RC4加密还可以应用在企业中吗? (rc4加密怎么用)

教程大全 2025-07-08 01:29:42 浏览次

最近的一篇论文表明有攻击可攻破RC4加密以及解密用户cookie。那么，这种攻击的工作原理是什么，企业应该如何避免这种攻击?RC4是否还有用?

Michael Cobb： 因为速度和简单性，RC4加密成为最广泛使用的流加密，并用于常用协议中，例如有线等效保密(WEP)和安全套接字层(SSL)以及传输层安全(TLS)等。虽然RC4一直被认为存在漏洞，但在现实世界中还没有针对它的攻击。随着越来越多的加密漏洞被发现，RC4似乎早在2013年就应该被淘汰。而现在密码分析结果逐渐将成为切实可行的漏洞利用，这意味着RC4无法再为企业数据提供足够安全。

两名比利时研究人员Mathy Vanhoef和Frank Piessens在52小时内解密了受TLS保护且使用RC4加密的HTTPS会话中使用的Web cookie，而此前利用RC4漏洞的攻击需要花费2000小时。通过使用固定纯文本恢复技术—被称为RC4 NOMORE(Numerous Occurrence Monitoring & RecoveryExploit)，攻击者可诱骗用户访问代码来产生足够的数据，成功地确定用户的加密cookie值。被劫持的cookie可被用来获取对信息或服务的未经授权访问。

该攻击利用RC4密钥流中的偏差来恢复纯文本。密钥流需要都一致随机，否则就可能出现偏差。RC4产生的密钥流对某些序列有不同程度的偏差，例如，一些字节比它们原本更有可能采用特定值。这让RC4容易被辨识力强的攻击者攻击，因为攻击者可以区分加密数据与随机数据。RC4 NOMORE利用Fluhrer-McGrew和Mantin的ABSAB偏差来返回潜在纯文本cookie值列表，攻击者会使用暴力破解直到找到正确的。这种攻击在未来无疑将更有效。

这种攻击并不局限于解密cookie，任何被重复加密的数据或信息都可以被回复。例如，对于使用WI-Fi保护访问临时密钥完整性协议(WPA-TKIP)的无线网络，这种攻击只需要一个小时来执行。虽然Wi-Fi联盟正在逐步淘汰使用WPA-TKIP，但它的应用仍然很广泛。网络应该使用WPA2配置为仅使用加密算法AES-Counter Mode CBC-MAC协议。

在2015年2月，互联网工程任务组发布了RFC 7465，其中禁止在客户端和服务器建立TLS连接时使用RC4加密套件。微软和Mozilla也发布了类似的建议来淘汰和启用RC4加密以及其他弱算法，例如SHA-1。微软建议使用TLS 1.2 AES-GCM作为更安全的替代方法，同时提供相似的功能。

RC4加密是唯一幸免于2011年针对TLS 1.2的BEAST攻击的常用加密，因为该攻击利用了分组加密中的漏洞。这导致越来越多的网站开始使用RC4(约50%)，但现在这个数字已经回落，根据加州大学伯克利分校计算机科学学院表示，目前全球约13%的网站仍然在使用RC4。使用RC4加密的网站管理员应该切换到AES，这是更安全的对称分组加密。此外，网站开发人员应确保用于访问敏感信息的会话cookie值是盐化哈希值，它会在每次服务器响应时变化，这种方法可抵御对cookie的暴力破解。与此同时，企业应确保用户的Web浏览器完全保持更新。现在所有最新版本的主流浏览器都开始避免使用RC4，相信与IE11一样，它们很快将完全停止使用RC4。

服务器证书和SSL证书，还有网上出现的TLS，有什么区别？铁别是SSL／TLS老同时出现？

TLS 是加密协议哦。 SSL证书只是数字证书领域的简写。 ——沃通CA机构做数字认证证书领域的领跑者

vpn是什么？

虚拟专用网络

VPN英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。 vpn被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。

网络功能

VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

在传统的企业网络配置中，要进行远程访问，传统的方法是租用DDN（数字数据网）专线或帧中继，这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般会通过拨号线路（Internet）进入企业的局域网，但这样必然带来安全上的隐患。

让外地员工访问到内网资源，利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样，但实际上VPN使用的是互联网上的公用链路，因此VPN称为虚拟专用网络，其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN访问内网资源，这就是VPN在企业中应用得如此广泛的原因。

工作原理

通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。

网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。

网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址。

网络一的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。

网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。

网络二的VPN网关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。

从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。 [1]

通过上述说明可以发现，在VPN网关对数据包进行处理时，有两个参数对于VPN通讯十分重要：原始数据包的目标地址（VPN目标地址）和远程VPN网关地址。根据VPN目标地址，VPN网关能够判断对哪些数据包进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由；远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。