Zur Sicherheit von RC4 - ist RC4 unsicher?
16. Februar 2008RC4 ist die vermutlich am weitesten verbreitetste Strom Chiffre, sie wird verwendet in SSL, SSH, https, WEP, WPA, Microsoft Lotus, Oracle Secure SQL, … sie den Wikipediaartikel http://de.wikipedia.org/wiki/RC4. Entwickelt wurde die Chiffre 1987 von R. Rivest. Vereinfacht gesagt ist es also so, dass die Chiffre RC4 in sehr vielen Anwendungen verwendet wird, wie zum Beispiel sicheren Internet-Verbindungen (https) wie sie auf vielen Webseiten eingesetzt werden.
Kürzlich sind nun einige Kryptoanalysen vorgestellt worden, die größere Schwachstellen in der Chiffre aufzeigen. Die Chiffre hat einen internen Zustand der Größe 1700 Bits, d.h. eine erschöpfende Suche würde 2^1700 Durchläufe benötigen - also es dauert sehr lang alle denkbaren Schlüssel durchzuprobieren. Bis Anfang diesen Jahres gab es ein veerbessertes Suchverfahren, das 2^779 Durchläufe benötigte. Also deutlich weniger als 2^1700 aber noch immer mehr als 2^700 (das ist die Angriffskomplexität auf die Initialisierung - und so lange man darüber liegt gilt eine Chiffre als sicher).
Anfang 2008 wurde nun ein neue Angriff publiziert mit einer Komplexität von nur noch 2^241 Durchläufen! Das Angriffs-Szenario hierbei ist wieder ein known-plaintext Angriff, d.h. der Angreifer muss mindestens 256 Bits des Klartextes kennen, was aber nicht besonders unrealistisch ist. In dieser von A. Maximov und D. Khovratovich vorgestellten Analyse wird weiter festgestellt, dass die Laufzeit des Angriffs in der Praxis sogar unter der theoretischen Schranke von 2^241 liegt und man mit einigen Verbesserungen eine Laufzeit von 2^128 erreichen könnte.
Die Analyse mit dem Titel “New State Recovering Attack on RC4” ist aktuell online verfügbar und soll vermutlich demnächst auf der EUROCRYT 2008 erscheinen, also einer sehr wichtigen Kryptographie Konferenz. Wir gehen unbedingt davon aus, dass die publizierten Erkenntnisse korrekt sind und damit auch sehr ernst zu nehmen. Wobei es erfahrungsgemäß noch einige Zeit dauern wird, bis diese Erkenntnisse wirklich “Anwendung” finden, also von Hackern verwendet werden um wirklich Angriffe durchzuführen.
Es wurde kürzlich noch eine weitere Arbeit zu RC4 vorgestellt, von Riddhipratim Basu, Shirshendu Ganguly und weiteren Autoren. Diese ist allerdings noch nicht online verfügbar, deswegen werden wir später diese Ergebnisse nachreichen.