رمز rc4 که برای افراد بی دقت مهم است. Yak otrimati tse renovlenya

نظریه مخفی: توسعه پروتکل انتقال داده HTTP که از رمزگذاری این داده ها - HTTPS - پشتیبانی می کند که مشمول پروتکل رمزگذاری نیست. رمزگذاری توسط پروتکل های رمزنگاری - SSL و TLS ارائه می شود.

با این حال، همه ماست ها یکسان نیستند: SSL کاملا منسوخ شده است، TLS نسخه 1.0 یکسان است، بنابراین امروزه توصیه می شود فقط از نسخه های 1.1 یا 1.2 TLS استفاده کنید. به هر حال، با ماندن در نسخه فعلی مشخصات HTTPS، که در سال 2000 به تصویب رسید، HTTP over TLS نامیده می شود، شما حتی در مورد SSL در آنجا نمی دانید.

اگرچه این بیشتر یک نظریه است، اما در عمل TLS 1.2 فقط در تعدادی از سایت ها پشتیبانی می شود، در حالی که TLS 1.1 بسیار بهتر است، اما همچنین در همه جا نیست. مشکل پشتیبانی از نسخه های فعلی TLS و "در سمت مشتری" بعداً مورد بحث قرار خواهد گرفت.

بنابراین، برای اینکه فقط آخرین نسخه‌های پروتکل رمزنگاری فعلی را در رایانه خود داشته باشید (خب بچه‌ها، حدس بزنید اسمش چیست؟ درست است، TLS! و چه نسخه‌هایی؟ درست است، کمتر از 1.1 نیست)، باید ایجاد کنید. تعدادی از سیستم های بی فکر IV بدن. . چرا؟ درست است که هیچ کس نمی تواند TLS 1.1/1.2 را در رایانه ما برای ما فعال کند. برای ما، فقط «سرویس‌پذیری» ویندوز را بررسی کنید و بسته «Smittya» را در Automatics روشن کنید. اتفاقا من ازش خسته شدم

رویکرد غنایی: من به طور گسترده تأیید کرده ام (و این تأیید با تمرین تأیید می شود) که 90٪ رایانه ها هنوز هم می توانند از ویندوز 3.11 (این سیستم عامل در اوایل دهه 90 بود) یا در نهایت از Windows 98 SE - "pi" استفاده کنند. به شوخی ماشین" و مرورگر حاوی هیچ چیز دیگری نیست، به طوری که آنها در مورد رابط جدید، بهبود یافته و سایر موارد کوچک نسخه های جدید "انقلابی" سیستم عامل به ما دروغ نگویند.

همچنین درست است که فناوری‌های فعلی مرتبط با امنیت را نمی‌توان روی سیستم‌عامل‌های قدیمی‌تر پیچید. نه به این واقعیت که در اصل غیرممکن است، بلکه به این واقعیت است که توزیع کنندگان PZ بدون اینکه آنها را توسعه داده باشند، می توانستند آنها را پیچ کنند، گویی هیچ کاری برای پیچاندن آنها انجام نداده اند. بنابراین، متاسفانه، تمام سیستم عامل های خانواده ویندوز، نسخه های پایین تر از XP (هر دو در آینده نزدیک)، متأسفانه از نظر اقدامات امنیتی منسوخ شده اند.

اینجاست که به پایان می رسیم: تمام پیشرفت های آینده با این واقعیت هدایت می شود که ویندوز XP یا جدیدتر (Vista، 7 یا 8) جایگزین خواهد شد. و با توجه به این واقعیت که ما خودمان اصلاً پینوکیو شرور نیستیم و تمام به روز رسانی ها و "وصله های" لازم بلافاصله روی سیستم عاملی که در حال آزمایش است نصب می شود.

بنابراین، اول از همه، ما باید پشتیبانی از TLS 1.1 و TLS 1.2 را فعال کنیم و SSL و TLS 1.0 را در خود سیستم عامل فعال کنیم، که توسط Microsoft TLS/SSL Security Provider (schannel.dll) پشتیبانی می شود. چه چیزی می توانید به ما بدهید؟ و نکته اصلی این است: همه برنامه هایی که ماژول پشتیبانی TLS را اجرا نمی کنند، اما از سیستم یک استفاده می کنند، از نسخه فعلی TLS استفاده می کنند.

