TLS：RC4かRC4ではないか？

まず最初に：慌てる必要はありません。発疹は何もしないで、考える時間を取ってください。

本日発表されたスライドは、バイアスの新しい結果 RC4 について説明しています。 RC4は、キーに依存する疑似ランダムバイトのストリームを生成し、暗号化するデータとXORされます（復号化は同じです）。特に出力の最初のバイトでは、RC4の出力に若干の偏りがあることがわかっていました。これにより、次の攻撃が発生する可能性があります。仮定所定の秘密メッセージmは、毎回異なるキーを使用して繰り返し暗号化されますが、常に同じですpositionストリーム内で、暗号化されたデータを監視すると、メッセージを復元できますm。実際、位置jキーストリームバイトxが他のすべての255値よりも確率が高く、攻撃者がその暗号化バイト値bが発生する場合より頻繁に、彼はx = b XOR p for plaintext byte p、つまりp = x = XOR b。

通常、RC4 hasバイアスはその種のバイアスですが、たとえば SSL/TLS でのRC4の実際の使用では実際には脆弱ではないと想定されていました。

新しい結果は、既知のバイアスにさらに体系的な方法でいくつかのバイアスを追加し、measuresを与えます。対策部分的に確認上記のスタンス。もちろん、スライドは終末論的なスタンスをとり、完全な破損を警告する傾向があります。1。研究者は、資金を集めるために、結果に少しマーケティングと広告を行う必要がある。2。バーンスタインスクである終わりの時が近づいていること、他の誰もが間違っていることを叫ぶスタイル。

数値が示すものsayは、攻撃が機能するために数百万の接続を必要とすることです。ターゲットがCookie値である実際のSSL/TLS設定では、ブラウザーとサーバーが「接続を維持」するため、新しい接続を15秒ごとに2回以上開くことはありません。 24時間年中無休のWebサーフィンを1年間、常に同じサイトで、常に直後ブラウザまたはサーバーが現在の接続を閉じて、この攻撃の影響を受けることを決定しました。したがって、慌てる必要はありません。暗号スイートの設定を急いで掘り下げる理由はありません。まだ。

RC4は、やがて段階的に廃止されるはずです。実際、バイアスはわずかですが、以前の予想よりも大きくなっています（ "私たち"は、 "数百万「10億ぐらい」だった）。安全マージンはかなり薄くなっています。 RC4は最近BEAST攻撃により復活しましたが、一時的な対策として既に検討されていました。確かに、回避策が見つかったため、BEAST攻撃 機能しなくなりました 。

何度も提案されてきたRC4を「修正」する1つの方法は、出力の最初の256（または512または1536など）バイトをドロップすることです。これは、これらが最もバイアスされているためです（スライドのグラフィックは、明らかに）。しかし、これはRC4-as-we-know-itと互換性がないため、SSL/TLSで強制することはほとんど意味がありません。より良いアルゴリズムを実装するためにSSLライブラリを変更する必要がある場合、それらはすでに標準化されているもの、つまり [〜＃〜] gcm [〜＃〜] を使用することもできます（ RFC 5288を参照） GCMをSSL/TLSに統合する場合）。これは、他のバイアスがまだある改造されたRC4よりも優れています（より軽量ですが、検出可能であり、出力の最初のバイトに限定されません）。

今のところ、何もしません。しかし、Googleが何をするかを見てください。 Googleが行うことは、世界が続くことになります。

すぐに、あなたが本当にthat心配している場合は、AES/CBC（または3DES/CBC）に戻します。BEASTは、上記で説明したように、最新では機能しません。 -dateブラウザー（ブラウザーが最新でない場合、ユーザーには修正すべき緊急の問題が多くあります！）.

理想的な世界では、この新しい攻撃はすぐに適用できるわけではありませんが、ベンダーにTLS 1.2 + GCMの実装を促し、Webはより安全になります。