구글 크롬, 마이크로소프트 엣지 및 모질라 파이어폭스, 2016년까지 RC4 암호 지원 중단

주요 브라우저가 2016년까지 RC4 암호 지원 종료 발표

사용자에게 더 안전한 인터넷 브라우징을 제공하기 위해 구글, 마이크로소프트 및 모질라가 2016년 초까지 자사 브라우저에서 RC4 암호화 암호 지원을 중단하기로 합의했습니다.

RC4는 Rivest Cipher 4로도 알려져 있으며 ARC4 또는 ARCFOUR로도 알려진 스트림 암호로, 인터넷 브라우저에서 암호화에 사용됩니다. 매우 간단하고 빠르지만, 여러 가지 취약점이 발견되어 가장 안전하지 않은 암호가 되었습니다. 출력 키스트림의 시작 부분이 폐기되지 않거나 비무작위 또는 관련 키가 사용될 때 특히 취약합니다. RC4를 사용하는 몇 가지 방법은 WEP와 같은 매우 안전하지 않은 프로토콜로 이어질 수 있습니다.

브라우저 대기업들은 2016년부터 RC4 암호 사용을 완전히 중단하기로 결정했습니다. “파이어폭스의 경우, 이는 1월 26일에 출시될 예정인 44 버전을 의미합니다.”라고 모질라의 리차드 반스가 언급했습니다. “즉, 파이어폭스 44부터는 사용자가 명시적으로 설정을 통해 RC4를 활성화하지 않는 한 RC4가 완전히 비활성화됩니다.”

구글은 한편으로 2016년 1월 또는 2월에 크롬 업데이트를 추진할 것입니다. “측정 결과, 통계 수집에 참여한 크롬 사용자가 만든 HTTPS 연결 중 단 0.13%만이 현재 RC4를 사용하고 있습니다. 그럼에도 불구하고, 영향을 받는 서버 운영자는 더 나은 암호 스위트를 활성화하기 위해 구성만 조정하면 계속 운영할 수 있습니다.”라고 구글의 아담 랭글리가 지적했습니다.

“현재 버전의 크롬은 첫 번째 연결 시도가 실패하지 않는 한 HTTPS 연결에서 RC4 지원을 광고하지 않으므로, 이미 비RC4 암호 스위트를 지원하는 서버는 아무런 변화를 보지 않을 것입니다.”

마이크로소프트는 어제 공식 발표를 했습니다. “마이크로소프트 엣지와 인터넷 익스플로러 11은 TLS 1.2 또는 1.1에서 TLS 1.0으로의 폴백 중에만 RC4를 사용합니다. RC4로의 TLS 1.0 폴백은 대부분 무고한 오류의 결과이지만, 이는 중간자 공격과 구별할 수 없습니다. 이러한 이유로, RC4는 2016년 초부터 윈도우 7, 윈도우 8.1 및 윈도우 10의 모든 마이크로소프트 엣지 및 인터넷 익스플로러 사용자에게 기본적으로 완전히 비활성화됩니다.”라고 마이크로소프트의 프로그램 관리자 알렉 오트가 설명했습니다.

마이크로소프트는 2013년에 SHA-1 알고리즘을 더 이상 사용하지 않기로 하였습니다. 인터넷 익스플로러는 초기 TLS/SSL 핸드셰이크에서 첫 번째 옵션으로 RC4 기반 암호 스위트를 제공하지 않습니다.