RC4

百度当地媒体报道称，爆炸发生于该市斯坦利地区托里普五星级酒店旁。

RC4, ARC4 oder Arcfour ist eine Stromverschlüsselung, die mit Standards wie HTTPS, SSH 1 und WEP bzw. WPA weite Verbreitung gefunden hat.

RC4 (Rivest Cipher 4) wurde 1987 von Ronald L. Rivest entwickelt und ist eine Marke von RSA Security. Der Algorithmus wurde vom Hersteller geheim gehalten (siehe Security by Obscurity), bis sein Quelltext im Jahr 1994 anonym auf einer Mailingliste ver?ffentlicht wurde.^[1] Der Algorithmus fand Verbreitung als Open Source und wurde zur Vermeidung einer Markenrechtsverletzung als ARC4 (Alleged RC4) oder Arcfour bezeichnet.

Im Februar 2015 wurde mit RFC 7465 der Einsatz von RC4 im Rahmen von TLS verboten, da es erhebliche Sicherheitsm?ngel aufweist.^[2]^[3]

Beschreibung

Eine Zufallsfolge wird aus einem nur einmalig zu verwendenden Schlüssel erzeugt. Der Klartext wird Bit für Bit per XOR mit der Zufallsfolge verknüpft, um die Daten zu verschlüsseln.

Der Zufallsgenerator verwendet eine sogenannte S-Box, eine zuf?llig gew?hlte Permutation oder Substitution der Zahlen 0 bis 255. Die S-Box wird in einem ersten Schritt aus dem geheimen Schlüssel berechnet und anschlie?end zur Berechnung der Zufallsfolge verwendet. Nach jedem Berechnungsschritt werden zwei Werte der S-Box vertauscht.

Die Sicherheit eines solchen Verfahrens ist nur gew?hrleistet, wenn sich die Zufallsfolge nicht wiederholt. Daher darf der Schlüssel bzw. das Passwort nur einmalig verwendet werden. Für die Besetzung der S-Box und die Werte zweier weiterer Variablen gibt es ca. 2¹⁶⁸⁴ M?glichkeiten, was einer Schlüssell?nge von 210 (1684/8) Zeichen entsprechen würde. Nach dem Geburtstagsparadoxon ist zu erwarten, dass es Schlüssel mit einer Schlüssell?nge von ${\frac {\frac {1684}{2}}{8}}\approx {105}$ Zeichen gibt, die identische Permutationen der S-Box erzeugen. Bekannt sind mittlerweile mindestens zwei 24 Zeichen (192 Bit) lange Schlüssel, die zur gleichen Permutation der S-Box führen. Damit gibt es zwei verschiedene Schlüssel, die zur gleichen Verschlüsselungsfolge führen.^[4]

Der Algorithmus ist sehr einfach mit praktisch jeder Hard- und Software zu implementieren und sehr effizient berechenbar.

Im WEP wurde der einmalige Schlüssel durch einfaches Zusammensetzen eines festen geheimen Schlüssels und eines Session Key bestimmt. In diesem Fall ist es jedoch m?glich, den festen geheimen Schlüssel abzuleiten. Falls der Schlüssel mit einer Hashfunktion quasi zuf?llig gew?hlt wird, kann der RC4 aber weiterhin als sicher betrachtet werden.

Bei Microsoft-Windows-Systemen, welche an eine NT-Dom?ne angebunden sind, wird das Anmeldepasswort, welches der Benutzer in der GINA-Oberfl?che eingibt, nach vorangegangener Aushandlung eines Schlüssels per RC4-HMAC verschlüsselt und durch einen Kerberos-Frame an den Server übertragen. Die Aushandlung des Schlüssels findet w?hrend der Meldung ?Netzwerkverbindungen werden vorbereitet“ statt.

Algorithmus

Die Nachschlagephase von RC4 bei einem Alphabet der Gr??e eines Bytes. Das Ausgabebyte wird von den Werten $S[i]$ und $S[j]$ ausgew?hlt, diese werden addiert modulo 256 gerechnet.

