Arrays de armazenamento Flash Inteligente
A IETF está se preparando para finalmente matar a cifra RC4 venerável, mas vulnerável.
O grupo emitiu uma última chamada para comentários antes de cantarolar sobre uma proposta que clientes e servidores padrão da Internet precisa parar de usar RC4 em Transaction Layer Security (TLS).
É uma mudança bastante simples, mas no vasto mundo da Internet, vai levar tempo para se propagar: os clientes devem parar listagem RC4 na mensagem ClientHello, enquanto os servidores não deve selecionar RC4 em pedidos de clientes. Como o documento refere, se o cliente insiste em RC4, o servidor TLS deve encerrar o aperto de mão, e pode enviar o "insufficient_security" alerta fatal de volta ao cliente.
O RC4 cifra-suite tem sido considerada arriscada por algum tempo. No ano passado, a Microsoft ea Cisco aconselhou os clientes a evitá-lo. RC4 também foi uma das cifras usadas em SSL 3.0, que caiu para o POODLE bug, mas como Google escreveu em sua análise do vuln, POODLE atacou uma cifra diferente.
Como a proposta IETF, de autoria de Andrei Popov da Microsoft, notas, ataques teóricos recentes contra RC4 "estão à beira de se tornar praticamente explorável." Atualmente, esses ataques requerem 2 26 sessões ou 13x2 30 criptografias, por isso "RC4 não pode mais ser visto como proporcionar um nível suficiente de segurança para sessões TLS ".
Aqueles que desejam comentar antes da adopção do projecto têm até 10 de dezembro para fazer isso. ®
Nenhum comentário:
Postar um comentário