge Googles SSL-Konfiguration Forward Secrecy. Die Technik setzen mittlerweile auch Facebook und Twitter ein.

“Ich glaube wir müssen akzeptieren, dass Yahoo Zeit benötigt, um seine Server in Bezug auf Verschlüsselung in Ordnung zu bringen. Aber vielleicht sollten sie bei der Planung und Umsetzung transparenter sein”, sagte Ristic. “Ich hätte mir beispielsweise etwas in der Art von ‘Wir haben diese anderen Dinge noch nicht erledigt, sie stehen aber schon auf unserem Zeitplan’ gewünscht”.

Die Umstellung auf HTTPS ist eine Reaktion Yahoos auf die Enthüllungen über die Abhöraktionen des US-Auslandsgeheimdiensts National Security Agency (NSA). Bereits vor Beginn der NSA-Affäre hatten die Konkurrenten des Unternehmens mit der Einführung der SSL-Verschlüsselung begonnen. Beispielsweise bietet Microsoft seit 2010 SSL als Option an. Im selben Jahr war Google der erste große Anbieter, der für seinen E-Mail-Dienst SSL-Verschlüsselung zum Standard machte.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen