微軟日前發布編號2868725的安全性通告表示,預計在2016年1月1日前全面停用採用RC4加密演算法的安全性憑證,受影響的產品包括:Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT等。網路廠商思科也呼籲其相關使用者,應該避免使用RC4的加密演算機制。

RC4是一種目前最被廣泛使用的加密演算法,是一種可以變更加密金鑰長度的對稱加密演算法,被應用在許多標準及協定上,例如:SSL(Secure Sockets Layer,安全套接層)、TLS(Transport Layer Security,傳輸層安全)以及無線網路WEP(Wired Equivalent Privacy)加密演算機制。

RC4常用於Web流量和Email加解密
微軟表示,RC4長久以來用於Web流量和Email的加密和解密,但根據研究發現,駭客可以利用RC4的加密弱點,在HTTPS的加密通訊時,發動中間人攻擊(Man In The Middle),這也使得RC4加密安全性受到考驗。

微軟同時宣佈,在2016年1月1日起,所有微軟產品都將停止支援RC4的加密演算機制。目前Windows Update已經停用RC4加密演算機制,最新微軟更新的產品,包括Windows 8.1和IE11,也都停用RC4,預設支援新款的加密演算機制TLS1.2與AES-GCM。

微軟針對500萬個網站安全性的調查,現在有43%的網站使用RC4加密機制,其中只有3.9%的網站是真的需要使用RC4加密。從這項調查發現,如果預設不支援RC4加密機制,對於網站的安全性並沒有影響。

微軟更新產品預設不啟用RC4選項
隨著微軟更新Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012和Windows RT 相關產品,預設不啟用RC4選項,來避免RC4加密演算機制中的已知的資安風險。

微軟也在該篇安全性通告中表示,上述更新產品透過登錄機碼的設定,來移除上述產品上對RC4的支援。對於開發人員則可以在SCHANNEL_CRED結構中使用SCH_USE_STRONG_CRYPTO旗標,於個別應用程式中移除RC4,做到讓用戶端和伺服器端都無法和使用RC4的電腦連線,完全停用RC4加密元件。文⊙黃彥棻


熱門新聞

Advertisement