โพสต์เมื่อ โดย Mel Hawthorne
RC4 เป็นรหัสสตรีมการเข้ารหัสที่ไม่ปลอดภัยซึ่งทราบกันดีว่ามีข้อบกพร่องด้านความปลอดภัยที่สำคัญหลายประการที่ทำให้ไม่มีประโยชน์ RC4 ถูกใช้เป็นหลักในโปรโตคอลความปลอดภัย Wi-Fi WEP (โปรโตคอลเทียบเท่าแบบมีสาย) และเป็นรหัสใน TLS ((การขนส่ง Layer Security) ใช้ในการรักษาความปลอดภัยเว็บสำหรับ HTTPS) ก่อนที่จะค้นพบช่องโหว่ที่สำคัญในปี 2544 และ 2556 ตามลำดับ รหัส RC4 ได้รับการออกแบบครั้งแรกในปี 1987 โดย Ron Rivest แห่ง RSA Security อัลกอริธึมยังคงเป็นกรรมสิทธิ์ แม้ว่าจะถูกวิศวกรรมย้อนกลับและรั่วไหลในปี 1994 เพื่อหลีกเลี่ยงไม่ให้มีการอ้างสิทธิ์ในลิขสิทธิ์ อัลกอริทึมนี้บางครั้งเรียกว่า ARC4 (Alleged Rivest Cipher 4)
Technipages อธิบาย RC4
การนำ RC4 ไปใช้ใน WEP มีข้อบกพร่องมากจนสามารถทำลายคีย์การเข้ารหัสแบบ 128 บิตได้ภายในเวลาไม่ถึงนาที ในขณะที่มีการแสดงการโจมตีครั้งแรก ไม่มีโปรโตคอลอื่นสำหรับการรักษาความปลอดภัย WiFi และมาตรฐาน WPA ที่แทนที่ WEP ในที่สุดก็ต้องรีบจัดหาทางเลือกอื่น
รหัส RC4 ที่ใช้ใน TLS เป็นหนึ่งในรหัสลับร่วมสมัยไม่กี่ตัวที่ไม่ได้รับผลกระทบจากปัญหา BEAST ที่ค้นพบในปี 2011 เนื่องจากไม่ได้ใช้รหัส CBC (cipher block chaining) เนื่องจาก SSLv3 และ TLS1.0 รองรับเฉพาะ CBC และ RC4 ciphers จึงแนะนำให้ใช้ RC4 เป็นระยะเวลาหนึ่งเพื่อเป็นการแก้ปัญหาชั่วคราว จนกว่าจะมีการระบุการโจมตีชุดการเข้ารหัส RC4 ในปี 2013 การใช้งาน TLS ของ RC4 นั้นต้องการพลังการประมวลผลที่มากกว่า โจมตี WEP แต่ถือว่าเป็นไปได้ที่หน่วยงานความมั่นคงของรัฐบาลจะสามารถ ดำเนินการ.
การโจมตีอื่นๆ จำนวนมากได้แสดงให้เห็นจุดอ่อนทางสถิติใน RC4 ทั้งก่อนและตั้งแต่ช่องโหว่หลักสองจุด โดยทั่วไปแล้ว ควรหลีกเลี่ยงการใช้ RC4 เนื่องจากมีทางเลือกที่ปลอดภัยกว่าอยู่แล้ว
การใช้งานทั่วไปของ RC4
- RC4 เป็นรหัสสตรีมการเข้ารหัสที่คิดค้นโดย Ron Rivest
- ปัจจัยหลักในความสำเร็จของ RC4 ในการใช้งานที่หลากหลายคือความเร็วและความเรียบง่าย
- RFC 7465 ไม่อนุญาตให้ใช้ชุดรหัส RC4 ใน TLS ทุกเวอร์ชัน
การใช้ RC4. ในทางที่ผิดที่พบบ่อย
- RC4 เป็นอัลกอริธึมการแฮชที่ควรใช้ในการจัดเก็บรหัสผ่านในฐานข้อมูลอย่างปลอดภัย