Een groep onderzoekers is erin geslaagd het RC4 encryptiealgoritme te kraken, wat grote gevolgen voor de veiligheid van online transacties kan hebben. Tijdens de Fast Software Encryption conferentie in Singapore demonstreerde professor Dan Bernstein van de Universiteit van Illinois een manier om Secure Sockets Layer (SSL) en Transport Layer Security (TLS) te kraken.
Deze twee populaire encryptiemethodes moeten dan wel met RC4 gecombineerd worden. SSL en TLS worden onder andere gebruikt voor de beveiliging van webverkeer, certificaten en e-mail.
Willekeur
RC4 werd meer dan 25 jaar geleden uitgevonden door cryptograaf Ron Rivest. Het gebruikt een sleutelwaarde om een stroom van willekeurig lijkende getallen te genereren die weer, één voor één, gecombineerd kunnen worden met bits in een bericht om ze op zo'n manier te coderen dat alleen iemand met dezelfde sleutelwaarde het bericht kan decoderen. Deze stroom van willekeurige getallen is toch niet zo willekeurig als werd aangenomen.
Door hetzelfde bericht keer op keer te laten versleutelen ontdekten de onderzoekers dat er toch geen sprake van willekeur is, waardoor het mogelijk is om de inhoud van berichten te achterhalen. Zodra een bericht tientallen miljoenen keren is is gecodeerd, worden gedeeltes van het bericht leesbaar.
Na een paar miljard pogingen is het gehele bericht gedecodeerd. Hoewel de kwetsbaarheid van RC4 al geruime tijd bekend was, is dit de eerste praktische aanval die openbaar wordt.
Websites
Vanwege het grote aantal berichten dat nodig is om de inhoud te lezen duurt de aanval in de huidige vorm nog zo'n 32 uur. Het risico bestaat dat de aanval verder wordt verfijnd, waardoor minder tijd is vereist. Zo'n 60% van de versleutelde websites gebruikt RC4. Een aantal websites besloot juist RC4 weer te gebruiken nadat een andere aanval problemen met andere algoritmes blootlegde.
Het gaat hier om de BEAST-aanval waardoor aanvallers ook versleuteld verkeer kunnen ontsleutelen. Als antwoord op dit probleem werd juist het gebruik van RC4 geadviseerd. Aangezien dat probleem door veel browserleveranciers gepatcht is, adviseren de onderzoekers aan webmasters om met het gebruik van RC4 te stoppen.
Deze posting is gelocked. Reageren is niet meer mogelijk.