Tag Archives: rc4

OpenSSL 1.1.0

看到「OpenSSL 1.1.0 released」這篇得知大家期待已久的 OpenSSL 1.1.0 出了,在 1.1.0 的重要新功能中,對 ChaCha20 + Poly1305 的支援算是大家等很久的: Support for ChaCha20 and Poly1305 added to libcrypto and libssl 由於 RC4 已經被證明不安全,OpenSSL 內變成沒有堪用的 stream cipher,這邊總算要補上來了... 另外兩個也頗有趣的: Support for scrypt algorithm Support for X25519 多了些東西...

Posted in Computer, Murmuring, Network, Programming, Security, Software, WWW | Tagged , , , , , , , , , , , , , , | Leave a comment

Gmail 的 SMTP 將拔掉對 SSLv3 與 RC4 的支援

Gmail 的 SMTP 決定在近期內拔掉 SSLv3 與 RC4 了:「Disabling support for SSLv3 and RC4 for Gmail SMTP in 30 days」。 Gmail 的 SMTP 應該是 Google 少數還支援 SSLv3 與 RC4 的服務?總算是要拔了...

Posted in Computer, Mail, Murmuring, Network, Security | Tagged , , , , , , , , , | Leave a comment

OpenSSL 1.1.0 的 Release Notes 先放出來了 (現在是 Beta 1)

雖然才 Beta 1,但 OpenSSL 先放出 1.1.0 的 Release Notes 了:「OpenSSL 1.1.0 Series Release Notes」。 有幾個新的功能以及重大的改變,包括了對 ChaCha20 與 Poly1305 的支援,並且把 SSLv2、RC4、所有 40bits 與 56bits 的 cipher 拔掉,然後支援 Certificate Transparency。 讓人頗期待... 不知道來不來得及跟上 Ubuntu 16.04?

Posted in Computer, Murmuring, Network, Security, Software | Tagged , , , , , , , , , , | Leave a comment

新的 RC4 攻擊:實戰化

在 Twitter 上看到對 RC4 的新攻擊,可以直接攻擊 TLS 與 WPA-TKIP,沒有 workaround:「All Your Biases Belong To Us: Breaking RC4 in WPA-TKIP and TLS」。 對 TKIP 可以在一個小時內打下來: In practice the attack can be executed within an hour. 對於 TLS 則是 75 個小時有 94% 成功率,實際測試時只用了 … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , | 1 Comment

SSL Labs 對 RC4 的退役計畫

SSL Labs 的「SSL Server Test」是個經常被拿來檢測 SSL/TLS 相關設定的服務。 這兩天公佈了對 RC4 的退役計畫:「SSL Labs RC4 Deprecation Plan」。 分成兩個階段進行。 第一個階段會在五月啟用,對於因為需要支援舊的 client 而針對 SSLv3/TLSv1 + RC4 組合的,會給予 B 評價。而全面支援 RC4 的 (包括 TLSv1.1+) 則會給予 C 評價。 到了第二階段 (暫定九月),全面支援 RC4 的將會給予最低的 F 評價。

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , | Leave a comment

再度改善對 RC4 的攻擊效率...

在「RC4 must die」這個網站寫的真直接,正式標題是「Attacks Only Get Better: Password Recovery Attacks Against RC4 in TLS」。 可以在 226 次嘗試取得 TLS 裡傳輸的 password,相較於之前的 234 低了非常多。另外論文裡也說明了他們成功實作 PoC,取得 IMAP (TLS) 與 HTTP Basic Auth (TLS) 的密碼部份。 不過 RC4 的使用率比想像中高好多 (出自 ICSI Certificate Notary project 的「Connection Cipher … Continue reading

Posted in Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , | 1 Comment

Firefox 成為第一個預設啟用 HTTP/2 的主流瀏覽器

在 Firefox 36 的 Release Notes 內宣佈預設啟用 HTTP/2: Support for the full HTTP/2 protocol. HTTP/2 enables a faster, more scalable, and more responsive web. 另外 Firefox 36 也拔除 RC4: No longer accept insecure RC4 ciphers whenever possible 接下來應該是 Google Chrome … Continue reading

Posted in Browser, Computer, Firefox, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , | Leave a comment

CloudFlare 宣佈停用 RC4,並且支援 ChaCha20+Poly1305

CloudFlare 同時宣佈了停用 RC4 與支援 ChaCha20+Poly1305 的計畫:「End of the road for RC4」、「Do the ChaCha: better mobile performance with cryptography」。 2014 年年初的時候,CloudFlare 先把 RC4 從 TLS 1.1+ 的連線拿掉,而 2014 年五月時,再把 RC4 搬到 cipherlist 裡優先權最低的,成功的讓 99.9991% 的 request 改用 AES 與 3DES (大約五個 … Continue reading

Posted in Browser, CDN, Computer, Firefox, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , , , , , , , | 1 Comment

ELB 預設關閉 RC4 Cipher

在 Twitter 上看到 Jeff Barr 轉貼自論壇的公告:「Announcement: Elastic Load Balancing releases security update to disable RC4」。 ELB Security Update - Disable RC4 - http://t.co/vQiGko8IR3 (follow directions to update existing ELBs). #aws pic.twitter.com/jHMOg9cbg0 — Jeff Barr (@jeffbarr) February 12, 2015 既有的 ELB … Continue reading

Posted in AWS, Cloud, Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , | Leave a comment

GitHub 預定再兩個星期後廢止 HTTPS 連線的 RC4

GitHub 在「Improving GitHub's SSL setup」這邊開頭就提到要拔掉 RC4: To keep GitHub as secure as possible for every user, we will remove RC4 support in our SSL configuration on github.com and in the GitHub API on January 5th 2015. 看了一下日曆,算一算其實意思就是「放完假的星期一我們就來拔 RC4」XDDD 雖然 GitHub … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , | Leave a comment