از نظر تئوری، اینگونه است که مرورگر اینترنت اکسپلورر از نسخه های فعلی TLS پشتیبانی می کند. در واقع، نسخه فعلی ویندوز XP - هشت - از نسخه های TLS بالاتر از 1.0 پشتیبانی نمی کند. در ویندوز ویستا پشتیبانی می کند، اما در ویندوز XP پشتیبانی نمی کند، و علاوه بر این، کنترل ترافیک TLS 1.0 را نادیده می گیرد. چطور؟ با پشتیبانی مایکروسافت، و نه توسط من، ما هنوز می دانیم که در معرض دستورالعمل های خود سازنده هستیم.

و بیایید نگاهی بیندازیم: بیایید برای آدرس به ثبت نام برویم
HKLM\SYSTEM\CurrentControlSet\Control\Se curityProviders\SCHANNEL\Protocols، بخش‌های PCT 1.0، SSL 2.0، SSL 3.0 و TLS 1.0 وجود دارد، هر کدام دارای بخش‌های Client و Server هستند و کلیدهایی را در آنها DisabledByDefa ایجاد می‌کنیم. به آنها مقدار 1 (یک) اختصاص داده شده است.

سپس بخش های TLS 1.1 و TLS 1.2 را پیدا می کنیم و به روشی مشابه یک کلید حدس در آنها ایجاد می کنیم و سپس مقدار متفاوتی را به آن اختصاص می دهیم - 0 (صفر). در آنجا ما همچنین الگوریتم‌های رمزگذاری و هش ضعیف RC2، RC4، DES، MD4 و MD5 را فعال می‌کنیم، و همچنین ارتباطات ایمن را بدون رمزگذاری نصب می‌کنیم (بنابراین، در برخی از خیال‌پردازی‌های ناسالم این اتفاق می‌افتد)، و شما را از اطلاعات غیر ضروری محروم می‌کند. ійкі Triple DES SHA.

لطفاً نحوه و مکان تغییر را یادداشت کنید و در زیر به جای فایل reg. که در آن تغییرات بیشتری در رجیستری ایجاد خواهید کرد، قرار داده می شود. باید با دقت کل فایل را در کلیپ بورد کپی کنید، یک فایل متنی جدید ایجاد کنید، آن را در آنجا پیست کنید، فایل را با extensions.reg ذخیره کرده و اجرا کنید و سپس دوباره فعال کنید.

این اتفاق افتاد که پس از نصب مجدد، مشکلاتی در اتصالات شبکه ظاهر شد، همان عملیات باید با فایل بعدی انجام شود - تمام تغییراتی را که انجام داده ایم از رجیستری حذف می کند، پس از آن (درست است، بچه ها) می خواهم دوباره درگیر شدن اگر مقادیر مورد نیاز در رجیستری برای بخشی از رجیستری که فشرده کرده‌ایم یافت نشد، سیستم عامل باید دوباره آنها را با مقادیر مربوط به رجیستری ایجاد کند.

کاربران درج شده می‌توانند به‌جای ایجاد دائمی تغییرات، با گنجاندن و غیرفعال کردن سایر پروتکل‌ها و الگوریتم‌هایی که اولین فایل‌ها را ویرایش می‌کنند، تقلب کنند. آقایان، لطفاً توجه داشته باشید: اگر از یک شبکه محلی شرکتی برای اتصال به اینترنت و علاوه بر این، یک دامنه استفاده می کنید، مشکلات واقعی هستند و بهتر است در هنگام نوشیدن آبجو با مدیر اندازه گیری با آنها شوخی کنید. )

همچنین توجه داشته باشید: مرورگرهای کروم، فایرفاکس، اپرا و سافاری و غیره. هر چیزی که مبتنی بر موتور اینترنت اکسپلورر نیست بر اساس ماژول های پشتیبانی SSL و TLS است و این مورد تحت بررسی تنظیمات ما قرار نمی گیرد. آل به این معنا نیست که می توان آنها را به دست آورد (به معنای، با تعدیل). و دفعه بعد در مورد تنظیم خود مرورگرها صحبت خواهیم کرد.

TLS 1.1 و 1.2 را فعال می کند، SSL و TLS 1.0 را فعال می کند:

"فعال"=dword:00000000

"DisabledByDefault"=dword:00000001
"فعال"=dword:00000000

"DisabledByDefault"=dword:00000001

"DisabledByDefault"=dword:00000000

"AllowInsecureRenegoClients"=dword:00000000
"AllowInsecureRenegoServers"=dword:00000000

"فعال"=dword:00000000

همه چیز اشتباه بود؟ تغییرات زیر قابل مشاهده است:

ویرایشگر رجیستری ویندوز نسخه 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentContr olSet\Control\SecurityProviders\SCHANNEL]

