Der Internet-Dienstleister CloudFlare hat sein Engagement für Verschlüsselung verstärkt: Alle seine Kunden-Websites erhalten Unterstützung für 256-Bit-Verschlüsselung mit ChaCha20-Poly1305, wenn sie von Mobilgeräten aufgerufen werden. Derzeit funktioniert das Protokoll schon auf etwa 10 Prozent aller Cloudflare-Sites. Der Rollout wird fortgeführt.
Wie Nick Sullivan im CloudFlare-Blog erläutert, ergänzt der Algorithmus das Verschlüsselungsprotokoll für HTTP, nämlich Transport Layer Security (TLS). ChaCha20-Poly1305 wurde von Google entwickelt und kommt in dessen Desktop-Browser Chrome seit Version 31 vom November 2013 zum Einsatz. Chrome für Android und iOS hat es seit April 2014 eingebaut. Mozilla plant eine Integration in Firefox.
Der verbreitetste Verschlüsselungsalgorithmus von TSL, RC4, gilt als nicht mehr sicher. Als Nachfolger wird vor allem AES-GCM gehandelt, das aber für Mobilgeräte einen entscheidenden Nachteil hat: Es erfordert hohe Leistung und kostet somit Akkulaufzeit.
Google hat das Verfahren aus der Stromverschlüsselung ChaCha20 und dem ebenfalls von Professor Dan Bernstein entwickelten Code-Authentifizierungsalgorithmus Poly1305 kombiniert. Es unterstützt 256 Bit lange Schlüssel, während sich AES-GCM überwiegend auf 128 Bit beschränkt.
„Die Option, in TLS eine sichere Stromverschlüsselung auswählen zu können, ist eine gute Sache für die Mobilleistung“, kommentiert Sullivan. „Vielfalt bei der Verschlüsselung ist auch eine gute Rückversicherung. Wenn jemand irgendwann eine Lücke in einer der AES-basierten Verschlüsselungssuiten findet, hat man eine sichere und schnelle Ausweichmöglichkeit.“
CloudFlare bezeichnet die von ChaCha20-Poly1305 gebotene Sicherheit als „mehr als ausreichend“ für HTTPS-Verbindungen. Es verhindere auch, dass Angreifer falsche Nachrichten in sichere Streams einfügten. Und dann sei da eben der Punkt Leistung, schreibt Sullivan: „ChaCha20-Poly1305 ist auf Mobilgeräten dreimal schneller als AES-128-GCM. Weniger für Verschlüsselung aufgewandte Zeit bedeutet schnelleres Seiten-Rendering und bessere Akkulaufzeit.“
Das US-Unternehmen CloudFlare ist ein Content Delivery Network und Anbieter von DNS-Diensten. Mit seinem Programm „Universal SSL“ hatte es im vergangenen Herbst schon Millionen Websites kostenlose SSL-Verschlüsselung ermöglicht.
[mit Material von Charlie Osborne, ZDNet.com]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…