Anwender können mit einem Tool Verschlüsselungs-Server lahm legen

Die Gruppe nennt sich selbst The Hackers Choice (THC). Mit einem einfachen Stück Software lässt sich nun ein Server, der für die Verschlüsselung zuständig ist, lahm legen. Das Prinzip ist recht einfach. Der Client verlangt immer wieder die Verhandlung des Schlüssels.

Mit dem DoS-Tool von thc.org lassen sich https-Server mächtig unter Druck setzen. Der Client braucht dabei nur ein Minimum an Bandbreite. Es lassen sich leicht 1000 parallele Verbindungen öffnen, die immer wieder das Nachverhandeln des Schlüssels verlangen. Laut eigener Aussage könnte es ein Client an einer DSL-Verbindung locker mit einem Server an einer 30GBit-Anbindung aufnehmen und diesen zum Stillstand bringen.

Ein Workaround ist SSL Key Renegotiation zu deaktivieren. Es gibt sowieso nur wenige Clients, die diese Funktion nutzen. Das Tool von THC funktioniert dann nicht mehr, aber das Problem an sich ist immer noch da. THC schreibt, dass man die Software einfach modifizieren könnte und man würde wieder vor demselben Problem stehen. Der Einsatz des Tools ist in Deutschland mit Sicherheit illegal. (jdo)