Sicherheitsforscher haben mehrere Schwachstellen in der Implementierung vom Diffie-Hellman-Schlüsselaustausch gefunden, der in vielen Protokollen wie HTTPS, SSH, IPsec, SMTPS und TLS eingesetzt wird.
Diese Schwachstellen haben einige Implikationen für VPN-Nutzer. Die folgenden Informationen dienen als Zusammenfassung, um Ihren Rechner und Ihre Verbindungen so sicher wie möglich zu halten.
OpenVPN: OpenVPN-Verbindungen mit Perfect Privacy sind nicht betroffen, da wir grundsätzlich 4096-Bit-Schlüssel für die Verschlüsselung einsetzen, die immer noch als hinreichend sicher gelten.
IPsec: Laut des Papers sind IPsec-Verbindungen für den Angriff anfällig, wenn das IKEv1-Protokoll eingesetzt wird. Das kann der Fall sein, wenn Sie mobile Geräte mit iOS oder Android einsetzen. Der Perfect Privacy VPN Manager unter Windows verwendet IKEv2 und ist deshalb nicht von dem Angriff betroffen. Das Problem können wir nicht von unserer Seite aus beheben, da es von der IPsec-Implementierung des Betriebssystems abhängt. Wir empfehlen, stattdessen auf OpenVPN-Verbindungen umzusteigen, bei denen starke Verschlüsselung garantiert ist.
SSH: Aktuelle SSH-Clients wie Putty oder ssh für linux benutzen standardmäßig ECDHE (Elliptic-Curve Diffie-Hellman) für den Schlüsselaustausch, was nicht von dem Problem betroffen ist. Wenn Sie allerdings Serverschlüssel mit älteren SSH-Clients importiert haben sollten, wird möglicherweise Diffie-Hellman eingesetzt. Wenn Sie im Zweifel sind, können Sie die Serverschlüssel löschen und mit einem aktuellen SSH-Client neu importieren.
Webserver: Wir haben unsere Webserver aktualisiert, so dass alle 2048-bit-Schlüssel verwenden. Sie können das auf der Server-Testseite von weakdh.org überprüfen. Beachten Sie, dass checkip.perfect-privacy.com derzeit noch nicht aktualisiert ist, das wird in nächster Zeit ebenfalls erfolgen.
Browser: Aktuelle Browser können für den Logjam-Angriff anfällig sein, sie können Ihren Browser auf https://weakdh.org/ überprüfen. Allerdings werden alle Browser-Hersteller in der nächsten Zeit updates bereitstellen, die dieses Problem automatisch beheben sollten.
Mit freundlichen Grüssen,
Euer Perfect Privacy Team