От шифра rc4 откажутся в начале 2016 года

Google, Microsoft и Mozilla договорились о дате, когда в четырех популярных браузерах уберут поддержку уязвимого криптографического протокола RC4. Разработчики Chrome, Edge, IE и Firefox сделают это одновременно в конце января – начале февраля 2016 года. Представитель Mozilla сказал, что согласованный срок совпадает с датой выпуска Firefox 44, релиз по графику запланирован на 26 января 2016 года. В официальном блоге Microsoft тоже объявлено об отказе от RC4 в браузерах Microsoft Edge и Internet Explorer 11.

Если в прошлые годы атаки на RC4 носили скорее теоретический характер и были возможны только в искусственных условиях, то сейчас ситуация изменилась. Такие атаки можно реально осуществлять на практике, так что доверие к RC4 тает с каждым днем. Инженерный совет интернета (IETF) в феврале 2015 года опубликовал рекомендацию отказаться от шифра RC4.

Сотрудники Google пока не могут назвать точную дату. Главный специалист по криптографии Адам Лэнгли (Adam Langley) заверил, что компания уложится в установленные сроки: выпуск Chrome на стабильном канале ожидается в январе-феврале. После этого браузер перестанет устанавливать соединения с HTTPS-серверами, которые поддерживают только RC4. По данным Mozilla и Google, таких серверов в интернете очень мало. Статистика Chrome показывает, что лишь в 0,13% всех HTTPS-соединений используется RC4.

Потоковому шифру RC4 исполнилось 28 лет. Несмотря на почтенный возраст, он до сих пор широко применяется в различных системах защиты информации в компьютерных сетях, например, в протоколах SSL и TLS, алгоритмах обеспечения безопасности беспроводных сетей WEP и WPA.