Kern des Verfahrens ist die sogenannte S-Box, eine zuf?llige Vertauschung oder Permutation des Standard-Alphabets (Byte-Werte 0–255). Mittels der S-Box wird eine Zufallsfolge erzeugt, die Bit für Bit durch Addition modulo 2, auch XOR-Verknüpfung genannt, mit dem Nachrichtenstrom verknüpft wird. Die S-Box wird zun?chst als identische Abbildung vorbesetzt, so dass $S[i]=i$ für i=0 bis 255 gilt.

Die initiale Belegung der S-Box kann mit dem folgenden Pseudo-Code beschrieben werden. Die S-Box wird dabei aus dem Schlüssel $k$ der L?nge $L$ Byte berechnet:

  k[]: gegebene Schlüssel-Zeichenfolge der L?nge 5 bis 256 Byte
  L := L?nge des Schlüssels in Byte
  s[]: Byte-Vektor der L?nge 256
  Für i = 0 bis 255
    s[i] := i
  j := 0
  Für i = 0 bis 255
    j := (j + s[i] + k[i mod L]) mod 256
    vertausche s[i] mit s[j]

Die anschlie?ende Berechnung der Zufallsfolge erfolgt analog:

  klar[]: gegebene Klartext-Zeichenfolge der L?nge X
  schl[]: Vektor zum Abspeichern des Schlüsseltextes
  i := 0
  j := 0
  Für n = 0 bis X-1
    i := (i + 1) mod 256
    j := (j + s[i]) mod 256
    vertausche s[i] mit s[j]
    zufallszahl := s[(s[i] + s[j]) mod 256]
    schl[n] := zufallszahl XOR klar[n]

Zum Entschlüsseln verwendet man den gleichen Algorithmus, wobei der Schlüsseltext anstelle des Klartextes eingegeben wird. Zwei XOR-Verknüpfungen mit derselben Zufallszahl heben sich gegenseitig auf, und als Ausgabe entsteht wieder der Klartext.

Sicherheit

Wie jede Stromchiffre bietet auch RC4 keinen Integrit?tsschutz. Wenn ein Angreifer ein Bit einer verschlüsselten Nachricht ?ndert, so ?ndert er damit auch das gleiche Bit des Klartextes.

Der erste praktische Angriff auf RC4 gelang Scott Fluhrer, Itsik Mantin und Adi Shamir im Jahr 2001.^[5] RSA Security empfahl daraufhin, die ersten 256 Bytes (eine Runde) des Schlüsselstroms zu verwerfen.^[6] Andreas Klein verbesserte daraufhin den Angriff, so dass er auch dann noch funktioniert.^[7] Er empfahl, die Ausgabe der ersten 12 Runden zu verwerfen.

Anfang 2013 wurde ein neues Angriffsszenario von AlFardan, Bernstein, Paterson, Poettering und Schuldt vorgeschlagen, das statistische Auff?lligkeiten im von RC4 erzeugten Datenstrom nutzt,^[8]^[9] um eine Nachricht zu entziffern, die über mehrere RC4-verschlüsselte TLS-Verbindungen übertragen wird.^[10]^[11] 2015 stellten Mathy Vanhoef und Frank Piessens einen praktisch durchführbaren Angriff vor, in dem Magic-Cookies innerhalb von 52 Stunden entziffert werden konnten.^[12]

Jacob Appelbaum ist der Ansicht, dass die NSA die RC4-Verschlüsselung in Echtzeit brechen k?nne. Bruce Schneier bezeichnete dies als eine plausible Vermutung.^[13]

Die Europ?ische Agentur für Netz- und Informationssicherheit empfiehlt, RC4 durch Rabbit oder Snow 3G zu ersetzen.^[14] Auch das Bundesamt für Sicherheit in der Informationstechnik r?t von der Verwendung von RC4 ab. So setzt beispielsweise die Deutsche Finanzagentur RC4 seit November 2013 nicht mehr ein.^[15]