من فکر می کنم برخی از سایت های HTTPS باز نشده اند (نه همه!). وقتی می‌خواهید چنین سایتی را باز کنید، مرورگر شما پنجره‌ای با اخطار «این سایت نمی‌تواند به طور ایمن متصل شود» را نمایش می‌دهد. وب سایت ها در مرورگرهای Google Chrome و Opera و Yandex نمایش داده نمی شوند. بدون HTTPS، همه سایت‌ها را می‌توان باز کرد، اما نه همه سایت‌هایی که تحت پروتکل HTTPS و پروتکل HTTP قابل دسترسی هستند. در Google Chrome، زمانی که سایت تحت HTTPS در حال اجرا است، پیام خطا به این صورت است:

این سایت نمی تواند به طور ایمن متصل شود.
وب سایت sitename.ru از پروتکلی استفاده می کند که پشتیبانی نمی شود.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
کلاینت و سرور از نسخه های مختلف پروتکل SSL و مجموعه رمز پشتیبانی می کنند. برای همه چیز، سرور از رمز RC4 استفاده می کند که خطرناک تلقی می شود.

در مرورگر اپرا و Yandex برنامه تقریباً یکسان به نظر می رسد. چگونه می توان چنین سایت هایی را باز کرد؟

Vіdpovid

همانطور که ممکن است متوجه شده باشید، مشکل مربوط به مشکلات ارتباط SSL بین رایانه شما و سایت HTTPS است. دلایل چنین عفو ممکن است متفاوت باشد. در این مقاله تمام روش‌های تصحیح خطای «این سایت را نمی‌توان به طور ایمن متصل کرد» در مرورگرهای مختلف امتحان کردم.

من می خواهم به این نکته اشاره کنم که صرف نظر از اینکه مرورگرهای Google Chrome، Opera و Yandex Browser توسط شرکت های مختلف تولید می شوند، در واقع همه این مرورگرها بر اساس یک موتور - کروم هستند و مشکل مجوز برای سایت های HTTPS وجود دارد. اما در آنها.

ابتدا باید بررسی کنیم که مشکل از خود سایت HTTPS نیست. برخی از دستگاه های دیگر خود را باز کنید (تلفن، تبلت، رایانه خانه/کار و غیره). همچنین بررسی کنید که چه چیزی در مرورگرهای دیگر مانند IE/Edge یا Mozilla Firefox باز می شود. در فایرفاکس، معامله مشابهی با آمار مورد بحث قرار گرفت.

کش مرورگر و کوکی ها، کش SSL را پاک کنید

حافظه پنهان مرورگر و کوکی‌ها می‌توانند یکی از دلایل رایج مشکلات گواهی‌های SSL باشند. توصیه می کنیم برای اولین بار کش و کوکی ها را در مرورگر خود پاک کنید. Chrome به فشار دادن کلیدها نیاز دارد Ctrl+Shift+Delete، ساعت را انتخاب کنید ( تمام ساعت) سپس دکمه پاک کردن داده ها را فشار دهید ( داده های دید/ اطلاعات روشن).

برای پاک کردن کش SSL در ویندوز:

به بخش بروید صفحه کنترل -> قدرت مرورگر;
روی واریز کلیک کنید زمیست;
روی دکمه کلیک کنید SSL را پاک کنید (وضعیت SSL را پاک کنید);
پیام "کش SSL با موفقیت پاک شد" ظاهر می شود.
مجبور شدم مرورگر را دوباره راه اندازی کنم و بررسی کنم که آیا هشدار ERR_SSL_PROTOCOL_ERROR گم شده است یا خیر.

افزونه های مرورگر شخص ثالث را غیرفعال کنید

توصیه می‌شود افزونه‌های مرورگر شخص ثالث، به‌ویژه ناشناس‌کننده‌ها، پروکسی‌ها، VPN، برنامه‌های افزودنی آنتی‌ویروس و سایر افزونه‌های مشابه را که می‌توانند در عبور ترافیک به سایت مورد نظر اختلال ایجاد کنند، فعال کنید (حذف نصب کنید). می‌توانید با رفتن به فهرست افزونه‌های به‌روزرسانی‌شده در کروم را مشاهده کنید راه اندازی -> ابزارهای اضافی -> گسترش، یا به کنار بروید chrome://extensions/. از همه برنامه‌های افزودنی مشکوک خارج شوید.

