Microsoft sa att det har arbetat stadigt under det senaste decenniet för att fasa ut RC4, men uppgiften har inte varit lätt.
Inget salt, ingen upprepning? Verkligen?
”Problemet är att det är svårt att avveckla kryptografiska algoritmer som har funnits i alla operativsystem som levererats under de senaste 25 åren och som länge har varit standardalgoritmen”, skrev Steve Syfuhs, som leder Microsofts Windows-autentiseringsteam, om Bluesky. ”Problemet är inte att det finns algoritmer”, fortsatte han. Problemet är hur algoritmerna väljs och reglerna som styr dem spänner över 20 år av kodändringar. ”
Under de senaste två decennierna har utvecklare upptäckt många kritiska RC4-sårbarheter som krävde ”kirurgiska” korrigeringar. Microsoft övervägde att fasa ut RC4 i år, men avslutade det till slut efter att ha upptäckt fler sårbarheter som krävde korrigeringar. Under tiden har Microsoft infört några ”mindre förbättringar” för att öka användningen av AES, vilket resulterar i att användningen minskar ”i storleksordningar”.
”Inom ett år såg vi att RC4-användningen sjönk till i princip noll, vilket inte är en dålig sak. Faktum är att vi visste att RC4 inte verkligen knäckte människor eftersom folk inte använde den, så vi hade faktiskt mer flexibilitet att dra tillbaka den helt.”
Syfuhs fortsatte med att dokumentera ytterligare utmaningar som Microsoft stod inför och tillvägagångssättet det tog för att lösa dem.
Medan RC4 har kända kryptografiska svagheter som hotar dess säkerhet, utnyttjar Kerberoasting en annan svaghet. Som implementerat i Active Directory-autentisering används inget kryptografiskt salt, och en omgång av MD4-hashfunktionen används. Saltning är en teknik som lägger till en slumpmässig inmatning till varje lösenord innan det hashas. Därför måste hackare investera mycket tid och resurser på att knäcka hashen. MD4, å andra sidan, är en snabb algoritm som kräver måttliga resurser. Microsofts implementering av AES-SHA1 är mycket långsam och itererar genom hasharna, vilket ytterligare saktar ner sprickansträngningen. Sammantaget tar det ungefär 1 000 gånger mer tid och resurser att knäcka ett lösenord som hashas med AES-Sha1.
Windows-administratörer uppmuntras att granska RC4-användning i sina nätverk. Med tanke på dess utbredda användning och fortsatta användning inom olika branscher kan den fortfarande vara aktiv, till stor förvåning och beklagande för dem som har till uppgift att försvara sig mot hackare.
The post Microsoft drar äntligen tillbaka föråldrad kryptografi som har orsakat kaos i decennier appeared first on Folketstidning – Nyheter från Sverige och världen.
source https://folketstidning.se/microsoft-drar-antligen-tillbaka-foraldrad-kryptografi-som-har-orsakat-kaos-i-decennier/
No comments:
Post a Comment