最近的一篇論文表明有攻擊可攻破RC4加密以及解密用戶cookie。那么，這種攻擊的工作原理是什么，企業(yè)應(yīng)該如何避免這種攻擊?RC4是否還有用?

[[161788]]

Michael Cobb：因?yàn)樗俣群秃?jiǎn)單性，RC4加密成為最廣泛使用的流加密，并用于常用協(xié)議中，例如有線等效保密(WEP)和安全套接字層(SSL)以及傳輸層安全(TLS)等。雖然RC4一直被認(rèn)為存在漏洞，但在現(xiàn)實(shí)世界中還沒有針對(duì)它的攻擊。隨著越來越多的加密漏洞被發(fā)現(xiàn)，RC4似乎早在2013年就應(yīng)該被淘汰。而現(xiàn)在密碼分析結(jié)果逐漸將成為切實(shí)可行的漏洞利用，這意味著RC4無法再為企業(yè)數(shù)據(jù)提供足夠安全。

兩名比利時(shí)研究人員Mathy Vanhoef和Frank Piessens在52小時(shí)內(nèi)解密了受TLS保護(hù)且使用RC4加密的HTTPS會(huì)話中使用的Web cookie，而此前利用RC4漏洞的攻擊需要花費(fèi)2000小時(shí)。通過使用固定純文本恢復(fù)技術(shù)—被稱為RC4 NOMORE(Numerous Occurrence Monitoring & RecoveryExploit)，攻擊者可誘騙用戶訪問代碼來產(chǎn)生足夠的數(shù)據(jù)，成功地確定用戶的加密cookie值。被劫持的cookie可被用來獲取對(duì)信息或服務(wù)的未經(jīng)授權(quán)訪問。

該攻擊利用RC4密鑰流中的偏差來恢復(fù)純文本。密鑰流需要都一致隨機(jī)，否則就可能出現(xiàn)偏差。RC4產(chǎn)生的密鑰流對(duì)某些序列有不同程度的偏差，例如，一些字節(jié)比它們?cè)靖锌赡懿捎锰囟ㄖ?。這讓RC4容易被辨識(shí)力強(qiáng)的攻擊者攻擊，因?yàn)楣粽呖梢詤^(qū)分加密數(shù)據(jù)與隨機(jī)數(shù)據(jù)。RC4 NOMORE利用Fluhrer-McGrew和Mantin的ABSAB偏差來返回潛在純文本cookie值列表，攻擊者會(huì)使用暴力破解直到找到正確的。這種攻擊在未來無疑將更有效。

這種攻擊并不局限于解密cookie，任何被重復(fù)加密的數(shù)據(jù)或信息都可以被回復(fù)。例如，對(duì)于使用WI-Fi保護(hù)訪問臨時(shí)密鑰完整性協(xié)議(WPA-TKIP)的無線網(wǎng)絡(luò)，這種攻擊只需要一個(gè)小時(shí)來執(zhí)行。雖然Wi-Fi聯(lián)盟正在逐步淘汰使用WPA-TKIP，但它的應(yīng)用仍然很廣泛。網(wǎng)絡(luò)應(yīng)該使用WPA2配置為僅使用加密算法AES-Counter Mode CBC-MAC協(xié)議。

在2015年2月，互聯(lián)網(wǎng)工程任務(wù)組發(fā)布了RFC 7465，其中禁止在客戶端和服務(wù)器建立TLS連接時(shí)使用RC4加密套件。微軟和Mozilla也發(fā)布了類似的建議來淘汰和啟用RC4加密以及其他弱算法，例如SHA-1。微軟建議使用TLS 1.2 AES-GCM作為更安全的替代方法，同時(shí)提供相似的功能。

RC4加密是唯一幸免于2011年針對(duì)TLS 1.2的BEAST攻擊的常用加密，因?yàn)樵摴衾昧朔纸M加密中的漏洞。這導(dǎo)致越來越多的網(wǎng)站開始使用RC4(約50%)，但現(xiàn)在這個(gè)數(shù)字已經(jīng)回落，根據(jù)加州大學(xué)伯克利分校計(jì)算機(jī)科學(xué)學(xué)院表示，目前全球約13%的網(wǎng)站仍然在使用RC4。使用RC4加密的網(wǎng)站管理員應(yīng)該切換到AES，這是更安全的對(duì)稱分組加密。此外，網(wǎng)站開發(fā)人員應(yīng)確保用于訪問敏感信息的會(huì)話cookie值是鹽化哈希值，它會(huì)在每次服務(wù)器響應(yīng)時(shí)變化，這種方法可抵御對(duì)cookie的暴力破解。與此同時(shí)，企業(yè)應(yīng)確保用戶的Web瀏覽器完全保持更新?，F(xiàn)在所有最新版本的主流瀏覽器都開始避免使用RC4，相信與IE11一樣，它們很快將完全停止使用RC4。