geplaatst op door Mel Hawthorne
RC4 is een onveilige cryptografische stroomcodering waarvan bekend is dat deze meerdere kritieke beveiligingsfouten heeft waardoor het in wezen nutteloos is. RC4 werd voornamelijk gebruikt in het Wi-Fi-beveiligingsprotocol WEP (wired equivalent protocol) en als codering in TLS ((Transport Layer Security) gebruikt in webbeveiliging voor HTTPS) voordat significante kwetsbaarheden werden ontdekt in 2001 en 2013 respectievelijk. Het RC4-cijfer werd voor het eerst ontworpen in 1987 door Ron Rivest van RSA Security. Het algoritme blijft eigendom, hoewel het in 1994 reverse-engineered en gelekt is, om auteursrechtclaims te voorkomen, wordt het algoritme soms ook ARC4 (Alleged Rivest Cipher 4) genoemd.
Technipages legt RC4 uit
De implementatie van RC4 in WEP was zo gebrekkig dat het mogelijk is om de 128-bits coderingssleutel in minder dan een minuut te breken. Op het moment dat de aanval voor het eerst werd gedemonstreerd, waren er geen alternatieve protocollen voor wifi-beveiliging en moest de WPA-standaard die uiteindelijk WEP verving, overhaast worden om een alternatief te bieden.
De RC4-codering zoals gebruikt in TLS was een van de weinige hedendaagse versleuteling die niet werd beïnvloed door het BEAST-probleem dat in 2011 werd ontdekt, omdat het geen CBC-versleuteling (cipher block chaining) gebruikte. Aangezien SSLv3 en TLS1.0 alleen CBC- en RC4-coderingen ondersteunden, werd RC4 enige tijd aanbevolen als een tijdelijke oplossing totdat in 2013 een aanval op de RC4-coderingssuites werd geïdentificeerd. De TLS-implementatie van RC4 vereist een aanzienlijk grotere hoeveelheid verwerkingskracht dan de aanval op WEP, maar het werd haalbaar geacht voor veiligheidsinstanties van de overheid om: presteren.
Een groot aantal andere aanvallen heeft zowel voor als na de twee belangrijkste kwetsbaarheden statistische zwakheden in RC4 laten zien. Over het algemeen moet het gebruik van RC4 worden vermeden, aangezien er nu veiligere alternatieven beschikbaar zijn.
Veelvoorkomend gebruik van RC4
- RC4 is een cryptografisch stroomcijfer uitgevonden door Ron Rivest.
- De belangrijkste factoren voor het succes van RC4 in een breed scala aan toepassingen waren de snelheid en eenvoud.
- RFC 7465 verbiedt het gebruik van RC4-coderingssuites in alle versies van TLS.
Veelvoorkomend misbruik van RC4
- RC4 is een hash-algoritme dat moet worden gebruikt om wachtwoorden veilig in databases op te slaan.