Deși vulnerabilitățile sale erau recunoscute încă din 1994, algoritmul de criptare RC4 (prescurtare de la Rivist Cipher 4) a devenit element central în mecanismul de securitate Windows în anul 2000, la momentul lansării platformei Active Directory.
Sfidând criticile venite din partea experților în criptografie, Microsoft a făcut din RC4 soluția principală de securizare Windows, pe care administratorii de rețea o folosesc pentru a configura conturi de administrator și utilizator în cadrul organizațiilor mari.
Rivist Cipher 4 este un omagiu adus matematicianului și criptografului Ron Rivest de la RSA Security, care a dezvoltat cifrul de flux în 1987. La câteva zile după ce algoritmul protejat prin secret comercial a fost dezvăluit în 1994, un cercetător a demonstrat un atac criptografic care a slăbit semnificativ securitatea pe care se credea că o oferă. În ciuda susceptibilității cunoscute, RC4 a rămas un element de bază în protocoalele de criptare, inclusiv SSL și succesorul său TLS, până acum aproximativ un deceniu când a apărut Kerberoasting, un nou vector de atac care a stat la baza a numeroase atacuri informatice bazate pe decriptarea comunicațiilor protejate cu RC4.
În mod inexplicabil, Microsoft a avut nevoie de zece ani pentru deprecia în mod formal cifrul RC4, invocând susceptibilitatea sa la Kerberoasting: „Până la mijlocul anului 2026, vom actualiza setările implicite ale controlerului de domeniu pentru Centrul de Distribuție a Cheilor Kerberos (KDC) pe Windows Server 2008 și versiunile ulterioare pentru a permite doar criptarea AES-SHA1”, a scris Matthew Palko, manager principal de program Microsoft. „RC4 va fi dezactivat în mod implicit și utilizat numai dacă un administrator de domeniu configurează explicit un cont sau KDC-ul să îl utilizeze.” […] În urma schimbării de anul viitor, autentificarea RC4 nu va mai funcționa decât dacă administratorii efectuează munca suplimentară pentru a o permite. Între timp, a spus Palko, este esențial ca administratorii să identifice orice sisteme din rețelele lor care se bazează pe cifru. Merită amintit că acest vector de atac a fost cauza principală a intruziunii în rețeaua Ascension Health, în anul 2024, concretizată printr-o masivă campanie ransomware care a blocat datele a 5.6 milioane de pacienți ai clinicilor și spitalelor din Statele Unite.
În ciuda vulnerabilităților cunoscute, RC4 rămâne singurul mijloc pentru autentificarea în rețelele Windows, folosit de nenumărate sisteme informaticii învechite. Așa că anunțul Microsoft nu va avea efecte imediate pentru companiile și instituțiile care utilizează aceste platforme software învechite.
„Problema este că nu poți elimina pur și simplu un algoritm criptografic prezent în fiecare sistem de operare lansat în ultimii 25 de ani și care a fost algoritmul implicit pentru atât de mult timp”, a scris Steve Syfuhs, care conduce echipa de autentificare Windows de la Microsoft, pe Bluesky. „Vedeți”, a continuat el, „problema nu este că algoritmul există. Problema este modul în care este ales algoritmul și regulile care îl guvernează au acoperit 20 de ani de modificări de cod.”
