ایتنا- شركت مایكروسافت به مشتریان توصیه می كند تا استفاده از رمزگذاری RC4 در ارتباطات TLS را متوقف نمایند زیرا ضعف هایی در این الگوریتم شناسایی شده است.

چندروز پیش شركت مایكروسافت چندین به روز رسانی امنیتی اختیاری را برای چندین نسخه از چارچوب كاری .NET منتشر كرده است.
نسخه های به روز رسانی شده مانع استفاده از الگوریتم رمزگذاری RC4 در ارتباطات TLS می شود.

این به روز رسانی ها تنها از طریق Windows Update Catalog و Microsoft Download Center در دسترس می باشند و از طریق سیستم به روز رسانی ویندوز اعمال نمی شوند.

به گزارش ایتنا از مرکز ماهر، RC4 در سال ۱۹۸۷ توسط Ronald Rivest اختراع شد و با وجود ضعف هایی در پیاده سازی آن، در طول سالیان به عنوان یكی از محبوب ترین الگوریتم های رمزگذاری مورد استفاده قرار گرفته است.

تا سال گذشته، استفاده از RC4 در ارتباطات TLS به عنوان یك روش امن به حساب می آمد. با این حال، در مارس سال ۲۰۱۳ گروهی از محققان حملاتی را كه می تواند علیه رمزگذاری RC4 در TLS مورد استفاده قرار گیرد، شناسایی كردند.

در ماه نوامبر شركت مایكروسافت یك به روز رسانی برای ویندوز ۷، ویندوز ۸، ویندوز RT، ویندوز سرور 2008 R2 و ویندوز سرور ۲۰۱۲ منتشر كرد كه به ادمین ها اجازه می داد تا با استفاده از تنظیمات رجیستری پشتیبانی از RC4 را غیرفعال نمایند. به روز رسانی اختیاری كه روز سه شنبه منتشر شده است نیز همین كار را برای چارچوب كاری .NET انجام می دهد.

شركت مایكروسافت در راهنمایی امنیتی روز سه شنبه خود آورده است كه استفاده از RC4 در TLS می تواند به مهاجمی اجازه دهد تا حملات man-in-the-middle را انجام دهد و متن های ساده را از نشست های رمزگذاری شده استخراج نماید.

در حالی كه مسدود نمودن RC4 پیشنهاد می شود، شركت مایكروسافت اعلام كرد كه مشتریان باید برنامه ای برای تست تنظیمات جدید قبل از اعمال آن در محیط شبكه داشته باشند.

در آزمایشی كه در ماه نوامبر توسط شركت مایكروسافت انجام گرفت مشخص شد كه ۴۳ درصد از وب سایت های HTTPS رمزگذاری RC4 را در پیكربندی خود اولویت بندی كرده اند اما تنها ۴ درصد از آن ها استفاده از این روش را یك الزام در نظر گرفته اند.

این بدان معنی است كه مرورگرها و سایر برنامه های كاربردی كه به عنوان یك كلاینت RC4 عمل می كنند می توانند هنگام مذاكره برای ارتباطات TLS، یك روش رمزگذاری متفاوت را انتخاب نمایند.