CWE ID: 757
Name: Selection of Less-Secure Algorithm During Negotiation (‘Algorithm Downgrade’)
Ein Protokoll oder dessen Implementierung unterstützt die Interaktion zwischen mehreren Akteuren und erlaubt diesen Akteuren, auszuhandeln, welcher Algorithmus als Schutzmechanismus, beispielsweise für Encryption oder Authentication, verwendet werden soll. Es wählt jedoch nicht den stärksten verfügbaren Algorithmus, der für beide Parteien verfügbar ist.
Wenn ein Sicherheitsmechanismus dazu gezwungen werden kann, auf einen weniger sicheren Algorithmus zurückzugreifen (downgrade), kann dies es Angreifern erleichtern, ein Produkt zu kompromittieren, indem sie schwächere Algorithmen ausnutzen. Das Opfer ist möglicherweise nicht darauf aufmerksam, dass ein weniger sicherer Algorithmus verwendet wird. Beispielsweise könnte ein Angreifer einen Kommunikationskanal dazu bringen, Klartext anstelle von stark verschlüsselten Daten zu verwenden, sodass der Angreifer den Kanal durch Sniffing auslesen könnte, anstatt den zusätzlichen Aufwand zu betreiben, die Daten mit Brute-Force-Techniken zu entschlüsseln.
