RC4

Autore: Leandro Alegsa

20-12-2020

Nella crittografia, l'RC4 (noto anche come ARC4 o ARCFOUR che significa Alleged RC4, vedi sotto) è uno dei più comuni cifrari a flusso di software. Viene utilizzato in protocolli popolari come Secure Sockets Layer (SSL) (per proteggere il traffico Internet) e WEP (per proteggere le reti wireless).

L'RC4 è noto per essere semplice e veloce, ma è probabile che gli attacchi avvengano quando l'inizio del keystream di uscita non viene rimosso, o quando un keystream viene usato due volte; alcuni modi di usare l'RC4 possono trasformarsi in sistemi di crittografia molto insicuri come il WEP.

RC4 è stata creata da Ron Rivest di RSA Security nel 1987. Mentre il suo nome ufficiale è "Rivest Cipher 4", l'abbreviazione RC è nota anche per indicare "Ron's Code" (vedi anche RC2, RC5 e RC6).

L'RC4 è stato creato inizialmente come segreto commerciale, ma nel settembre 1994 una sua descrizione è stata pubblicata nella mailing list della Cypherpunks. Ben presto è stata pubblicata sul newsgroup di sci.crypt e da lì a molti siti web su Internet. Il codice è stato confermato come autentico (non falso), poiché il suo output corrispondeva a quello di un software proprietario che utilizzava la licenza RC4. Poiché l'algoritmo è noto, non è più un segreto commerciale. Il nome "RC4" è però un marchio registrato. RC4 è spesso indicato come "ARCFOUR" o "ARC4" (che significa Alleged RC4, perché RSA non ha mai rilasciato ufficialmente l'algoritmo), per evitare possibili problemi di marchio. È diventato parte di alcuni protocolli e standard di cifratura comunemente usati, tra cui WEP e WPA per le schede wireless e TLS.

Le due ragioni principali che ne hanno favorito l'utilizzo in una così vasta gamma di applicazioni sono la velocità e la semplicità. Gli usi dell'RC4 sia nel software che nell'hardware sono estremamente facili da sviluppare.

L'algoritmo di cifratura RC4 viene avviato con una diversa lunghezza della chiave, di solito tra 40 e 256 bit, utilizzando l'algoritmo di cifratura a chiave (KSA). Una volta completato questo processo, il flusso di bit crittografati viene creato utilizzando l'algoritmo di generazione pseudo-casuale (PRGA).

L'RC4 non soddisfa gli standard fissati dai crittografi per un cifrario sicuro in molti modi, e non è raccomandato per l'uso in nuove applicazioni in quanto ci sono molti metodi per attaccare l'RC4. L'eliminazione del primo kilobyte di dati dal flusso di chiavi può migliorare in qualche modo la sicurezza.

Sistemi di crittografia basati su RC4

WEP
WPA
Crittografia di protocollo BitTorrent
Crittografia Microsoft Point-to-Point
Secure Sockets Layer (opzionale)
Guscio sicuro (opzionale)
Remote Desktop Client (RDC su RDP)
Kerberos (opzionale)
Meccanismo SASL Digest-MD5 (opzionale)
Gpcode.AK, un virus informatico per Microsoft Windows dei primi di giugno 2008, che prende in ostaggio i documenti per il riscatto oscurandoli con la cifratura RC4 e RSA-1024

Dove un sistema criptografico è contrassegnato con "(opzionalmente)", RC4 è uno dei diversi cifrari che il sistema può essere impostato per l'uso.

Pagine correlate

Standard di crittografia avanzata
Standard di crittografia dei dati (DES)
DES-X
eSTREAM - Una valutazione dei nuovi cifrari a flusso in corso di realizzazione da parte dell'UE.
TEA, Block TEA, noto anche come eXtended TEA e Corrected Block TEA - Una famiglia di cifrari a blocchi che, come l'RC4, sono progettati per essere molto semplici da implementare.
Triplo DES (TDES)

Domande e risposte

D: Cos'è l'RC4?

R: L'RC4 (noto anche come ARC4 o ARCFOUR, ovvero Alleged RC4) è un cifrario a flusso software utilizzato in protocolli popolari come Secure Sockets Layer (SSL) e WEP.

D: Chi ha creato l'RC4?

R: L'RC4 è stato creato da Ron Rivest di RSA Security nel 1987.

D: Come è diventato pubblico l'algoritmo?

R: L'algoritmo è diventato pubblico quando è stato inviato alla mailing list Cypherpunks nel settembre 1994, e poi si è diffuso in molti siti web su Internet.

D: L'RC4 è un marchio registrato?

R: Sì, il nome "RC4" è un marchio registrato.

D: Quali sono le due ragioni per cui è stato ampiamente utilizzato?

R: Le due ragioni principali che hanno favorito il suo utilizzo in una gamma così ampia di applicazioni sono la velocità e la semplicità. Gli utilizzi dell'RC4 sia nel software che nell'hardware sono estremamente facili da sviluppare.

D: Come funziona l'algoritmo di crittografia?

R: L'algoritmo di crittografia inizia con una chiave di lunghezza diversa, solitamente compresa tra 40 e 256 bit, utilizzando l'algoritmo di programmazione delle chiavi (KSA). Una volta completato, il flusso di bit crittografati viene creato utilizzando l'algoritmo di generazione pseudocasuale (PRGA).

D: L'RC4 è considerato sicuro per le nuove applicazioni?

R: No, perché esistono molti metodi per attaccarlo, quindi non è raccomandato per l'uso in nuove applicazioni.