jueves, 19 de marzo de 2015

¡RC4 Debe Moir! ¡Yo Pongo Las Antorchas!

Hace unos días hablamos de la futura actualización de OpenSSL. La cual esperábamos con bastante impaciencia ya que, lo que ha estado pasando con el protocolo SSL no tiene nombre. Lo en realidad tiene mas gracia de todos es que aunque consigas que toda una empresa actualice a TLS 1.0 aun tendrás problemas ya que el algoritmo de cifrado de RC4 también está comprometido. Así que, si no tuviste ojo antes de proponer la actualización te tocara revisarlo. 


Por esto,  me ha hecho especial ilusión encontrarme con el trabajo de [Christina Garman], [Kenny Paterson] y [Thyla van der Merwe] sobre porque RC4 debe morir y presentando diferentes tipos de ataques al algoritmo de cifrado. 

"Our attacks enhance the statistical techniques used in the previous attacks and exploit specific features of the password setting to produce attacks that are much closer to being practical. We report on extensive simulations that illustrate this. We obtain good success rates with 226 encryptions of the password. By contrast, the previous generation of attacks required around 234 encryptions to recover an HTTP session cookie."

La verdad es que han dejado fino a RC4 sobre TLS y sobretodo si sois unos apasionados de la criptografia y las matemáticas  os recomiendo mucho que leáis su paper. 

Por si teneis curiosidad os dejo el enlace a la página aquí abajo:

Fuente: 

No hay comentarios:

Publicar un comentario en la entrada