RFC 4757
RFC 4757 — это запрос комментариев (Request for Comments) под номером 4757, опубликованный в декабре 2006 года, который определял использование шифра RC4 и хеш-функции HMAC-MD5 для защиты данных в протоколе Kerberos версии 5. Документ был разработан в рамках деятельности Целевой группы инженерного обеспечения Интернета (IETF) и описывал так называемый тип шифрования «rc4-hmac». На момент публикации RFC 4757 являлся одним из наиболее распространённых методов шифрования в Kerberos, особенно в средах, использующих Windows, однако впоследствии был признан устаревшим и небезопасным.
История и контекст
Протокол Kerberos, разработанный в Массачусетском технологическом институте (MIT) в 1980-х годах, предназначен для аутентификации в компьютерных сетях. В версии 5 (RFC 4120) была введена поддержка различных типов шифрования. Изначально в Kerberos использовались алгоритмы DES, но к началу 2000-х годов их криптостойкость стала недостаточной.
RFC 4757 был создан как ответ на необходимость использования более быстрых и доступных алгоритмов, особенно в системах, где аппаратная поддержка DES отсутствовала или была ограничена. Основным драйвером стала экосистема Microsoft Windows, где RC4 и MD5 были широко распространены. Корпорация Microsoft включила поддержку RC4-HMAC в свою реализацию Kerberos начиная с Windows 2000. RFC 4757 формализовал эту реализацию, сделав её стандартом IETF.
Содержание RFC 4757
Документ описывает единственный тип шифрования — rc4-hmac (идентификатор 23). Он определяет:
- Алгоритм шифрования: RC4 (Rivest Cipher 4) — поточный шифр, использующий ключи длиной от 40 до 128 бит. В контексте RFC 4757 длина ключа составляла 128 бит.
- Алгоритм аутентификации: HMAC-MD5 (Hash-based Message Authentication Code с хеш-функцией MD5). Использовался для проверки целостности сообщений.
- Процедуру генерации ключей: на основе пароля пользователя и соли (случайной строки) с помощью алгоритма PBKDF2 (Password-Based Key Derivation Function 2) с числом итераций, равным 1. Это было слабым местом, так как один проход PBKDF2 делал ключи уязвимыми для атак перебором.
- Формат зашифрованных данных: включал в себя зашифрованный текст, контрольную сумму HMAC-MD5 и дополнительные метаданные.
Применение
RFC 4757 был широко внедрён в:
- Операционные системы Microsoft Windows: вплоть до Windows 10 и Windows Server 2016 включительно он использовался по умолчанию для аутентификации в доменах Active Directory. Без него была невозможна работа многих служб (например, NTLM-аутентификация через Kerberos).
- Реализации Kerberos от MIT: до версии 1.15 (выпущенной в 2017 году) rc4-hmac поддерживался, но не был основным.
- Программное обеспечение Heimdal: также включало поддержку данного типа шифрования.
В России RFC 4757 применялся в корпоративных сетях, построенных на базе Windows, а также в некоторых государственных информационных системах, использующих протокол Kerberos для единой аутентификации.
Критика и устаревание
Уже к концу 2000-х годов RFC 4757 подвергся серьёзной критике из-за уязвимостей:
- Слабость RC4: алгоритм RC4 имеет известные криптоаналитические атаки. В 2015 году исследователи из Microsoft и других организаций продемонстрировали, что RC4 можно взломать за несколько минут при достаточном количестве зашифрованных данных. Это делало возможным дешифрование сессионных ключей Kerberos.
- Уязвимость MD5: хеш-функция MD5 признана небезопасной для криптографических целей с 2004 года (после публикации коллизий). HMAC-MD5, хотя и устойчивее, чем чистый MD5, всё же подвержен атакам на основе коллизий.
- Слабая генерация ключей: использование PBKDF2 с одной итерацией делало ключи уязвимыми для атак методом полного перебора (brute-force), особенно если пароль пользователя был коротким (менее 8 символов).
- Отсутствие forward secrecy: при компрометации долговременного ключа (например, ключа службы) злоумышленник мог расшифровать все прошлые сеансы связи, защищённые этим ключом.
В результате IETF в 2017 году официально объявил RFC 4757 устаревшим (статус «Historic»). Взамен были рекомендованы более современные типы шифрования, такие как AES128-CTS-HMAC-SHA1-96 (RFC 3962) и AES256-CTS-HMAC-SHA1-96 (RFC 3962), а также AES128-CTS-HMAC-SHA256-128 и AES256-CTS-HMAC-SHA384-192 (RFC 8009).
Влияние на информационную безопасность в России
В российских организациях, использующих Windows, отказ от RC4-HMAC стал частью политики перехода на более безопасные протоколы. Рекомендации Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и Банка России по защите информации в государственных информационных системах и автоматизированных системах управления производственными процессами (АСУ ТП) предписывают отключать устаревшие типы шифрования, включая rc4-hmac. На практике это означает:
- Настройку групповых политик Windows для запрета использования RC4.
- Обновление контроллеров доменов до версий, поддерживающих AES.
- Проверку совместимости сторонних приложений (например, 1С, SAP, Oracle) с новыми типами шифрования.
Интересные факты
- RFC 4757 был написан инженерами Microsoft: К. К. (K. C.) и Д. Б. (D. B.) — в документе указаны только инициалы, что является редкостью для RFC.
- Документ является одним из немногих RFC, которые описывают проприетарный алгоритм (RC4) в контексте открытого стандарта.
- В 2018 году в рамках проекта «Криптографическая библиотека OpenSSL» была полностью удалена поддержка RC4, что окончательно закрепило уход от RFC 4757 в открытом ПО.
Источники
- RFC 4757 — «The RC4-HMAC Kerberos Encryption Types Used by Microsoft Windows» (декабрь 2006).
- RFC 4120 — «The Kerberos Network Authentication Service (V5)» (июль 2005).
- RFC 3962 — «Advanced Encryption Standard (AES) Encryption for Kerberos 5» (февраль 2005).
- RFC 8009 — «AES Encryption with HMAC-SHA2 for Kerberos 5» (октябрь 2016).
- «Windows Kerberos RC4-HMAC Encryption Type» — документация Microsoft.
- «Криптографические атаки на RC4» — исследование Microsoft Research (2015).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →