RC4 終了のお知らせ
セキュリティホール memo の記事で初めて知ったのだが...
“We have found a new attack against TLS that allows an attacker to recover a limited amount of plaintext from a TLS connection when RC4 encryption is used. The attacks arise from statistical flaws in the keystream generated by the RC4 algorithm which become apparent in TLS ciphertexts when the same plaintext is repeatedly encrypted at a fixed location across many TLS sessions.
We have carried out experiments to demonstrate the feasibility of the attacks.
The most effective countermeasure against our attack is to stop using RC4 in TLS. There are other, less-effective countermeasures against our attacks and we are working with a number of TLS software developers to prepare patches and security advisories.”
(via “On the Security of RC4 in TLS”)
ネットでは TLS 接続のおよそ半分は RC4 ストリーム暗号を使ってるらしい。 Google も RC4 を使ってる。 これは TLS (の CBC モード)に対する最近の攻撃(BEAST, CRIME and Lucky 13 attack)を回避する目的もあるようだ。 しかし,上述の記事にあるように,新しく発見された攻撃では RC4 が破られてしまう。
この新しい攻撃を回避するには TLS で RC4 を使わないことらしい。 ということで AES-GCS など AEAD ciphersuites を実装する TLS 1.2 への移行が急務になってくるわけだが, TLS 1.2 自体まだほとんど普及していない。 ブラウザにしても,最近のブラウザはともかく(あのくそ忌々しい) IE6 は TLS 1.2 になんか対応しないだろうし,携帯端末なんかどーすんだって感じである。 この辺はこれからいろいろ動きがあるかもしれない。
RC4 については無線 LAN なんかでは既に終了している感がある。 RC4 を利用する WEP/WPA は既に終わっている。
また,昨年 CRYPTREC が公開した「ストリーム暗号RC4の安全性評価(PDF)」の後半では, Broadcast setting での RC4 (Broadcast RC4)の安全性について評価していて,その結果
「以上より,我々の攻撃では, 任意の平文を暗号文のみから導出できる Full Plaintext Recovery Attack でありかつ,現実的なデータ量で攻撃可能である.」
(「ストリーム暗号RC4の安全性評価」 5.5節より)
と結んでいる。
本当に RC4 は「終了」なのかもしれない。