Cifras mais seguras para usar com o BEAST? (Exploração TLS 1.0) Eu li que RC4 é imune

7

Agora que o BEAST é de conhecimento público, o TLS 1.0 NÃO é seguro para usar (nem o SSL 3.0). Eu vi relatos de que a cifra RC4 não é afetada (e é amplamente suportada). Isso é verdade?

Eu sei que o TLS 1.1 é imune. Mas dos 1.000.000 sites mais populares habilitados para SSL / TLS, apenas alguns (221) suportam TLS 1.1 ou superior.

A exploração é restrita a navegadores porque requer JavaScript ou Plugins de Navegador via MITM. O PayPal.com está vulnerável até o momento desta publicação.

    
por unixman83 24.09.2011 / 02:48

1 resposta

5

Correto; O RC4 é uma codificação de fluxo e não é afetado.

A falha está na construção da mensagem CBC, então as cifras usando CBC (há um monte, mas AES e 3DES são as mais populares) são todas afetadas.

    
por 24.09.2011 / 02:50