Die Internet Engineering Task Force verbietet mit dem RFC 7465 seit Februar 2015 den Einsatz von RC4, da in der Praxis die Zahl der Versuche, die zum Brechen der Verschlüsselung n?tig w?ren, zu klein geworden w?re und sie keine ausreichend hohe Sicherheit für TLS-Sessions mehr bieten k?nne.^[16]^[3]

Spritz

Am 27. Oktober 2014 stellten Ronald L. Rivest und Jacob C. N. Schuldt eine verbesserte Variante von RC4 namens Spritz vor.^[17] Diese neue Variante ist auch Grundlage einer kryptographischen Hashfunktion. Allerdings wird die Performance von RC4 nicht erreicht. Der Algorithmus ist nur etwa halb so schnell wie RC4, und auch langsamer als die Blockchiffre Advanced Encryption Standard im Counter Mode.^[17] Die Schlüsselberechnung dauert l?nger als bei RC4.^[18]

Es folgt eine kurze Gegenüberstellung der Kernstücke von RC4 und SPRITZ.

RC4:

  i = i + 1
  j = j + S[i]
  SWAP(S[i],S[j])
  z = S[S[i] + S[j]]
  Return z

SPRITZ:

  i = i + w
  j = k + S[j + S[i]]
  k = i + k + S[j]
  SWAP(S[i],S[j])
  z = S[j + S[i + S[z + k]]]
  Return z

Der Parameter w ist eine zu N teilerfremde Zahl, wobei N (meist 256) die Gr??e des Arrays S ist. Addiert wird immer modulo N. Nach N Iterationen hat i daher jeden Wert von 0 bis N-1 genau einmal angenommen. Jeder Wert in S wurde entsprechend mindestens einmal mit einer zuf?llig gew?hlten Position vertauscht.

Weblinks

überblick über Arbeiten bezüglich der Sicherheit von RC4 (englisch)
Original-Post des damals noch geheimen RC4-Algorithmus im Usenet (englisch)
Scott Fluhrer, Itsik Mantin, Adi Shamir: Weaknesses in the Key Scheduling Algorithm of RC4. (PDF; 297 kB) cs.cornell.edu (englisch).
A Stream Cipher Encryption Algorithm “Arcfour”. Internet Engineering Task Force Network Working Group, 1997.
RFC: 4345 – Improved Arcfour Modes for the Secure Shell (SSH) Transport Layer Protocol. (englisch).

