Nagy pofont kapott az RC4 titkosítás

A Microsoft, a Google és a Mozilla nagy egyetértésben úgy határozott, hogy az RC4-alapú titkosítási megoldások támogatását egységesen minden böngészőjükben megszüntetik. Jövő év elejéig még van idő az átállásra.
 

A RC4 alapú titkosítási eljárások már az 1980-as évek végén megjelentek, és nagyon széles körű támogatottságra tettek szert az informatika világában. Azonban az utóbbi években egyre több biztonsági aggály kezdte övezni a sokat látott algoritmusokat. Az aggodalmak nem voltak alaptalanok, hiszen biztonsági kutatók már többször demonstrálták, hogy az RC4 egyre sebezhetőbb egyes támadási technikákkal szemben. Míg egy 2013-as támadási kísérlet során még összességében 2000 órába került egy RC4 alapú titkosítás feltörése, addig az idén napvilágra került legújabb technikával ez az időszükséglet 52 órára csökkent a TLS-alapú kommunikáció esetén. Ugyanakkor még ez a módszer is sok gyakorlati problémát vet fel a támadók oldalán, ezért valós, mindennapi veszélyt igazán még nem jelent. De ami késik, nem múlik alapon meg kellett hozni az első óvintézkedéseket.

Nagy az egyetértés

A kutatási eredmények tudatában nem meglepő, hogy egyre több szervezet és vállalat jelezte, hogy nem javasolja az RC4 használatát. Idén februárban egyebek mellett az IETF (Internet Engineering Task Force) is úgy nyilatkozott, hogy a TLS-re épülő kliens/szerver kommunikáció esetében nem ajánlja az RC4 alkalmazását. Mostanra pedig a böngészőpiac három jelentős szereplője, a Microsoft, a Google és a Mozilla is egyöntetűen kifejtette álláspontját. Sőt megállapodtak abban, hogy az RC4 támogatását egységesen eltávolítják a webböngészőikből. 

A Microsoft közölte, hogy az Internet Explorer, valamint az Edge alkalmazás 2016 elején fog megválni az RC4-től. Ez a lépés azért sem váratlan, mert a Microsoft már 2013-ban is hangoztatta, hogy nem javasolja a szóban forgó titkosítási eljárások, algoritmusok használatát a webes szolgáltatások esetében.

A Mozilla idén márciusban elkezdte az RC4 elleni hadijáratot, amikor a Firefox 37-es verziójának kiadásával részben korlátozni kezdte a titkosítási eljárás használatát. A kompatibilitás teljes körű megszüntetésére várhatóan 2016 februárjában kerül majd sor, amikor a Firefox 44-es verziójának végleges kiadása csatasorba áll. "Az RC4 kikapcsolása azt jelenti, hogy a Firefox többé nem fog csatlakozni olyan szerverekhez, amelyek RC4 alapú kapcsolatokat hoznak létre. Mindez viszonylag kisszámú kiszolgálót érint, ezért a felhasználók zöme nem fog rendellenességet tapasztalni" - nyilatkozta Richard Barnes, a Mozilla biztonsági mérnöke.

Végül, de nem utolsó sorban a Google is hangot adott elképzeléseinek, miszerint a Chrome webböngésző 2016 januárjában vagy legkésőbb februárban fogja elveszteni az RC4 kompatibilitást. "Méréseink azt mutatják, hogy a Chrome felhasználók körében a HTTPS kapcsolatok 0,13 százaléka hagyatkozik az RC4-re. Ugyanakkor az érintett kiszolgálók üzemeltetőinek minél előbb lépéseket kell tenniük, és a konfigurációk módosításával engedélyezniük kell a hatékonyabb titkosítási eljárásokat, hogy biztosítsák a folyamatos üzletmenetet" - nyilatkozta Adam Langley, a Google szakértője.