GoogleによるRC4の使用

RC4出力、特にストリームの最初のバイトには既知のバイアスがあります。 「Gmailシナリオ」では、クライアント（Webブラウザ）が定期的にサーバーに接続して、新しい着信メッセージをポーリングします。各接続は、新しいRC4ストリームで要求データを暗号化することを意味します。また、すべてのリクエストには、ストリームの同じ場所に同じシークレット値（HTTP Cookie）が含まれます。時間の経過とともに、ストリームを監視している攻撃者は、統計を実行して、前述のシークレットのデータバイトを計算する可能性があります。説明については、 このブログ投稿 を参照してください。

ただし、実際には（まだ）は機能しないことに注意してください。攻撃は暗号的に現実のものです。ただし、「Gmailシナリオ」では、バイアスが非常に危険になるほどの接続が行われません。安全マージンは小さいですが（不快に小さい）、そこにあります。つまり、バイアスが現れ始めるまでに百万の接続が必要であり、さらに、攻撃者にとっての「興味深いバイト」は少し下流にあります（a HTTPリクエストは、「動詞+パス」文字列で始まり、他のヘッダー、数百バイトの後にのみCookieが送信されます。バイアスは最初は最大ですが、秘密が遠いほど、攻撃の効率は低下します）。毎分接続すると仮定すると（Gmailはそれほど頻繁に接続を行わない）、CookieがHTTPヘッダーに「早期」に表示されている場合でも、実際のシークレットバイトの取得を開始するには30年の継続的な監視が必要です。

したがって、これらのバイアスは警告ベルとして鳴り、RC4は不安定であり、使用には注意する必要があることを示していますが、RC4で保護されたSSLが日常的に破られる可能性があるという意味ではありません。 GoogleはRC4を使用しています（つまり、supportRC4であり、すべてのノイズのためにサーバーをpreferRC4に構成しました）これは、CBCを使用するブロック暗号に対するBEAST攻撃について作成されました。 BEAST攻撃のセットアップは重く、ラボの条件でのみ実証されました。野生では決して発見されません。また、Webブラウザにはすぐに対策が盛り込まれているため、実際には攻撃は機能しません。したがって、実際には、Googleは機能しない2つの攻撃から選択し、どちらか一方を無効にすることを実行する必要があります（実際にはどちらも機能しませんが）。これは暗号化の問題ではありません。これは広報の問題です。現在、GoogleはRC4を好んでいます。なぜなら、一般大衆の観点から、BEASTは「怖い」（おそらくBEASTが Youtubeビデオ 一方、RC4バイアスは最初に 5スライドの技術プレゼンテーション として公表されました。前者が後者よりも一般の人々の目に留まったのも不思議ではありません）。

いずれの場合も、Googleはいつでもサーバー構成を切り替えることができます。彼らが暗号学の進歩を追跡している限り（彼らはそうします）、物事はうまくいくでしょう。