Hibás kezdetektől bukásig
Az RC4 (Rivest Cipher 4) 1987-es bemutatása óta többször bizonyította, hogy sebezhető. Már 1994-ben nyilvánosságra került a forráskódja, és pillanatok alatt támadhatóvá vált. Ennek ellenére évtizedeken át elterjedten használták, többek közt az SSL és TLS protokollokban is. Az utóbbi években viszont egyre több támadás, például a 2014-ben felfedezett Kerberoasting is sikerrel használta ki az RC4 gyengeségeit.
Végre nyugdíjba küldik
A Microsoft hivatalosan is bejelentette, hogy legkésőbb 2026 közepétől az RC4 alapértelmezetten tiltva lesz minden Windows Server 2008-as vagy újabb rendszeren. Az RC4 helyett majd csak az AES-SHA1 lesz engedélyezett, és az RC4 csak kézi beállítással lesz használható – vállalva minden ezzel járó kockázatot. Ráadásul a régi rendszerek adminisztrátorainak sürgősen fel kell térképezniük, hogy a hálózatban van-e olyan eszköz, amely még mindig RC4-re támaszkodik, mert a támogatás megszűnése ezek működését veszélyezteti.
Eszközök a váltáshoz
A Microsoft segíteni próbál: frissítik a Kerberos naplófájlokat, hogy könnyebb legyen felismerni, mely rendszerek használják az elavult titkosítást, illetve új PowerShell parancsfájlokat is kiadnak a problémás eszközök kiszűrésére. Bár a fejlesztők évek óta dolgoznak az RC4 fokozatos kivezetésén, a folyamat lelassult, mivel közel 25 évnyi rendszerkódban kellett visszafejteni a döntéseket, szabályokat — és egy algoritmust nehéz eltüntetni, ha mindenhol jelen van.
