Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker ontwerpt aanval op cryptografisch rc4-algoritme

Een onderzoeker van de TU Eindhoven heeft een praktische aanval voor het encryptiealgoritme rc4 opgezet. Dat het algoritme niet geheel veilig is, was al bekend, maar praktische aanvallen waren nog niet voorhanden. Toch zijn er nog de nodige beperkingen.

Al 15 jaar is bekend dat het 25 jaar oude encryptiealgoritme rc4 met gebreken kampt, maar een praktische aanval was nog niet voorhanden. Dat is nu veranderd, dankzij onderzoeker Daniel Bernstein van de Technische Universiteit Eindhoven. Bernstein zette een praktisch uit te voeren aanval op, waarbij telkens hetzelfde bericht opnieuw wordt versleuteld. Dankzij de gebreken in het rc4-protocol kan zo de inhoud van berichten worden achterhaald.

Het rc4-algoritme verhult de inhoud van berichten door de bits van de inhoud te combineren met willekeurige getallen, wat alleen ongedaan kan worden gemaakt door iemand die de sleutel kent. Het probleem zit in het feit dat de eerste 256 bits van een rc4-sleutel niet willekeurig genoeg zijn. Als een bericht vele miljoenen keren wordt gecodeerd, kunnen gedeeltes van het bericht worden uitgelezen; na enkele miljarden pogingen kan het hele bericht worden gelezen. Dat kan een of twee dagen rekenwerk kosten.

Daarmee is het waarschijnlijk niet de efficiëntste aanval op het cryptografische algoritme; eenvoudiger is het om fouten in de implementatie van het algoritme te misbruiken. Het rc4-algoritme wordt onder meer gebruikt in het tls-protocol, dat wordt gebruikt om websites te beveiligen. Het algoritme is nog steeds alomtegenwoordig en vanwege de Beast-aanval op https waren veel websites juist op rc4 overgestapt.

Door Joost Schellevis

Redacteur

15-03-2013 • 16:10

14 Linkedin Google+

Reacties (14)

Wijzig sortering
Als ik het goed begrepen hebt heeft TLS 1.1/1.2 heeft geen last van BEAST en staan toe dan een andere algoritme dan Rivest Cipher 4 (rc4) te gebruiken. Jammer echter dat de ondersteuning er voor, in IE Opera en firefox nog niet echt goed is. IE en Opera kan je het aan zetten, maar leg dat maar eens aan je gebruikers uit. Chrome support 1.1

Tijd om over te stappen naar TLS 1.1/1.2 in combi met Data Encryption Standard (DES), triple-strength DES (3DES).

Dus zullen de browsers moeten worden geupdate, wat als mooi side effect heeft dat support voor allerlei andere dingen beschikbaar word voor developers. (Html5 CORS etc..)

http://en.wikipedia.org/w...yer_Security#Web_browsers
http://security.stackexch...ed-in-all-modern-browsers
Voor de mensen die deze onderzoeker niet kennen: DJB is o.a. de maker van qmail en djbdns.
Edit: hmm, volgens mij had ik het toch niet helemaal goed begrepen.

Hier staat nog wat uitleg:
http://www.isg.rhul.ac.uk/tls/

Door een heleboel encrypties van hetzelfde stukje plaintext te bekijken, kunnen de eerste 256 bytes van die plaintext achterhaald worden. Dus door als attacker ergens in het netwerk pad tussen client en server te zitten en te zorgen dat de client steeds een nieuwe verbinding maakt, kan de aanvaller wat leren over een kort stukje uit het begin van het bericht dat de client naar de server stuurt.

Als dat stukje aan het begin een sessiecookie, of password of zo bevat, dan is dat dus interessant om te onderscheppen.

Praktische impact is dus op dit moment tamelijk beperkt, omdat het behoorlijk wat moeite kost om als attacker zo'n sloot aan sessies te veroorzaken en je alleen de eerste 256 bytes plaintext kan opvissen.

[Reactie gewijzigd door Orion84 op 15 maart 2013 16:59]

Het RC4 protocol wordt op talloze plaatsen gebruikt en eerdere kwetsbaarheden hadden voornamelijk te maken met de specifieke manier van implementeren en berekenen van de initialisatie vectors. Zie bijvoorbeeld de kwetsbaarheden van RC4 in WEP.

Wat je bedoelt met je laatste opmerking is me een raadsel. Als er wordt gesproken over een x-bit encryptie dan wordt doorgaans toch echt gedoeld op de sleutellengte.

2048bits sleutels zie je eigenlijk niet bij gangbare symmetrische algoritmes. Dat soort sleutellengtes zijn wel gangbaar bij a-symmetrische (Public Key) algoritmes als RSA.

Wat wel veelvoorkomend is, is dat public key crypto (bijvoorbeeld 2048 bit RSA) wordt gebruikt om een verbinding op te zetten en sleutelmateriaal uit te wisselen en er daarna voor de daadwerkelijke encryptie van de data gebruik wordt gemaakt van een 128 of 256 bit symmetrische sleutel, omdat dat qua performance veel beter is dan RSA voor de hele verbinding blijven gebruiken.

[Reactie gewijzigd door Orion84 op 15 maart 2013 17:07]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True