45、RC4仅被动密钥恢复攻击解析

RC4仅被动密钥恢复攻击解析

1 引言

RC4是Ronald Rivest在1987年设计的流密码。最初它是商业机密，直到1994年9月被匿名发布到Cypherpunks邮件列表。如今，RC4仍被广泛使用，它是SSL/TLS协议的默认密码，也是WPA协议的加密原语。其受欢迎的原因可能是简单性以及加密和解密的低成本计算。然而，由于其简单性，RC4在使用不当时会暴露出弱点，最著名的例子是对WEP（有线等效保密）协议的攻击。

WEP是1999年批准的IEEE 802.11无线标准的一部分，旨在通过使用RC4为无线通信提供保密性。为简化密钥设置，WEP使用预安装的固定密钥。但RC4是流密码，同一密钥不能使用两次。为防止重复，WEP将初始化向量（IV）与密钥连接，IV是24位值，公开披露在协议头中。

早期对WEP标准的分析揭示了重大安全漏洞，表明WEP无法提供保密性、完整性和认证。随后，出现了许多针对WEP的密钥恢复攻击，这些攻击大多依赖于特定的IV值，即所谓的弱密钥或弱IV类。为减少恢复密钥所需的加密数据包数量，不同研究者发现了更多弱IV类。此外，还出现了其他类型的攻击，如Klein的已知明文攻击、Bittau等人的主动攻击等。

为纠正WEP的弱点，Wi-Fi联盟提出了WPA（Wi-Fi保护访问）协议，它包含反重放保护和密钥管理方案，以避免密钥重用。然而，一些攻击理论上仍适用于WPA。后来，Wi-Fi联盟又提出了IEEE 802.11i或WPA2标准，其中RC4可以被AES取代。

现有的密钥恢复攻击存在局限性，几乎所有攻击都与IV值相关，攻击者无法控制IV值，若未截获特定弱IV类的加密数据包，就无法恢复相应的密钥字节。同时，Klein的攻击依赖于明