微软、Google和Mozilla宣布,他们计划于2016年初在各自的浏览器永久性的终止RC4加密算法的支持。针对RC4加密算法的攻击正日益变得实用,破解所需的时间越来越短,在两年之内从数千小时减少到数天。
Mozilla宣布它将在明年1月26日发布Firefox 44时淘汰RC4,微软和Google也都计划在明年1月到2月之间从IE11和Edge以及Chrome中移除RC4。
研究人员早就知道,RC4中的统计偏差让攻击者可能预测出加密算法编码信息使用的部分伪随机比特。2013年,科学家设计出利用弱点的攻击方法,但需要2000小时才能正确猜测出认证cookie包含的字符。现在,在改进技术之后研究人员将破解所需的时间降低到75小时,正确率达到94%。而针对RC4加密算法的攻击也可用于破解使用WPA-TKIP协议保护的无线网络,对 WPA-TKIP网络的类似攻击只需要一个小时。研究人员建议停止使用RC4加密算法。
