Bar Mitzvah angrep: Tid for å droppe RC4-algoritmen

Dette er et godt eksempel på bruk av data for å drive beslutninger rundt informasjon sikkerhetsrisikoer. Jeg er nysgjerrig på mer om ytelsen bekymringene til RC4 alternativer og kostnadene forbundet med potensial ekstra prosessorkraft er nødvendig for å løse disse bekymringene. Disse kostnadene kan være rimelig beregnet - for eksempel hvis du har åtte servere med lastbalansert cluster for en høy-volum webprogram og du nå trenger ytterligere to servere for å håndtere samme belastning, ville de to serverne være en hard kost . Likeledes kunne det koster å bytte ut av ved hjelp av RC4-algoritmen også beregnes

". Bar Mitzvah angrepet " krever en sniffer eller man-in-the-middle angrep for å passivt samle data og trekke ut deler av den rene teksten nøkkelen og noen av de klartekst data. Basert på disse dataene, er angriperen da i stand til å redusere tiden det tar å bryte krypteringen for å få tilgang til alle de klartekst data.

Hvis bedriften ikke ønsker å erstatte RC4-algoritmen, bør det oppmerksom at å opprettholde sikkerheten for miljøet vil kreve å gjøre andre forbedringer til hvordan SSL og TLS er brukt, så det er verdt den ekstra innsatsen for å migrere bort fra RC4 generelt.

RC4-algoritmen har vært kjent for å være svak for det siste tiåret; bedrifter bør begynne å planlegge å migrere til AES så snart som mulig. Mens algoritmen ikke er fullstendig ødelagt, et angrep som gjør bruk av RC4 fåfengt er bare en kort tid unna. Snarere enn å måtte en krise til å erstatte RC4, til nøye planlegging erstatte det nå med AES bør gjøres. Dessuten er RC4 brukes i mer enn bare SSL - det er også i trådløs kryptering - så identifisere hvor RC4-algoritmen brukes i bedriften vil være en av de første skritt for å gjøre endringen

<. b>



Previous:
Next Page: