Den udskældte RC4-kryptering har længe haft kendte svagheder, og mange eksperter har påpeget, at RC4 bør erstattes med nyere og mere skudsikre krypteringsformer. I denne uge meldte Microsoft endelig ud til deres kunder, at RC4 ikke længere bør anvendes.
Senest har Edward Snowdens afsløringer af NSA’s hemmeligheder skærpet sikkerhedseksperternes skepsis over for RC4’s integritet.
En figur som Jacob Appelbaum, der er uafhængig sikkerhedsekspert, associeret med Wikileaks og tidligere ansat hos University of Washington advarer således:
»RC4 er blevet brudt i realtid af NSA – stop med, at bruge det,« siger Jacob Appelbaum, der forsker i it-sikkerhed og er en førende Tor-udvikler ifølge the Register.
Nu lyder det altså også fra Microsoft, at udviklere skal droppe brugen af den udbredte RC4-kryptering, da den ikke længere er vurderet til at være sikker. Udmeldingen kommer samtidig med tirsdagens sikkerhedspatch, skriver Threatpost.com.
»Set i lyset af nylige undersøgelser af angreb på svagheder i RC4-krypteringen, anbefaler Microsoft, at kunder istedet bruger TLS1.2 i deres tjenester og begynder at udfase RC4,« skriver sikkerhedschef i Microsoft, William Peteroy i et blogindlæg ifølge Threatpost.com.
Den amerikanske netværksgigant Cisco har ligeledes anbefalet deres kunder, at anvendelsen af RC4 bør stoppe.
RC4-krypteringen bliver blandt andet brugt i populære protokoller såsom TLS (Transport Layer Security), der anvendes i stor stil på nettet, samt det kryptografiske system WEP, der bruges til at sikre WiFi-netværk mod indtrængende.
Leave a Reply