Publicado en por Mel Hawthorne
RC4 es un cifrado de flujo criptográfico inseguro que se sabe que tiene múltiples fallas de seguridad críticas que lo hacen esencialmente inútil. RC4 se utilizó principalmente en el protocolo de seguridad Wi-Fi WEP (protocolo equivalente cableado) y como un cifrado en TLS ((Transport Layer Security) utilizado en seguridad web para HTTPS) antes de que se descubrieran vulnerabilidades significativas en 2001 y 2013 respectivamente. El cifrado RC4 fue diseñado por primera vez en 1987 por Ron Rivest de RSA Security. El algoritmo sigue siendo propietario, aunque se diseñó a la inversa y se filtró en 1994, para evitar reclamos de derechos de autor, el algoritmo a veces también se llama ARC4 (Presunto Rivest Cipher 4).
Technipages explica RC4
La implementación de RC4 en WEP fue tan defectuosa que es posible romper la clave de cifrado de 128 bits en menos de un minuto. En el momento en que se demostró por primera vez el ataque, no había protocolos alternativos para la seguridad WiFi y el estándar WPA que finalmente reemplazó a WEP tuvo que apresurarse para proporcionar una alternativa.
El cifrado RC4 tal como se utiliza en TLS fue uno de los pocos cifrados contemporáneos que no se vieron afectados por el problema BEAST descubierto en 2011, ya que no utilizaba un cifrado CBC (encadenamiento de bloques de cifrado). Como SSLv3 y TLS1.0 solo admitían cifrados CBC y RC4, durante un tiempo se recomendó RC4 como solución alternativa hasta que se identificó un ataque contra los conjuntos de cifrado RC4 en 2013. La implementación de TLS de RC4 requiere una cantidad significativamente mayor de potencia de procesamiento que la ataque contra WEP, pero se consideró factible que las agencias de seguridad gubernamentales pudieran llevar a cabo.
Una gran cantidad de otros ataques han mostrado debilidades estadísticas en RC4 tanto antes como después de las dos vulnerabilidades principales. En general, se debe evitar el uso de RC4 ya que ahora existen alternativas más seguras.
Usos comunes de RC4
- RC4 es un cifrado de flujo criptográfico inventado por Ron Rivest.
- Los principales factores del éxito de RC4 en una amplia gama de aplicaciones fueron su velocidad y simplicidad.
- RFC 7465 prohíbe el uso de conjuntos de cifrado RC4 en todas las versiones de TLS.
Usos incorrectos comunes de RC4
- RC4 es un algoritmo hash que debe usarse para almacenar de forma segura las contraseñas en las bases de datos.