Onderzoekers kraken RC4-encryptie
Een groep onderzoekers is erin geslaagd het RC4 encryptiealgoritme te kraken, wat grote gevolgen voor de veiligheid van online transacties kan hebben. Tijdens de Fast Software Encryption conferentie in Singapore demonstreerde professor Dan Bernstein van de Universiteit van Illinois een manier om Secure Sockets Layer (SSL) en Transport Layer Security (TLS) te kraken.
Deze twee populaire encryptiemethodes moeten dan wel met RC4 gecombineerd worden. SSL en TLS worden onder andere gebruikt voor de beveiliging van webverkeer, certificaten en e-mail.
Willekeur
RC4 werd meer dan 25 jaar geleden uitgevonden door cryptograaf Ron Rivest. Het gebruikt een sleutelwaarde om een stroom van willekeurig lijkende getallen te genereren die weer, één voor één, gecombineerd kunnen worden met bits in een bericht om ze op zo'n manier te coderen dat alleen iemand met dezelfde sleutelwaarde het bericht kan decoderen. Deze stroom van willekeurige getallen is toch niet zo willekeurig als werd aangenomen.
Door hetzelfde bericht keer op keer te laten versleutelen ontdekten de onderzoekers dat er toch geen sprake van willekeur is, waardoor het mogelijk is om de inhoud van berichten te achterhalen. Zodra een bericht tientallen miljoenen keren is is gecodeerd, worden gedeeltes van het bericht leesbaar.
Na een paar miljard pogingen is het gehele bericht gedecodeerd. Hoewel de kwetsbaarheid van RC4 al geruime tijd bekend was, is dit de eerste praktische aanval die openbaar wordt.
Websites
Vanwege het grote aantal berichten dat nodig is om de inhoud te lezen duurt de aanval in de huidige vorm nog zo'n 32 uur. Het risico bestaat dat de aanval verder wordt verfijnd, waardoor minder tijd is vereist. Zo'n 60% van de versleutelde websites gebruikt RC4. Een aantal websites besloot juist RC4 weer te gebruiken nadat een andere aanval problemen met andere algoritmes blootlegde.
Het gaat hier om de BEAST-aanval waardoor aanvallers ook versleuteld verkeer kunnen ontsleutelen. Als antwoord op dit probleem werd juist het gebruik van RC4 geadviseerd. Aangezien dat probleem door veel browserleveranciers gepatcht is, adviseren de onderzoekers aan webmasters om met het gebruik van RC4 te stoppen.
Welke moet dan wel gebruikt worden?
Ik zou beginnen met:
http://books.google.nl/books?id=23Ld2tnnqLkC
Of indien mogelijk voor een Block Cypher kiezen.
Ik zou beginnen met:
http://books.google.nl/books?id=23Ld2tnnqLkC
Of indien mogelijk voor een Block Cypher kiezen.
@Commandte8 Je zou kunnen gaan voor Triple DES, AES o.i.d.
Wat je ook zou kunnen doen is elk uur de connectie killen dan wordt bij het opnieuw verbinden een nieuwe key gemaakt waardoor ze aanvallers opnieuw moeten beginnen :)
ssl_protocols SSLv3 TLSv1;
ssl_ciphers ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM;
Gebruik hiermee alle cipers behalve degene met ! ervoor en RC4 wordt naar einde van de lijst gezet. is toch ok kan altijd RC4 een ! geven
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
