微软宣布旗下浏览器正式终止对RC4加密算法的支持
加密是互联网中不可或缺的重要内容,然而由于时代的发展老旧的加密算法也终归会被替代。
RC4(Rivest Cipher 4)是一种使用非常广泛的流加密算法,其加解密使用相同的密钥因此也属于对称加密算法。
RC4由美国密码学专家Ron Rivest在1987年时设计问世,不过由于RC4算法存在弱点因此被2015年2月份发布的RFC 7466规定禁止在TLS中禁止使用。
在去年时微软就已经宣布了在Microsoft Edge和Internet Explorer 11浏览器中使用RC4加密算法。
而如今微软也正式宣布了终止在Microsoft Edge和Internet Explorer 11浏览器中对RC4加密算法的支持。
基于安全性原因Google Chrome浏览器、Mozilla基金会的Firefox浏览器以及来自挪威的老牌浏览器Opera也早已禁止使用RC4加密算法。
事实上研究人员很早就已经发现了可以利用RC4加密算法中的统计偏差可以导致对加密信息中的伪随机字节进行猜测。
研究人员利用此漏洞进行攻击试验时花费了2000个小时猜测基础身份认证Cookies中包含的字符。
而后来研究人员经过技术改进后只需要75个小时的猜解就能得到94%的准确率。
经过这几年的信息安全的改进使用RC4算法的网站已经非常少了,微软也称禁用RC4算法后用户几乎不会发现有使用区别。