تنظیمات آنتی ویروس و فایروال خود را تغییر دهید

اگر یک برنامه ضد ویروس روی رایانه خود نصب کرده اید یا یک صفحه حاشیه (اغلب در یک آنتی ویروس گنجانده شده است)، ممکن است دسترسی به سایت توسط آنها مسدود شود. برای درک نحوه محدود کردن دسترسی به سایت آنتی ویروس یا فایروال، سعی کنید هر زمان که بخواهید کار آن را غیرفعال کنید.
اکثر آنتی ویروس های فعلی شامل یک ماژول برای تأیید گواهی های وب سایت SST/TLS هستند. اگر آنتی ویروس تشخیص دهد که سایت vikoryst فاقد گواهی سرقت یا نسخه قدیمی پروتکل SSL (همان) است، ممکن است دسترسی کاربر به چنین سایتی محدود شود. ترافیک HTTP/HTTPS و گواهی‌های SSL را اسکن کنید. همانطور که متوجه شدید، همه چیز به آنتی ویروسی که نصب کرده اید بستگی دارد. مثلا:

تنظیمات تاریخ و زمان را تغییر دهید

تاریخ و ساعت(های) نادرست در رایانه نیز می تواند باعث ایجاد مشکل در هنگام برقراری ارتباط ایمن با سایت های HTTPS شود. حتی در حین احراز هویت، سیستم مدت زمان ایجاد و تاریخ انقضای گواهی را با سایت و مرجع صدور گواهی مربوطه بررسی می کند.

به روز رسانی گواهی های ریشه ویندوز

اگر رایانه شما در بخش ایزوله قرار دارد، برای مدت طولانی به‌روزرسانی نشده است یا سرویس به‌روزرسانی خودکار کاملاً روشن است، رایانه شما ممکن است گواهی‌های گواهی ریشه جدید (TrustedRootCA) داشته باشد. توصیه می شود سیستم را به روز کنید: به روز رسانی امنیتی باقی مانده را نصب کنید، اگر ویندوز 7 دارید، SP1 () و به روز رسانی منطقه زمانی () را نصب کنید.

می‌توانید به‌صورت دستی گواهی‌های ریشه را در هر مقاله تمدید کنید: (این روش توصیه‌شده برای جلوگیری از سیل ترافیک HTTP‌ها و تعدادی از مشکلات دیگر است).

پشتیبانی از پروتکل QUIC را فعال کنید

بررسی کنید که آیا پشتیبانی از پروتکل کروم فعال نیست QUIC(اتصالات اینترنت UDP سریع). پروتکل QUIC به شما این امکان را می دهد که به راحتی اتصال را باز کنید و از تمام پارامترهای TLS (HTTP) هنگام اتصال به سایت استفاده کنید. با این حال، در برخی موارد ممکن است با اتصالات SSL با مشکل مواجه شوید. WimQUIC را امتحان کنید:

رفتن به صفحه: chrome://flags/#enable-quic;
گزینه ای را پیدا کنید پروتکل آزمایشی QUIC;
مقدار گزینه Default را به تغییر دهید معلول;
کروم را مجددا راه اندازی کنید.

پشتیبانی از پروتکل های TLS و SSL را افزایش دهید

نکته آخر این است که برای حل مشکل فقط باید پشتیبانی از نسخه های قدیمی پروتکل های TLS و SSL را فعال کنید. اکثر قسمت ها موثرترین قسمت ها خواهند بود، اما قطعا آنها را تا پایان مقاله به تعویق می اندازم. اجازه بدهید توضیح دهم که چرا.

نسخه‌های قدیمی‌تر پروتکل‌های TLS و SSL غیرفعال هستند، نه به دلیل اشکالات ساده در فروشندگان، بلکه به دلیل احتمال تعداد زیادی نشت که به مهاجمان اجازه می‌دهد داده‌های شما را به ترافیک HTTPS منتقل کنند و سپس آن را تغییر دهند و ix. فعال کردن پروتکل‌های قدیمی بدون فکر، امنیت شما را در اینترنت به میزان قابل توجهی کاهش می‌دهد، بنابراین این روش شما را ملزم می‌کند تا به مرحله نهایی بروید، زیرا همه چیز قطعاً کمکی نمی‌کند.

مرورگرها و سیستم عامل های امروزی مدت هاست که برای پشتیبانی از پروتکل های قدیمی تر و ضعیف تر SSL/TLS (SSL 2.0، SSL 3.0 و TLS 1.1) توسعه یافته اند. استانداردها TLS 1.2 و TLS 1.3 هستند.

از آنجایی که سمت سایت از نسخه کمتری از SSL/TLS استفاده می‌کند، برای اطمینان از برقراری ارتباط امن، توسط مشتری/مرورگر پشتیبانی می‌شود.

برای بستن نسخه های قدیمی پروتکل های SSL/TLS (یک بار دیگر، ایمن نیست):

اگر تمام روش های مورد بحث در بالا به شما کمک نکرد تا از خطای "این سایت به طور ایمن متصل شود" خلاص شوید، همچنین سعی کنید:

گوگل، مایکروسافت و موزیلا پشتیبانی جدیدی از الگوریتم رمزگذاری RC4 را اعلام کردند.

