HTTPS с RC4

RC4 не взломан, но его применение сопряжено с определёнными нюансами, несоблюдение которые способно привести к взлому. Алгоритм вкупе с этим режимом применения назван ARC4. Как видно по скриншоту, он и используется в TLS.

Ну, скажем так, он взломан не только в ряде теоретических, но и практических вариантов использования и для его замены были предприняты попытки создания новых криптостандартов потоковых шифров.

С помощью ряда нюансовкостылей от этих атак можно защититься (хэширование вектора инициализации и ключа, отбрасывание начального участка гаммы), но строго говоря он не может больше считаться криптостойким. Из текущих стандартов его рекомендовано выводить и в новых системах не использовать.

Стоп, в википедии написано, что RC4 и ARC4 – это одно и то же. Или это разные шифры?

Алсо почему бы его совсем не запретить, если он уже сыпаться начал?

А почему бы совсем не запретить SHA-1 ?

вот пройдёт конкурс SHA-3, тогда и SHA-1 и SHA-2 станут не нужны. Если победит один из двух универсальных криптомитивов (Keccak или Skein), то возможно и на ситуацию с потоковыми шифрами он также повлияет, как и на пересмотр множества других криптостандартов.

Прошедший конкурс потоковых шифров e-Stream особых результатов не дал или не оказался замечен и RC4 не исключили из стандартов. ARC4 — приставка "A" — как альтернативная реализация имеющему неопределённый патентный статус RC4.

То есть RC4 и ARC4 не одно и то же и википедия http://ru.wikipedia.org/wiki/RC4 не права?

Матапушта он еще практически не взломан. MD5 уже убирают отовсюду, откуда можно.

А почему надо обязательно использовать потоковый шифр? Есть же AES.

RuWiki на данный момент права. Там этот исторический казус отражён. RC4 является коммерческой собственностью компании RSA security. Но они его не запатентовали открыто, а держали в секрете. Когда код был восстановлен реверс-инженерингом и получено подтверждение о его идентичности от независимых источников, то его приняли как RC4. Но затем переименовали в ARC4, чтобы избежать возможных судебных претензий. Плюс официально RSA security не заявляла о том, что это именно тот алгоритм. Но все-то знают ...

Есть ещё ARC4-DROP — вариант с отбрасыванием начального потока гаммы. Были предприняты и множественные попытки усовершенствования алгоритма. Успеха достигнуто не было.

А почему надо обязательно использовать потоковый шифр? Есть же AES.

Когда-то RC4 был, а AES не было. Затем привлекала ещё большая простота, скорость и в некоторых местах меньщая ресурсоёмкость по сравнению с AES. Теперь это неактуально. Проще использовать AES в потоковом режиме с аутентификацией. ARC4 действительно не нужен.

То есть можно написать админу письмо и попросить перейти на AES? Надо ли запрещать другие шифры, кроме AES, чтобы через митм нельзя было на них откатиться?

Надо ли запрещать другие шифры, кроме AES, чтобы через митм нельзя было на них откатиться?

Что значит запрещать? Отключать на клиентской стороне?

На стороне сервера, раз речь про админа.

Желательно. Не содержащие AES режимы актуальны для совместимости с какими-нибудь старыми программами (что там внутри всяких "клиент-банков"?), смарт-картами, встраиваемыми устройствами и т.д., но не для веб-серверов и браузеров с обычных операционных систем нормальной версии openssl-lib.

Хотя ещё лет пять назад в особо стабильных дистрибутивах Линукса была версия openssl без нормальной поддержки AES.

Ради интереса в красной дырке запретил ARC4 – страница не открывается вообще, причем сообщение об ошибке ни о чем не говорит. Я думал, они другие протоколы согласуют.
А как с производительностью сабжей?

Не удаётся завершить защищённую транзакцию

Вы попытались получить доступ к адресу xxxxxxxx, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу.
Убедитесь, что соединение с Интернет активно, и проверьте, работают ли другие приложения, использующие это соединение.
Проверьте правильность настроек программного обеспечения безопасности Интернета и убедитесь, что данные программы не блокируют использование браузера.
Если компьютер защищен межсетевым экраном локальной вычислительной сети и его использование может быть источником проблем, обратитесь к вашему системному администратору.
Нажмите клавишу F12 на клавиатуре и отключите прокси-серверы, если только вам не нужен прокси-сервер для подключения к Интернету. Загрузите страницу еще раз.

RC4 примерно в два раза быстрее AES, но с включением AES в аппаратную поддержку Intel-процессоров на таких серверах не должно быть никаких проблем — AES таким нечестным способом далеко обгоняет всех по производительности. Кроме того AES занимает меньше памяти, параллелится (вероятно актуально при обработке миллионов параллельных запросов).

Написал письмо админу, думал, положат болт, как обычно, на мои репорты, но вот захожу, решил посмотреть шифрование – а там AES-256. Захожу в почту – получил ответ: спасибо за репорт, RC4 остался с времен, когда еще не все браузеры нормально работали с нормальным шифрованием. Мелочь, а приятно.

Теперь там
Зачем ставить в 2 раза меньшую длину ключа для открытого ключа – хз, хотя 1024 еще вроде бы безопасно.

Возможно, дело в нагрузке на сервер. По этой же причине, насколько я помню (и если ничего не путаю), и в Tor'е 1024-ключи.