postitatud kõrval Mel Hawthorne
RC4 on ebaturvaline krüptograafiline voošifr, millel on teadaolevalt mitu kriitilist turvaviga, mis muudavad selle sisuliselt kasutuks. RC4 kasutati peamiselt Wi-Fi turvaprotokollis WEP (juhtmega ekvivalentprotokoll) ja šifrina TLS-is ((transport Layer Security), mida kasutati HTTPS-i veebiturbes) enne oluliste haavatavuste avastamist aastatel 2001 ja 2013 vastavalt. RC4 šifri kujundas esmakordselt 1987. aastal Ron Rivest RSA Securityst. Algoritm jääb omandiõiguseks, kuigi see pöördprojekteeriti ja lekitati 1994. aastal, autoriõiguse väidete vältimiseks nimetatakse algoritmi mõnikord ka ARC4-ks (Alleged Rivest Cipher 4).
Tehnilised leheküljed selgitab RC4
RC4 rakendamine WEP-is oli nii vigane, et 128-bitise krüpteerimisvõtme on võimalik murda vähem kui minutiga. Rünnaku esmakordse demonstreerimise ajal ei olnud WiFi turvalisuse jaoks alternatiivseid protokolle ja WPA-standard, mis lõpuks asendas WEP-i, tuli kiirustada alternatiivi pakkumisega.
TLS-is kasutatav RC4 šifr oli üks väheseid tänapäevaseid šifreid, mida 2011. aastal avastatud BEAST-probleem ei mõjutanud, kuna see ei kasutanud CBC (šifriplokkide aheldamise) šifrit. Kuna SSLv3 ja TLS1.0 toetasid ainult CBC ja RC4 šifreid, soovitati RC4 mõnda aega lahendusena, kuni 2013. aastal tuvastati rünnak RC4 šifrikomplektide vastu. RC4 TLS-i juurutamine nõuab oluliselt suuremat töötlemisvõimsust kui rünnak WEP-i vastu, kuid valitsuse julgeolekuasutustel peeti seda võimalikuks esinema.
Paljud muud rünnakud on näidanud RC4 statistilisi nõrkusi nii enne kui ka pärast kahte peamist haavatavust. Üldiselt tuleks RC4 kasutamist vältida, kuna nüüd on saadaval turvalisemad alternatiivid.
RC4 levinud kasutusalad
- RC4 on Ron Rivesti leiutatud krüptograafiline voošifr.
- RC4 edu peamisteks teguriteks paljudes rakendustes oli kiirus ja lihtsus.
- RFC 7465 keelab RC4 šifrikomplektide kasutamise kõigis TLS-i versioonides.
RC4 levinud väärkasutused
- RC4 on räsimisalgoritm, mida tuleks kasutada paroolide turvaliseks salvestamiseks andmebaasides.