Einzelnachweise

↑ Thank you Bob Anderson. In: Cypherphunks Mailingliste. Abgerufen am 1. Januar 2025.
↑ Jürgen Schmidt: IETF verbietet RC4-Verschlüsselung in TLS. Heise Security, 20. Februar 2015, abgerufen am 20. Februar 2015.
↑ ^a ^b A. Popov: RFC: 7465 – Prohibiting RC4 Cipher Suites. Februar 2015 (englisch).
↑ Mitsuru Matsui: Key Collisions of the RC4 Stream Cipher. Fast Software Encryption, 2009. In: Lecture Notes. In: Computer Science, Nummer 5665, Springer Verlag, 2009, S. 38–50, Pr?sentation (PDF; 267 kB; englisch)
↑ Scott Fluhrer, Itsik Mantin, Adi Shamir: Weaknesses in the Key Scheduling Algorithm of RC4. In: Selected Areas in Cryptography (= Lecture Notes in Computer Science). Band 2259. Springer, 2001, S. 1–24, doi:10.1007/3-540-45537-X_1 (weizmann.ac.il).
↑ RSA Security Response to Weaknesses in Key Scheduling Algorithm of RC4. RSA Security, archiviert vom Original (nicht mehr online verfügbar) am 29. September 2011; abgerufen am 10. September 2012 (englisch). Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gem?? Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.rsa.com
↑ Andreas Klein: Attacks on the RC4 stream cipher. In: Designs, Codes and Cryptography. Band 48, Nr. 3. Springer, 2008, S. 269–286, doi:10.1007/s10623-008-9206-6.
↑ Nadhem AlFardan, Daniel J. Bernstein, Kenneth G. Paterson, Bertram Poettering, Jacob C.N. Schuldt: On the Security of RC4 in TLS. 2013, ISBN 978-1-931971-03-4 (usenix.org).
↑ Pouyan Sepehrdad, Serge Vaudenay, Martin Vuagnoux: Discovery and Exploitation of New Biases in RC4. In: Lecture Notes in Computer Science. Band 6544, 2011, S. 74–91, doi:10.1007/978-3-642-19574-7_5 (englisch, springer.com).
↑ Matthew Green: Attack of the week: RC4 is kind of broken in TLS. In: Cryptography Engineering. Abgerufen am 12. M?rz 2013 (englisch).
↑ Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering, Jacob Schuldt: On the Security of RC4 in TLS. Royal Holloway University of London, abgerufen am 13. M?rz 2013.
↑ Mathy Vanhoef, Frank Piessens: All Your Biases Belong To Us: Breaking RC4 in WPA-TKIP and TLS. (PDF; 346 kB) rc4nomore.com
↑ NSA entschlüsselt Webserver-Daten angeblich in Echtzeit. Heise Security, abgerufen am 7. November 2013 (englisch).
↑ Michael Brenner: ENISA-Empfehlungen zu Krypto-Verfahren. Heise Security, abgerufen am 18. November 2013.
↑ Wichtige Information für Internetbanking-Nutzer. Deutsche Finanzagentur, 19. November 2013, archiviert vom Original (nicht mehr online verfügbar) am 7. Januar 2015; abgerufen am 2. Januar 2014. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gem?? Anleitung und entferne dann diesen Hinweis.@1@2
↑ Jürgen Schmidt: IETF verbietet RC4-Verschlüsselung in TLS. In: Heise Security. Heise online, 20. Februar 2015, abgerufen am 8. Juli 2015.
↑ ^a ^b Ronald L. Rivest, Jacob C. N. Schuldt: Spritz – a spongy RC4-like stream cipher and hash function. (PDF) 27. Oktober 2014, abgerufen am 1. November 2014.
↑ Spritz: A New RC4-Like Stream Cipher. Bruce Schneier, 27. Oktober 2014, abgerufen am 1. November 2014.

[1] Thank you Bob Anderson. In: Cypherphunks Mailingliste. Abgerufen am 1. Januar 2025.

[2] Jürgen Schmidt: IETF verbietet RC4-Verschlüsselung in TLS. Heise Security, 20. Februar 2015, abgerufen am 20. Februar 2015.

[RFC7465-3] A. Popov: RFC: 7465 – Prohibiting RC4 Cipher Suites. Februar 2015 (englisch).

[fse2009matsui-4] Mitsuru Matsui: Key Collisions of the RC4 Stream Cipher. Fast Software Encryption, 2009. In: Lecture Notes. In: Computer Science, Nummer 5665, Springer Verlag, 2009, S. 38–50, Pr?sentation (PDF; 267 kB; englisch)

[5] Scott Fluhrer, Itsik Mantin, Adi Shamir: Weaknesses in the Key Scheduling Algorithm of RC4. In: Selected Areas in Cryptography (= Lecture Notes in Computer Science). Band 2259. Springer, 2001, S. 1–24, doi:10.1007/3-540-45537-X_1 (weizmann.ac.il).

[6] RSA Security Response to Weaknesses in Key Scheduling Algorithm of RC4. RSA Security, archiviert vom Original (nicht mehr online verfügbar) am 29. September 2011; abgerufen am 10. September 2012 (englisch). Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gem?? Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.rsa.com

[7] Andreas Klein: Attacks on the RC4 stream cipher. In: Designs, Codes and Cryptography. Band 48, Nr. 3. Springer, 2008, S. 269–286, doi:10.1007/s10623-008-9206-6.

