Sem a Crome, sem a Firefox, sem az Internet Explorer, sem pedig az Edge nem támogatja jövő év elejétől az RC4-alapú titkosítást. Végre van valami, amiben szinte tökéletes az összhang a három cég között – írta a Biztonságportál.
Öreg harcost nyugdíjaznak
Az RC4-alapú titkosítási eljárások közel harminc éve vannak jelen az informatikai eszközökben. A 80-as évek végén jelentek meg, és hamarosan nagyon széles körben elterjedtek. Legfőbb előnyének a gyorsaságát és a könnyű implementálhatóságát tartják. Még a gyengébb hardvereken is jól teljesít.
Az utóbbi években azonban megrendült a bizalom az algoritmussal szemben. Egyrészről voltak a sikeres és egyre rövidebb idő alatt végrehajtott törések: 2013-ban volt például egy kísérlet, melynek során összesen 2000 munkaóra kellett egy RC4-alapú titkosítás töréséhez. Idén viszont már olyan technikák is megjelentek, amikkel ugyanez már 52 óra, azaz alig több mint két nap végrehajtható a TLS-, azaz Transport Layer Security-alapú kommunikáció esetén.
Persze mindenek kísérletek, voltaképpen "laboratóriumi" kísérleteknek tekinthetők, azaz nem biztos, hogy a hackerek valós helyzetben is ilyen gyorsan sikerrel járnának. Ebből jön az a viszonylag egységes vélekedés is, hogy az RC4 ugyan törhető, mindennapi veszélyt egyelőre nem jelent.
Vannak azonban más aggodalmak is. 2013-ban ugyanis az is felmerült, hogy az amerikai nemzetbiztonsági ügynökség, az NSA is feltört egy széles körben elterjedt algoritmust. Bár azt senki sem nevesítette, hogy melyikről lehet szó, de sokakban felmerült a gyanú: az RC4 volt az áldozat. Ez különösen annak fényében volt aggasztó hír, hogy akkori lapértesülések szerint az NSA aktívan is hozzájárult a titkosítási technológiák gyengítéséhez, a Reuter például arról írt, hogy az RSA még pénzt is kapott azért, hogy hibás véletlenszám-generátort a BSAFE nevű titkosítási és átvitelbiztonsági eszközébe. Az RSA persze cáfolt, de a botrány ettől még jó nagy volt.
Azonos véleményen a versenytársak
A túl sok lehetséges kockázat végül egy platformra hozta a vállalatokat: egyre több szervezet és vállalat jelezte, hogy nem javasolja az RC4 használatát. Idén februárban egyebek mellett az IETF (Internet Engineering Task Force) is úgy nyilatkozott, hogy a TLS-re épülő kliens/szerver kommunikáció esetében már nem ajánlja az RC4 alkalmazását.
Az első konkrét döntést a böngészőpiac három jelentős szereplője, a Microsoft, a Google és a Mozilla hozta meg: megállapodtak abban, hogy az RC4 támogatását egységesen eltávolítják a webböngészőikből.
A Microsoft az Internet Explorerből és utódából, az Edge-ből már 2016 elején kiteszi az RC4-et. A redmondiak egyébként már 2013-ban is arról beszéltek, hogy webes szolgáltatásoknál nem szabadna használni ezt az algoritmust.
Januártól kicsit más lesz a böngészővilág
A Mozilla csak idén márciusban csatlakozott az RC4 elleni hadjárathoz, de mindjárt egy konkrét lépéssel: a Firefox 37-es kiadásában részben már korlátozta a titkosítási eljárás használatát. A támogatás várhatóan 2016 februárjában, a 44-es kiadású Firefoxszal fog megszűnni. Ez a gyakorlatban azt jelenti majd, hogy a Firefox többé nem tud csatlakozni olyan szerverekhez, amelyek RC4-alapú kapcsolatokat hoznak létre. Richard Barnes, a Mozilla biztonsági mérnöke, azonban igyekezett megnyugtatni az aggódókat: a probléma viszonylag kisszámú kiszolgálót érint, azaz a felhasználók többsége semmit sem észlel majd a támogatás megszűnéséből.
A Chrome RC4-támogatásának szintén jövő év februárjáig adott végső haladékot a Google, de a chrome-ozóknak sem kell aggódniuk. Legalábbis a Google szakértője, Adam Langley szerint. A keresőóriás felmérései azt mutatják, hogy a Chrome-ot használók által használt HTTPS kapcsolatoknak mindössze a 0,13 (!) százaléka használja az RC4-et.
A döntés tehát elsősorban a kiszolgálók üzemeltetőinek ad feladatot. Ha nem lépnek, a netezők el sem jutnak hozzájuk.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak