今日はマシュー・グリーンの別の 興味深い記事 を読んでいて、
sSL/TLSの主要な暗号スイートとしてRC4を使用している場合は、ここで停止するのが良いでしょう。
私が知る限り、RC4は暗号スイートのリストでupされており、保護されています [〜#〜] beast [〜#〜] =および Lucky 1 。 (そして、なぜGoogleのようなウェブサイトがおそらくそれを使用するのか)。 SSLlabs のようなツールは、RC4を使用しない場合でも、私の知る限り警告します...
次にマシュー・グリーンは
短期的には、醜い選択があります:RC4に固執して最高のものを期待するか、CBCモードの暗号スイートに戻ります-多くのサイトでは、BEASTおよびLucky13攻撃により回避されました。
したがって、私が不思議に思うのは、これらの攻撃のどれが実行される可能性が高い/簡単であるか、および TLS暗号スイートの推奨はbe?
(実用的には、現在入手可能なもので、ほとんどのサーバー/ブラウザと互換性があるものを意味します)
まず最初に:慌てる必要はありません。発疹は何もしないで、考える時間を取ってください。
本日発表されたスライドは、バイアスの新しい結果 RC4 について説明しています。 RC4は、キーに依存する疑似ランダムバイトのストリームを生成し、暗号化するデータとXORされます(復号化は同じです)。特に出力の最初のバイトでは、RC4の出力に若干の偏りがあることがわかっていました。これにより、次の攻撃が発生する可能性があります。仮定所定の秘密メッセージmは、毎回異なるキーを使用して繰り返し暗号化されますが、常に同じですpositionストリーム内で、暗号化されたデータを監視すると、メッセージを復元できますm。実際、位置jキーストリームバイトxが他のすべての255値よりも確率が高く、攻撃者がその暗号化バイト値bが発生する場合より頻繁に、彼はx = b XOR p for plaintext byte p、つまりp = x = XOR b。
通常、RC4 hasバイアスはその種のバイアスですが、たとえば SSL/TLS でのRC4の実際の使用では実際には脆弱ではないと想定されていました。
新しい結果は、既知のバイアスにさらに体系的な方法でいくつかのバイアスを追加し、measuresを与えます。対策部分的に確認上記のスタンス。もちろん、スライドは終末論的なスタンスをとり、完全な破損を警告する傾向があります。1。研究者は、資金を集めるために、結果に少しマーケティングと広告を行う必要がある。2。バーンスタインスクである終わりの時が近づいていること、他の誰もが間違っていることを叫ぶスタイル。
数値が示すものsayは、攻撃が機能するために数百万の接続を必要とすることです。ターゲットがCookie値である実際のSSL/TLS設定では、ブラウザーとサーバーが「接続を維持」するため、新しい接続を15秒ごとに2回以上開くことはありません。 24時間年中無休のWebサーフィンを1年間、常に同じサイトで、常に直後ブラウザまたはサーバーが現在の接続を閉じて、この攻撃の影響を受けることを決定しました。したがって、慌てる必要はありません。暗号スイートの設定を急いで掘り下げる理由はありません。まだ。
RC4は、やがて段階的に廃止されるはずです。実際、バイアスはわずかですが、以前の予想よりも大きくなっています( "私たち"は、 "数百万「10億ぐらい」だった)。安全マージンはかなり薄くなっています。 RC4は最近BEAST攻撃により復活しましたが、一時的な対策として既に検討されていました。確かに、回避策が見つかったため、BEAST攻撃 機能しなくなりました 。
何度も提案されてきたRC4を「修正」する1つの方法は、出力の最初の256(または512または1536など)バイトをドロップすることです。これは、これらが最もバイアスされているためです(スライドのグラフィックは、明らかに)。しかし、これはRC4-as-we-know-itと互換性がないため、SSL/TLSで強制することはほとんど意味がありません。より良いアルゴリズムを実装するためにSSLライブラリを変更する必要がある場合、それらはすでに標準化されているもの、つまり [〜#〜] gcm [〜#〜] を使用することもできます( RFC 5288を参照) GCMをSSL/TLSに統合する場合)。これは、他のバイアスがまだある改造されたRC4よりも優れています(より軽量ですが、検出可能であり、出力の最初のバイトに限定されません)。
今のところ、何もしません。しかし、Googleが何をするかを見てください。 Googleが行うことは、世界が続くことになります。
すぐに、あなたが本当にthat心配している場合は、AES/CBC(または3DES/CBC)に戻します。BEASTは、上記で説明したように、最新では機能しません。 -dateブラウザー(ブラウザーが最新でない場合、ユーザーには修正すべき緊急の問題が多くあります!).
理想的な世界では、この新しい攻撃はすぐに適用できるわけではありませんが、ベンダーにTLS 1.2 + GCMの実装を促し、Webはより安全になります。