V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
miyuki
V2EX  ›  分享发现

RC4 加密已不再安全,破解效率极高

  •  
  •   miyuki · 2015-07-17 13:31:59 +08:00 · 17303 次点击
    这是一个创建于 3442 天前的主题,其中的信息可能已经有所发展或是发生改变。
    原文:http://arstechnica.com/security/2015/07/once-theoretical-crypto-attack-against-https-now-verges-on-practicality/

    演示:https://youtu.be/d8MtmKrXlKQ
    25 条回复    2015-07-18 09:17:56 +08:00
    kn007
        1
    kn007  
       2015-07-17 14:34:23 +08:00
    mark
    yexm0
        2
    yexm0  
       2015-07-17 14:46:08 +08:00
    幸好现在流行的SS都是用的rc4-md5而不是rc4
    seki
        3
    seki  
       2015-07-17 15:02:03 +08:00
    @yexm0 ss 的加密不是为了安全,只是为了隐藏流量特征以防止被墙探测到
    holmesabc
        4
    holmesabc  
       2015-07-17 15:14:11 +08:00
    rc4-md5 就是rc4 。。。
    lazyyz
        5
    lazyyz  
       2015-07-17 15:15:04 +08:00
    aes-256-cfb 路过……
    Borden
        6
    Borden  
       2015-07-17 15:16:11 +08:00 via iPhone
    只要能躲过流量检测就好,加密还要靠内层的ssl
    est
        7
    est  
       2015-07-17 15:16:53 +08:00
    RC4不安全上个世纪就知道了吧。Excel 秒破密码我记得Office 2000 2003 就流行了。
    wildlynx
        8
    wildlynx  
       2015-07-17 15:19:23 +08:00
    wpa-tkip 是采用 RC4 加密的
    49
        9
    49  
       2015-07-17 15:20:32 +08:00 via Android
    @holmesabc 并不全是吧。当初就是出于这个原因才换成rc4_md5
    allenforrest
        10
    allenforrest  
       2015-07-17 15:58:01 +08:00 via iPhone
    wifi记得设置成wpa2-ccmp
    welsmann
        11
    welsmann  
       2015-07-17 16:51:19 +08:00
    墙关注所有流量特征,是无法彻底隐藏的了的,只是愿不愿意拦截的问题。
    realityone
        12
    realityone  
       2015-07-17 17:03:29 +08:00
    ss 里的 rc4-md5 就是把 md5(key).digest() 用来当作 rc4 的密钥
    Bryan0Z
        13
    Bryan0Z  
       2015-07-17 18:09:12 +08:00 via Android
    @ealityone 原来如此,我一直在纠结手机端没有rc4-md5呢
    ivenvd
        14
    ivenvd  
       2015-07-17 18:10:07 +08:00
    这个是常识吧(
    XiaoxiaoPu
        15
    XiaoxiaoPu  
       2015-07-17 18:41:35 +08:00 via Android
    @realityone 并不是,是拿 md5(IV+key)当密钥
    Bryan0Z
        16
    Bryan0Z  
       2015-07-17 20:01:08 +08:00 via Android
    @XiaoxiaoPu 我回去试试
    realityone
        17
    realityone  
       2015-07-17 20:05:17 +08:00
    @XiaoxiaoPu 恩。。对,忘记了_(:3」∠)_
    realityone
        18
    realityone  
       2015-07-17 20:06:49 +08:00
    @realityone md5(key + IV).digest()
    Bryan0Z
        19
    Bryan0Z  
       2015-07-17 20:28:27 +08:00 via Android
    @realityone 16位还是32位?
    realityone
        20
    realityone  
       2015-07-17 20:32:46 +08:00
    @Bryan0Z 32 但不是 hex string
    Bryan0Z
        21
    Bryan0Z  
       2015-07-17 20:41:51 +08:00 via Android
    @realityone 咦?我去翻翻源代码
    br00k
        22
    br00k  
       2015-07-17 22:13:32 +08:00
    安全不是重点(然并卵)。问题是能翻墙。。。
    loading
        23
    loading  
       2015-07-17 22:27:14 +08:00 via Android
    我没看内容,是因为计算速度提高带来的?

    只要有足够快的计算机,穷举都能搞定一切密码。
    xxhjkl
        24
    xxhjkl  
       2015-07-17 22:33:04 +08:00
    @realityone 活捉基友一只
    Halry
        25
    Halry  
       2015-07-18 09:17:56 +08:00 via Android
    @allenforrest 开了wps等于然并卵
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1052 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 19:33 · PVG 03:33 · LAX 11:33 · JFK 14:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.