RC4,RivestCipher4,曾是一种广泛使用和流行的算法,但后来被证明是脆弱的,且不鼓励使用。RC4是一种对称流密码,由于其简单和快速而得到广泛采用。
RC4支持从40位到位的密钥大小,因此RC4的弱点并不是由于暴力攻击,而是密码本身存在固有的弱点和漏洞,这不仅在理论上是可能的,还有很多例子表明RC4容易被攻破。这其中一个例子是RC4NOMORE攻击,此攻击仅在52小时内就能够从TLS加密连接中恢复身份验证cookie。由于这是对RC4密码本身的攻击,因此使用此密码的任何协议都可能受到攻击。
尽管如此,RC4还是被用于一系列流行的加密协议中,比如用于无线加密的WEP,以及WEP的继任者WPA。SSL和TLS也支持它,直到年,由于固有的弱点,所有版本的TLS都取消了RC4。出于这个原因,大多数主要的网页浏览器都完全放弃了对RC4以及所有版本的SSL的支持,转而使用TLS。
首选的安全配置是带有AESGCM的TLS1.2,这是AES块密码的一种特定操作模式,基本上将其转换为流密码。GCM(Galois/CounterMode)通过获取随机种子值、增加种子值并加密该值、创建顺序编号的密文块来工作,然后将密文合并到要加密的明文中。GCM非常受欢迎,因为它的安全性基于AES加密,以及它的性能,可以高效地并行运行。
#网络安全#