Tag Archives: rc4

DHS 要求郵件系統都必須使用 STARTTLS、DMARC,並且全面禁用 RC4 與 3DES

在 Twitter 上看到 18F 貼了 DHS 的新規定:「Enhance Email and Web Security」。 Just launched by our friends at DHS! A new federal directive to require DMARC and STARTTLS, and to cut RC4 and 3DES: https://t.co/gp5G7A6LMA pic.twitter.com/6V4UJ9sGIo — 18F (@18F) October 16, … Continue reading

Posted in Computer, Mail, Murmuring, Network, Privacy, Security, Service, WWW | Tagged , , , , , , , , , , , , , , , , , , , , | Leave a comment

OpenSSL 1.1.0

看到「OpenSSL 1.1.0 released」這篇得知大家期待已久的 OpenSSL 1.1.0 出了,在 1.1.0 的重要新功能中,對 ChaCha20 + Poly1305 的支援算是大家等很久的: Support for ChaCha20 and Poly1305 added to libcrypto and libssl 由於 RC4 已經被證明不安全,OpenSSL 內變成沒有堪用的 stream cipher,這邊總算要補上來了... 另外兩個也頗有趣的: Support for scrypt algorithm Support for X25519 多了些東西...

Posted in Computer, Murmuring, Network, Programming, Security, Software, WWW | Tagged , , , , , , , , , , , , , , | Leave a comment

Gmail 的 SMTP 將拔掉對 SSLv3 與 RC4 的支援

Gmail 的 SMTP 決定在近期內拔掉 SSLv3 與 RC4 了:「Disabling support for SSLv3 and RC4 for Gmail SMTP in 30 days」。 Gmail 的 SMTP 應該是 Google 少數還支援 SSLv3 與 RC4 的服務?總算是要拔了...

Posted in Computer, Mail, Murmuring, Network, Security | Tagged , , , , , , , , , | Leave a comment

OpenSSL 1.1.0 的 Release Notes 先放出來了 (現在是 Beta 1)

雖然才 Beta 1,但 OpenSSL 先放出 1.1.0 的 Release Notes 了:「OpenSSL 1.1.0 Series Release Notes」。 有幾個新的功能以及重大的改變,包括了對 ChaCha20 與 Poly1305 的支援,並且把 SSLv2、RC4、所有 40bits 與 56bits 的 cipher 拔掉,然後支援 Certificate Transparency。 讓人頗期待... 不知道來不來得及跟上 Ubuntu 16.04?

Posted in Computer, Murmuring, Network, Security, Software | Tagged , , , , , , , , , , | Leave a comment

新的 RC4 攻擊:實戰化

在 Twitter 上看到對 RC4 的新攻擊,可以直接攻擊 TLS 與 WPA-TKIP,沒有 workaround:「All Your Biases Belong To Us: Breaking RC4 in WPA-TKIP and TLS」。 對 TKIP 可以在一個小時內打下來: In practice the attack can be executed within an hour. 對於 TLS 則是 75 個小時有 94% 成功率,實際測試時只用了 … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , | 1 Comment

SSL Labs 對 RC4 的退役計畫

SSL Labs 的「SSL Server Test」是個經常被拿來檢測 SSL/TLS 相關設定的服務。 這兩天公佈了對 RC4 的退役計畫:「SSL Labs RC4 Deprecation Plan」。 分成兩個階段進行。 第一個階段會在五月啟用,對於因為需要支援舊的 client 而針對 SSLv3/TLSv1 + RC4 組合的,會給予 B 評價。而全面支援 RC4 的 (包括 TLSv1.1+) 則會給予 C 評價。 到了第二階段 (暫定九月),全面支援 RC4 的將會給予最低的 F 評價。

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , | Leave a comment

再度改善對 RC4 的攻擊效率...

在「RC4 must die」這個網站寫的真直接,正式標題是「Attacks Only Get Better: Password Recovery Attacks Against RC4 in TLS」。 可以在 226 次嘗試取得 TLS 裡傳輸的 password,相較於之前的 234 低了非常多。另外論文裡也說明了他們成功實作 PoC,取得 IMAP (TLS) 與 HTTP Basic Auth (TLS) 的密碼部份。 不過 RC4 的使用率比想像中高好多 (出自 ICSI Certificate Notary project 的「Connection Cipher … Continue reading

Posted in Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , | 1 Comment

Firefox 成為第一個預設啟用 HTTP/2 的主流瀏覽器

在 Firefox 36 的 Release Notes 內宣佈預設啟用 HTTP/2: Support for the full HTTP/2 protocol. HTTP/2 enables a faster, more scalable, and more responsive web. 另外 Firefox 36 也拔除 RC4: No longer accept insecure RC4 ciphers whenever possible 接下來應該是 Google Chrome … Continue reading

Posted in Browser, Computer, Firefox, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , | Leave a comment

CloudFlare 宣佈停用 RC4,並且支援 ChaCha20+Poly1305

CloudFlare 同時宣佈了停用 RC4 與支援 ChaCha20+Poly1305 的計畫:「End of the road for RC4」、「Do the ChaCha: better mobile performance with cryptography」。 2014 年年初的時候,CloudFlare 先把 RC4 從 TLS 1.1+ 的連線拿掉,而 2014 年五月時,再把 RC4 搬到 cipherlist 裡優先權最低的,成功的讓 99.9991% 的 request 改用 AES 與 3DES (大約五個 … Continue reading

Posted in Browser, CDN, Computer, Firefox, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , , , , , , , | 1 Comment

ELB 預設關閉 RC4 Cipher

在 Twitter 上看到 Jeff Barr 轉貼自論壇的公告:「Announcement: Elastic Load Balancing releases security update to disable RC4」。 ELB Security Update - Disable RC4 - http://t.co/vQiGko8IR3 (follow directions to update existing ELBs). #aws pic.twitter.com/jHMOg9cbg0 — Jeff Barr (@jeffbarr) February 12, 2015 既有的 ELB … Continue reading

Posted in AWS, Cloud, Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , | Leave a comment