较近的一篇论文表明有攻击可攻破RC4加密以及解密用户cookie。那么,这种攻击的工作原理是什么,企业应该如何避免这种攻击?RC4是否还有用?
Michael Cobb:因为速度和简单性,RC4加密成为较广泛使用的流加密,并用于常用协议中,例如有线等效保密(WEP)和安全套接字层(SSL)以及传输层安全(TLS)等。虽然RC4一直被认为存在漏洞,但在现实世界中还没有针对它的攻击。随着越来越多的加密漏洞被发现,RC4似乎早在2013年就应该被淘汰。而现在密码分析结果逐渐将成为切实可行的漏洞利用,这意味着RC4无法再为企业数据提供足够安全。
两名比利时研究人员Mathy Vanhoef和Frank Piessens在52小时内解密了受TLS保护且使用RC4加密的HTTPS会话中使用的Web cookie,而此前利用RC4漏洞的攻击需要花费2000小时。通过使用固定纯文本恢复技术—被称为RC4 NOMORE(Numerous Occurrence Monitoring & RecoveryExploit),攻击者可诱骗用户访问代码来产生足够的数据,成功地确定用户的加密cookie值。被劫持的cookie可被用来获取对信息或服务的未经授权访问。
该攻击利用RC4密钥流中的偏差来恢复纯文本。密钥流需要都一致随机,否则就可能出现偏差。RC4产生的密钥流对某些序列有不同程度的偏差,例如,一些字节比它们原本更有可能采用特定值。这让RC4容易被辨识力强的攻击者攻击,因为攻击者可以区分加密数据与随机数据。RC4 NOMORE利用Fluhrer-McGrew和Mantin的ABSAB偏差来返回潜在纯文本cookie值列表,攻击者会使用暴力破解直到找到正确的。这种攻击在未来无疑将更有效。
这种攻击并不局限于解密cookie,任何被重复加密的数据或信息都可以被回复。例如,对于使用WI-Fi保护访问临时密钥完整性协议(WPA-TKIP)的无线网络,这种攻击只需要一个小时来执行。虽然Wi-Fi联盟正在逐步淘汰使用WPA-TKIP,但它的应用仍然很广泛。网络应该使用WPA2配置为仅使用加密算法AES-Counter Mode CBC-MAC协议。
在2015年2月,互联网工程任务组发布了RFC 7465,其中禁止在客户端和服务器建立TLS连接时使用RC4加密套件。微软和Mozilla也发布了类似的建议来淘汰和启用RC4加密以及其他弱算法,例如SHA-1。微软建议使用TLS 1.2 AES-GCM作为更安全的替代方法,同时提供相似的功能。
RC4加密是幸免于2011年针对TLS 1.2的BEAST攻击的常用加密,因为该攻击利用了分组加密中的漏洞。这导致越来越多的网站开始使用RC4(约50%),但现在这个数字已经回落,根据加州大学伯克利分校计算机科学学院表示,目前全球约13%的网站仍然在使用RC4。使用RC4加密的网站管理员应该切换到AES,这是更安全的对称分组加密。此外,网站开发人员应确保用于访问敏感信息的会话cookie值是盐化哈希值,它会在每次服务器响应时变化,这种方法可抵御对cookie的暴力破解。与此同时,企业应确保用户的Web浏览器完全保持更新。现在所有较新版本的主流浏览器都开始避免使用RC4,相信与IE11一样,它们很快将完全停止使用RC4。
