Mikä on RC4? määritelmä ja merkitys

SekalaistaDec 19, 2021

Lähetetty kirjoittaja Mel Hawthorne

RC4 on suojaamaton kryptografinen stream-salaus, jonka tiedetään sisältävän useita kriittisiä tietoturvavirheitä, jotka tekevät siitä käytännössä hyödyttömän. RC4:ää käytettiin ensisijaisesti Wi-Fi-suojausprotokollassa WEP (langallinen ekvivalenttiprotokolla) ja salauksena TLS: ssä ((Transport) Layer Security), jota käytettiin HTTPS: n verkkoturvassa), ennen kuin merkittäviä haavoittuvuuksia löydettiin vuosina 2001 ja 2013 vastaavasti. RC4-salauksen suunnitteli ensimmäisen kerran vuonna 1987 RSA Securityn Ron Rivest. Algoritmi pysyy omistuksessa, vaikka se on käännetty ja vuotanut vuonna 1994, tekijänoikeusvaatimusten välttämiseksi algoritmia kutsutaan joskus myös ARC4:ksi (Alleged Rivest Cipher 4).

Technipages selittää RC4:n

RC4:n toteutus WEP: ssä oli niin puutteellinen, että 128-bittinen salausavain on mahdollista murtaa alle minuutissa. Hyökkäyksen ensimmäisen esittelyn aikaan ei ollut olemassa vaihtoehtoisia protokollia WiFi-suojaukselle, ja WPA-standardi, joka lopulta syrjäytti WEP: n, oli kiirehdittävä tarjoamaan vaihtoehto.

TLS: ssä käytetty RC4-salaus oli yksi harvoista nykyaikaisista salakirjoista, joihin vuonna 2011 löydetty BEAST-ongelma ei vaikuttanut, koska se ei käyttänyt CBC-salausta (cipher block chaining). Koska SSLv3 ja TLS1.0 tukivat vain CBC- ja RC4-salauksia, RC4:ää suositeltiin jonkin aikaa kiertotapaksi, kunnes vuonna 2013 havaittiin hyökkäys RC4-salauspaketteja vastaan. RC4:n TLS-toteutus vaatii huomattavasti enemmän prosessointitehoa kuin hyökkäys WEP: tä vastaan, mutta hallituksen turvallisuusvirastojen katsottiin pystyvän siihen suorittaa.

Suuri määrä muita hyökkäyksiä on osoittanut tilastollisia heikkouksia RC4:ssä sekä ennen kahta päähaavoittuvuutta että sen jälkeen. Yleisesti ottaen RC4:n käyttöä tulisi välttää, koska turvallisempia vaihtoehtoja on nyt saatavilla.

RC4:n yleiset käyttötavat

  • RC4 on Ron Rivestin keksimä kryptografinen virtasalaus.
  • Päätekijät RC4:n menestykseen monissa sovelluksissa olivat sen nopeus ja yksinkertaisuus.
  • RFC 7465 kieltää RC4-salauspakettien käytön kaikissa TLS-versioissa.

RC4:n yleiset väärinkäytökset

  • RC4 on hajautusalgoritmi, jota tulisi käyttää salasanojen turvalliseen tallentamiseen tietokantoihin.