با توجه به تهدید فزاینده حملات سایبری به RC4، این الگوریتم به سرعت قابلیت اطمینان خود را از دست داد و فروشندگان اصلی مرورگرها مشتاقانه منتظر رویکرد جدیدی بودند - برای مثال، گاهی اوقات.

به گفته ریچارد بارنز از موزیلا، پشتیبانی از RC4 فایرفاکس با نسخه 44 که برای 26th برنامه ریزی شده منتشر خواهد شد. سخنگوی شرکت در فروم مشتریان خود توضیح داد: «قطع اتصال RC4 قابل توجه است زیرا فایرفاکس دیگر نمی تواند به سرورهایی که RC4 اجرا می کند متصل شود. ما معتقدیم داده‌ها نشان می‌دهند که چنین سرورهای زیادی وجود ندارد، اما هنوز بوی بدی دارند، اگرچه کاربران فایرفاکس به ندرت به آنها مراجعه می‌کنند.

آدام لنگلی از گوگل اعلام کرد که آخرین نسخه کروم برای عموم مردم در سراسر جهان در دسترس خواهد بود. تاریخ انتشار مشخص نشده است، جز اینکه گفته شود سرورهای HTTPS، از جمله سرورهایی که RC4 را اجرا می کنند، غیرفعال خواهند شد. لنگلی به یک محقق متخصص در این زمینه می گوید: «وقتی Chrome یک اتصال HTTPS برقرار کرد، باید هر کاری که می توانید برای اطمینان از امنیت خود انجام دهید. [ایمیل محافظت شده]. "در حال حاضر، پشتیبانی RC4 برای اتصالات HTTPS امکان پذیر نیست، بنابراین ما قصد داریم پشتیبانی RC4 را در یکی از نسخه های آتی کروم فعال کنیم."

در حال حاضر، هر دو نسخه پایدار فایرفاکس و نسخه بتا می توانند RC4 را بدون محدودیت نصب کنند، علیرغم این واقعیت که برای 0.08 و 0.05٪ زمان برنده است. برای کروم، این رقم وحشتناک است - 0.13%. لنگلی گفت: «برای ادامه کار، اپراتورهای سرورهای ثانویه که برای همه چیز پول پرداخت کرده‌اند، فقط باید پیکربندی را تغییر دهند تا به مطمئن‌ترین مجموعه رمزگذاری سوئیچ کنند.

مایکروسافت بهبودهایی را در الگوریتم قدیمی در محصولات Microsoft Edge و IE 11 اعلام کرده است. پشتیبانی برای آغاز سرنوشت آینده روشن خواهد شد. دیوید والپ، مدیر ارشد پروژه مایکروسافت اج توضیح داد: «Microsoft Edge و Internet Explorer 11 دیگر تحت تأثیر RC4 در هنگام ارتقاء از TLS 1.2 یا 1.1 به TLS 1.0 قرار نمی گیرند. - ارتقاء به TLS 1.0 که توسط RC4 پشتیبانی می شود، اغلب به آرامی انجام می شود، در غیر این صورت چنین وضعیتی، با وجود تمام بی گناهی آن، از حمله "مرد در وسط" ناشی نمی شود. به همین دلیل، از ابتدای سال 2016، RC4 به طور پیش فرض برای همه کاربران مایکروسافت اج و اینترنت اکسپلورر تحت ویندوز 7، ویندوز 8.1 و ویندوز 10 فعال می شود.

اکنون بیش از ده سال است که محققین از ناکافی بودن RC4 شکایت کرده اند و به توانایی انتخاب مقادیر تصادفی که برای ایجاد متن های رمزی با استفاده از این الگوریتم استفاده می شوند، اشاره کرده اند. با توجه به واضح بودن زمان، تلاش‌های محاسباتی و دسترسی به ده‌ها درخواست TLS، رمزگشایی برای مهاجم در انبار zusil عالی نیست.

در سال 2013، تحقیقات انجام شده توسط Daniel J. Bernstein در دانشگاه ایلینویز منجر به ایجاد یک روش عملی برای حمله به نشت ظاهری RC4 با به خطر انداختن جلسه TLS شد. این یکی از اولین ردپایی است که منتشر شد.

آخرین حمله بلژیکی به RC4 به شما این امکان را می دهد که کوکی قربانی را ربوده و در کمتر از یک ساعت آن را رمزگشایی کنید، چیزی که قبلا تصور می شد ممکن است.