Microsoft fraråder RC4-kryptering

Illustration: leowolfert/Bigstock
Sammen med sin seneste sikkerhedspatch tirsdag rådede Microsoft udviklere til at droppe brugen af RC4-kryptering i applikationer. Netværksgiganten Cisco følger trop.

Den udskældte RC4-kryptering har længe haft kendte svagheder, og mange eksperter har påpeget, at RC4 bør erstattes med nyere og mere skudsikre krypteringsformer. I denne uge meldte Microsoft endelig ud til deres kunder, at RC4 ikke længere bør anvendes.

Senest har Edward Snowdens afsløringer af NSA’s hemmeligheder skærpet sikkerhedseksperternes skepsis over for RC4’s integritet.

En figur som Jacob Appelbaum, der er uafhængig sikkerhedsekspert, associeret med Wikileaks og tidligere ansat hos University of Washington advarer således:

»RC4 er blevet brudt i realtid af NSA - stop med, at bruge det,« siger Jacob Appelbaum, der forsker i it-sikkerhed og er en førende Tor-udvikler ifølge the Register.

Nu lyder det altså også fra Microsoft, at udviklere skal droppe brugen af den udbredte RC4-kryptering, da den ikke længere er vurderet til at være sikker. Udmeldingen kommer samtidig med tirsdagens sikkerhedspatch, skriver Threatpost.com.

»Set i lyset af nylige undersøgelser af angreb på svagheder i RC4-krypteringen, anbefaler Microsoft, at kunder istedet bruger TLS1.2 i deres tjenester og begynder at udfase RC4,« skriver sikkerhedschef i Microsoft, William Peteroy i et blogindlæg ifølge Threatpost.com.

Den amerikanske netværksgigant Cisco har ligeledes anbefalet deres kunder, at anvendelsen af RC4 bør stoppe.

RC4-krypteringen bliver blandt andet brugt i populære protokoller såsom TLS (Transport Layer Security), der anvendes i stor stil på nettet, samt det kryptografiske system WEP, der bruges til at sikre WiFi-netværk mod indtrængende.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Einar Petersen

Øh... der er forhåbentlig ikke nogen med blot et flig af en ide omkring sikkerhed som stadig bruger WEP til at sikre sine netværk med... Hvis der er bør offentlig prygling overvejes ;) - STOP med det pr. omgående. WEP har været anset som særdeles usikker i årevis og knækbar på sekunder. Som minimum WPA2-PSK AES baseret skal benyttes hvis man blot ønsker minimal beskyttelse og det er desværre ikke en gang nok i dag ser det ud til.

  • 6
  • 0
Log ind eller Opret konto for at kommentere