[8] Nadhem AlFardan, Daniel J. Bernstein, Kenneth G. Paterson, Bertram Poettering, Jacob C.N. Schuldt: On the Security of RC4 in TLS. 2013, ISBN 978-1-931971-03-4 (usenix.org).

[9] Pouyan Sepehrdad, Serge Vaudenay, Martin Vuagnoux: Discovery and Exploitation of New Biases in RC4. In: Lecture Notes in Computer Science. Band 6544, 2011, S. 74–91, doi:10.1007/978-3-642-19574-7_5 (englisch, springer.com).

[10] Matthew Green: Attack of the week: RC4 is kind of broken in TLS. In: Cryptography Engineering. Abgerufen am 12. M?rz 2013 (englisch).

[11] Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering, Jacob Schuldt: On the Security of RC4 in TLS. Royal Holloway University of London, abgerufen am 13. M?rz 2013.

[12] Mathy Vanhoef, Frank Piessens: All Your Biases Belong To Us: Breaking RC4 in WPA-TKIP and TLS. (PDF; 346 kB) rc4nomore.com

[13] NSA entschlüsselt Webserver-Daten angeblich in Echtzeit. Heise Security, abgerufen am 7. November 2013 (englisch).

[14] Michael Brenner: ENISA-Empfehlungen zu Krypto-Verfahren. Heise Security, abgerufen am 18. November 2013.

[15] Wichtige Information für Internetbanking-Nutzer. Deutsche Finanzagentur, 19. November 2013, archiviert vom Original (nicht mehr online verfügbar) am 7. Januar 2015; abgerufen am 2. Januar 2014. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gem?? Anleitung und entferne dann diesen Hinweis.@1@2

[16] Jürgen Schmidt: IETF verbietet RC4-Verschlüsselung in TLS. In: Heise Security. Heise online, 20. Februar 2015, abgerufen am 8. Juli 2015.

[rs14-17] Ronald L. Rivest, Jacob C. N. Schuldt: Spritz – a spongy RC4-like stream cipher and hash function. (PDF) 27. Oktober 2014, abgerufen am 1. November 2014.

[18] Spritz: A New RC4-Like Stream Cipher. Bruce Schneier, 27. Oktober 2014, abgerufen am 1. November 2014.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

心脏早搏是什么原因造成的	山炮是什么意思	磨盘有什么风水说法	为什么总是放屁很频繁	隐血是什么意思
血糖高不能吃什么水果	被褥是什么	弟弟是什么意思	孱弱是什么意思	三个十念什么
属猪的幸运颜色是什么	结膜囊在眼睛什么位置	脯氨酸氨基肽酶阳性是什么意思	免疫力低吃什么补	苏铁是什么植物
湿气重吃什么药最好	12月18日什么星座	一夫一妻制产生于什么时期	esmara是什么品牌	眼白浑浊是什么原因

叻叻猪是什么意思hcv9jop2ns7r.cn	今天吃什么hcv8jop1ns0r.cn	过期食品属于什么垃圾hcv8jop2ns4r.cn	形近字什么意思hcv8jop7ns7r.cn	酒精对皮肤有什么伤害hcv9jop1ns7r.cn
脉络是什么意思hcv8jop9ns8r.cn	尿检3个加号什么意思hcv7jop9ns1r.cn	什么是户籍所在地hcv7jop5ns3r.cn	子宫切除后要注意什么hcv7jop9ns5r.cn	chanel什么牌子hcv8jop2ns2r.cn
多动症是什么原因造成hcv8jop0ns4r.cn	三观是什么hcv8jop0ns9r.cn	负罪感是什么意思hcv8jop1ns4r.cn	排卵期有什么hcv9jop0ns5r.cn	骨化是什么意思hcv8jop9ns6r.cn
小鸭子吃什么hcv9jop7ns3r.cn	长疱疹是什么原因xinmaowt.com	吃什么药去体内湿气hcv8jop8ns8r.cn	什么是登革热病hcv8jop0ns3r.cn	倍增是什么意思hcv9jop2ns8r.cn