HTTPS с RC4
Он же взломан? Безопасно ли его применять?
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 11558 документов: 1036 редакций: 4118
RC4 не взломан, но его применение сопряжено с определёнными нюансами, несоблюдение которые способно привести к взлому. Алгоритм вкупе с этим режимом применения назван ARC4. Как видно по скриншоту, он и используется в TLS.
комментариев: 9796 документов: 488 редакций: 5664
Ну, скажем так, он взломан не только в ряде теоретических, но и практических вариантов использования и для его замены были предприняты попытки создания новых криптостандартов потоковых шифров.
С помощью ряда
нюансовкостылей от этих атак можно защититься (хэширование вектора инициализации и ключа, отбрасывание начального участка гаммы), но строго говоря он не может больше считаться криптостойким. Из текущих стандартов его рекомендовано выводить и в новых системах не использовать.Алсо почему бы его совсем не запретить, если он уже сыпаться начал?
комментариев: 9796 документов: 488 редакций: 5664
вот пройдёт конкурс SHA-3, тогда и SHA-1 и SHA-2 станут не нужны. Если победит один из двух универсальных криптомитивов (Keccak или Skein), то возможно и на ситуацию с потоковыми шифрами он также повлияет, как и на пересмотр множества других криптостандартов.
Прошедший конкурс потоковых шифров e-Stream особых результатов не дал или не оказался замечен и RC4 не исключили из стандартов. ARC4 — приставка "A" — как альтернативная реализация имеющему неопределённый патентный статус RC4.
Матапушта он еще практически не взломан. MD5 уже убирают отовсюду, откуда можно.
А почему надо обязательно использовать потоковый шифр? Есть же AES.
комментариев: 9796 документов: 488 редакций: 5664
RuWiki на данный момент права. Там этот исторический казус отражён. RC4 является коммерческой собственностью компании RSA security. Но они его не запатентовали открыто, а держали в секрете. Когда код был восстановлен реверс-инженерингом и получено подтверждение о его идентичности от независимых источников, то его приняли как RC4. Но затем переименовали в ARC4, чтобы избежать возможных судебных претензий. Плюс официально RSA security не заявляла о том, что это именно тот алгоритм. Но все-то знают ...
Есть ещё ARC4-DROP — вариант с отбрасыванием начального потока гаммы. Были предприняты и множественные попытки усовершенствования алгоритма. Успеха достигнуто не было.
Когда-то RC4 был, а AES не было. Затем привлекала ещё большая простота, скорость и в некоторых местах меньщая ресурсоёмкость по сравнению с AES. Теперь это неактуально. Проще использовать AES в потоковом режиме с аутентификацией. ARC4 действительно не нужен.
комментариев: 1060 документов: 16 редакций: 32
Что значит запрещать? Отключать на клиентской стороне?
комментариев: 9796 документов: 488 редакций: 5664
Желательно. Не содержащие AES режимы актуальны для совместимости с какими-нибудь старыми программами (что там внутри всяких "клиент-банков"?), смарт-картами, встраиваемыми устройствами и т.д., но не для веб-серверов и браузеров с обычных операционных систем нормальной версии openssl-lib.
Хотя ещё лет пять назад в особо стабильных дистрибутивах Линукса была версия openssl без нормальной поддержки AES.
А как с производительностью сабжей?
комментариев: 9796 документов: 488 редакций: 5664
RC4 примерно в два раза быстрее AES, но с включением AES в аппаратную поддержку Intel-процессоров на таких серверах не должно быть никаких проблем — AES таким нечестным способом далеко обгоняет всех по производительности. Кроме того AES занимает меньше памяти, параллелится (вероятно актуально при обработке миллионов параллельных запросов).
Зачем ставить в 2 раза меньшую длину ключа для открытого ключа – хз, хотя 1024 еще вроде бы безопасно.