与 BEAST 一起使用的最安全密码是什么?(TLS 1.0 漏洞)我读到 RC4 是免疫的

与 BEAST 一起使用的最安全密码是什么?(TLS 1.0 漏洞)我读到 RC4 是免疫的

现在 BEAST 已经为公众所知,TLS 1.0 使用起来不安全(SSL 3.0 也不受影响)。我看到有报告称 RC4 密码不受影响(并且受到广泛支持)。这是真的吗?

我知道 TLS 1.1 不受此影响。但在 1,000,000 个最受欢迎的启用 SSL/TLS 的网站中,只有少数 (221) 个支持 TLS 1.1 或更高版本。

该漏洞仅限于浏览器,因为它需要通过 MITM 实现 JavaScript 或浏览器插件。截至撰写本文时,PayPal.com 仍存在此漏洞。

答案1

正确;RC4 是一种流密码,不受影响。

该缺陷存在于 CBC 消息构造中,因此使用 CBC 的密码(有很多,但 AES 和 3DES 是最受欢迎的)都会受到影响。

相关内容