IETF исключит из веб-протоколов шифр RC4

Инженерная группа по развитию Интернета (IETF), входящая в состав Комитета по надзору за сетью Интернет (IAB), обновила статус уведомления о запрете потокового шифра RC4, используемого в настоящее время при коммуникации между клиентскими и серверными системами. Крайний срок для участия в обсуждении данной инициативы истекает 10 декабря 2014 года.

Суть предложения IETF сводится к всеобщему запрету потокового шифра Рональда Райвеста (Ronald Rivest) при установлении клиент-серверных соединений в сети Интернет. Кажущаяся простота отказа от использования RC4 требует, тем не менее, длительной подготовки, учитывая масштабы Всемирной паутины.

Так, клиентские устройства должны будут перестать прослушивать приветственные сообщения на предмет наличия RC4, а серверам предстоит отказаться от использования этого шифра в рамках протокола транспортного уровня TLS.

Опубликованный на сайте IETF документ предписывает серверам разрывать устанавливаемое соединение на стадии процедуры приветствия, если клиент настаивает на использовании RC4, при этом ему может отсылаться сообщение о слабом уровне безопасности.

Стоит отметить, что шифр RC4 считается недостаточно стойким уже довольно продолжительное время, а такие гиганты компьютерной индустрии, как Microsoft и Cisco, в прошлом году уже порекомендовали своим клиентам избегать его использования. Как отмечает Андрей Попов из Microsoft, чья подпись стоит на официальной бумаге IETF, атаки на RC4 находятся «на грани практической применимости». Эксперт отмечает, что RC4 более не может считаться представляющим достаточный уровень криптографической защиты в рамках сессий протокола TLS.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.

Материалы по теме

Виджет от SocialMart

© 3DNews