Objavljeno na od Mel Hawthorne
RC4 je nezaščiten kriptografski tokovni šifrir, za katerega je znano, da ima več kritičnih varnostnih napak, zaradi katerih je v bistvu neuporaben. RC4 se je uporabljal predvsem v varnostnem protokolu Wi-Fi WEP (protokol enakovrednega ožičenja) in kot šifra v TLS ((Transport Layer Security), ki se uporablja pri spletni varnosti za HTTPS), preden so bile v letih 2001 in 2013 odkrite pomembne ranljivosti oz. Šifro RC4 je leta 1987 prvič zasnoval Ron Rivest iz RSA Security. Algoritem ostaja zaščiten, čeprav je bil leta 1994 preoblikovan in razkrit, da bi se izognili trditvam o avtorskih pravicah, se algoritem včasih imenuje tudi ARC4 (Domnevna šifra Rivesta 4).
Technipages pojasnjuje RC4
Izvedba RC4 v WEP je bila tako pomanjkljiva, da je mogoče zlomiti 128-bitni šifrirni ključ v manj kot minuti. V času, ko je bil napad prvič prikazan, ni bilo alternativnih protokolov za varnost WiFi in standard WPA, ki je sčasoma nadomestil WEP, je bilo treba pohiteti, da bi zagotovil alternativo.
Šifra RC4, kot se uporablja v TLS, je bila ena redkih sodobnih šifr, na katero ni vplivala težava BEAST, odkrita leta 2011, saj ni uporabljala šifre CBC (veriženje blokov šifriranja). Ker sta SSLv3 in TLS1.0 podpirala samo šifre CBC in RC4, je bil RC4 nekaj časa priporočljiv kot rešitev, dokler leta 2013 ni bil ugotovljen napad na zbirki šifriranja RC4. Izvedba TLS RC4 zahteva bistveno večjo količino procesorske moči kot napad na WEP, vendar se je zdelo izvedljivo za vladne varnostne agencije izvajati.
Številni drugi napadi so pokazali statistične slabosti v RC4 pred in po dveh glavnih ranljivostih. Na splošno se je treba izogibati uporabi RC4, saj so zdaj na voljo varnejše alternative.
Pogoste uporabe RC4
- RC4 je kriptografska pretočna šifra, ki jo je izumil Ron Rivest.
- Glavna dejavnika za uspeh RC4 v številnih aplikacijah sta bila njegova hitrost in preprostost.
- RFC 7465 prepoveduje uporabo zbirk šifriranja RC4 v vseh različicah TLS.
Pogoste zlorabe RC4
- RC4 je algoritem zgoščevanja, ki ga je treba uporabiti za varno shranjevanje gesel v bazah podatkov.