RC4加密还可以应用在企业中吗?

安全 数据安全
因为速度和简单性,RC4加密成为最广泛使用的流加密,并用于常用协议中,例如有线等效保密(WEP)和安全套接字层(SSL)以及传输层安全(TLS)等。虽然RC4一直被认为存在漏洞,但在现实世界中还没有针对它的攻击。随着越来越多的加密漏洞被发现,RC4似乎早在2013年就应该被淘汰。

最近的一篇论文表明有攻击可攻破RC4加密以及解密用户cookie。那么,这种攻击的工作原理是什么,企业应该如何避免这种攻击?RC4是否还有用?

[[161788]]

Michael Cobb:因为速度和简单性,RC4加密成为最广泛使用的流加密,并用于常用协议中,例如有线等效保密(WEP)和安全套接字层(SSL)以及传输层安全(TLS)等。虽然RC4一直被认为存在漏洞,但在现实世界中还没有针对它的攻击。随着越来越多的加密漏洞被发现,RC4似乎早在2013年就应该被淘汰。而现在密码分析结果逐渐将成为切实可行的漏洞利用,这意味着RC4无法再为企业数据提供足够安全。

两名比利时研究人员Mathy Vanhoef和Frank Piessens在52小时内解密了受TLS保护且使用RC4加密的HTTPS会话中使用的Web cookie,而此前利用RC4漏洞的攻击需要花费2000小时。通过使用固定纯文本恢复技术—被称为RC4 NOMORE(Numerous Occurrence Monitoring & RecoveryExploit),攻击者可诱骗用户访问代码来产生足够的数据,成功地确定用户的加密cookie值。被劫持的cookie可被用来获取对信息或服务的未经授权访问。

该攻击利用RC4密钥流中的偏差来恢复纯文本。密钥流需要都一致随机,否则就可能出现偏差。RC4产生的密钥流对某些序列有不同程度的偏差,例如,一些字节比它们原本更有可能采用特定值。这让RC4容易被辨识力强的攻击者攻击,因为攻击者可以区分加密数据与随机数据。RC4 NOMORE利用Fluhrer-McGrew和Mantin的ABSAB偏差来返回潜在纯文本cookie值列表,攻击者会使用暴力破解直到找到正确的。这种攻击在未来无疑将更有效。

这种攻击并不局限于解密cookie,任何被重复加密的数据或信息都可以被回复。例如,对于使用WI-Fi保护访问临时密钥完整性协议(WPA-TKIP)的无线网络,这种攻击只需要一个小时来执行。虽然Wi-Fi联盟正在逐步淘汰使用WPA-TKIP,但它的应用仍然很广泛。网络应该使用WPA2配置为仅使用加密算法AES-Counter Mode CBC-MAC协议。

在2015年2月,互联网工程任务组发布了RFC 7465,其中禁止在客户端和服务器建立TLS连接时使用RC4加密套件。微软和Mozilla也发布了类似的建议来淘汰和启用RC4加密以及其他弱算法,例如SHA-1。微软建议使用TLS 1.2 AES-GCM作为更安全的替代方法,同时提供相似的功能。

RC4加密是唯一幸免于2011年针对TLS 1.2的BEAST攻击的常用加密,因为该攻击利用了分组加密中的漏洞。这导致越来越多的网站开始使用RC4(约50%),但现在这个数字已经回落,根据加州大学伯克利分校计算机科学学院表示,目前全球约13%的网站仍然在使用RC4。使用RC4加密的网站管理员应该切换到AES,这是更安全的对称分组加密。此外,网站开发人员应确保用于访问敏感信息的会话cookie值是盐化哈希值,它会在每次服务器响应时变化,这种方法可抵御对cookie的暴力破解。与此同时,企业应确保用户的Web浏览器完全保持更新。现在所有最新版本的主流浏览器都开始避免使用RC4,相信与IE11一样,它们很快将完全停止使用RC4。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2013-09-27 13:27:18

2012-05-16 14:58:20

JavaJFile

2009-12-25 15:11:08

FTTH应用

2015-07-20 11:38:36

2011-04-13 12:03:12

2019-11-15 14:53:49

大数据平台智慧城市城市大数据

2018-02-08 08:55:09

2012-06-13 01:47:42

EclipseEquinox

2013-03-11 10:02:42

2015-09-07 10:12:46

2009-04-18 06:33:33

LinuxNetBSD 5.0 发行版

2023-09-25 10:55:26

人工智能

2022-03-29 14:46:03

元宇宙工业元宇宙物联网

2013-05-23 14:20:50

PoE以太网IP终端地址

2021-10-06 17:11:25

区块链医疗应用

2020-12-14 18:02:25

区块链人民币技术

2013-03-26 10:03:20

2022-07-04 14:35:01

区块链医疗供应链

2009-12-07 13:20:14

PHP技术应用

2018-05-29 00:00:32

物联网物联网应用IOT
点赞
收藏

51CTO技术栈公众号