Старые алгоритмы шифрования защитят от уязвимости в TLS/SSL

Эксперты в области информационной безопасности нашли простой способ обхода системы дешифрования защищенного SSL трафика. Напомним, что исследователи Таи Дуонг (Thai Doung) и Джулиано Риццо (Juliano Rizzo) обнаружили уязвимость в протоколе TLS 1.0 и более ранних версиях, и разработали улититу BEAST, которая позволяет расшифровывать данные, передаваемые от сервера конечному пользователю.

Сотрудники службы двухфакторной аутентификации PhoneFactor рекомендуют интернет-компаниям применять для шифрования алгоритм RC4. Это менее защищенный алгоритм, чем современные AES и DES, но на него не распространяются обнаруженные уязвимости.

По данным компании Qualys, web-серверы Google уже настроены на работу с RC4. Представитель Google заявил, что данный алгоритм используется компанией «уже годами».

По словам разработчиков BEAST, их инструмент нацелен на использование давно описанной уязвимости в алгоритмах шифрования, эксплуатация которых ранее считалась невозможной.