RC4 (auch bekannt als Rivest-Chiffre 4) ist eine sogenannte Stromchiffre Sie verschlüsselt Nachrichten Byte für Byte mit einem Algorithmus.

Es gibt unzählige Stromchiffren, aber RC4 gehört zu den beliebtesten. Sie ist einfach einzusetzen und kann auch große Datensätze schnell verschlüsseln. Wenn Sie bereits eine Anwendung wie TSL (Transport Layer Security) oder SSL (Secure Socket Layer) verwendet haben, sind Sie wahrscheinlich schon auf RC4-Verschlüsselung gestoßen. 

Wissen Sie aber, wie sie funktioniert?

Hier eine verständliche High-Level-Erklärung, was es mit der Rivest-Chiffre auf sich hat. Dabei verraten wir Ihnen auch, warum sie so praktisch ist – und zeigen Ihnen ein paar bekannte Grenzen der Verschlüsselung auf.

Was ist die Rivest-Chiffre? 

1987 entwickelte Ron Rivest das RC4-Verschlüsselungsverfahren. Eigentlich hate er vor, die Regeln der Chiffre geheim zu halten – und hätte das funktioniert, wäre so eine der sichersten Methoden für den Schutz von Informationen entstanden. Leider ist sein Plan nicht aufgegangen. 

Im Jahr 1994 veröffnetlichte eine anonyme Quelle eine detaillierte Beschreibung der Regeln der Chiffre. Nun, da die RC4-Regeln öffentlich sind, wissen wir viel mehr über ihre Funktionsweise. Leider gilt das aber auch für die Hacker, die nun wissen, wie sie RC4-Verschlüsselung am besten umgehen. 

RC4 basiert auf:

• Schlüssel-Input. Dieses Tool generiert eine 8-Bit-Zahl (Chiffre), die unmöglich zu erraten ist. 
• Zufallsfolge. Die Chiffre verschlüsselt den Klartext. 
• Produkt. Mithilfe einer X-OR-Verknüpfung wird die Zufallsfolge mit der Chriffre verbunden. 

Seit der Veröffentlichung arbeiten Entwickler weltweit daran, die RC4-Verschlüsselung zu verbessern. Sie hoffen, das Risiko eines Angriffs zu minimieren – doch Stand heute können Hacker die Verschlüsselung nach Meinung vieler Experten immer noch knacken. Zu den neuen Versionen gehören etwa RC4A, VMPC and SPRITZ. Sie sind komplexer und schwieriger zu knacken. Doch die Gefahr, dass sie gehackt werden, bleibt bestehen. 

Daher arbeiten Entwickler kontinuierlich daran, diese Tools zu optimieren. Verschlüsselung dient dazu, sensible Informationen, etwa Geschäftsgeheimnisse, zu schützen. Anwender müssen heute Daten teilen können, um gemeinsam damit zu arbeiten. Ohne Verschlüsselung wären diese Daten bei ihrer Weitergabe jedoch für jeden sichtbar. 

Schwache Verschlüsselungswerkzeuge stellen für Hacker kein Hindernis dar. Je stärker das Verschlüsselungssystem ist, desto besser schützt es Sie und Ihre Daten.

Wie funktioniert RC4? 

Die RC4-Verschlüsselung ist nicht allgegenwärtig. Ganz im Gegenteil. Die Internet Engineering Task Force hat die Verwendung von RC4 in manchen Bereichen sogar untersagt. Ein gutes Verständnis des Werkzeugs wird Ihnen aber helfen, sichere Verfahren für den Schutz Ihrer Daten zu finden. 

Vereinfacht gesprochen basiert RC4 auf einem simplen Schritt-für-Schritt-Modell:

• Start: Geben Sie einen geheimen Schlüssel sowie den Text, den Sie schützen möchten, ein. 
• Verschlüsselung: Die Chiffre verschlüsselt Ihren Text. Statt große Einheiten auf einmal zu verarbeiten, wird der Text Byte für Byte verschlüsselt. 
• Senden: Ihr verschlüsselter Text wird an den Empfänger weitergeleitet. Der Empfänger benötigt den geheimen Schlüssel, den Sie zum Schutz Ihrer Daten eingegeben haben. 
• Entschlüsselung: Der Empfänger führt dieselben Schritte durch, um den Originaltext zu entschlüsseln. 

Für die Mathematik-Affinen unter Ihnen sehen wir uns diesen Prozess etwas genauer an. RC4 basiert auf zwei mathematischen Konzepten:

• KSA: Ein Key-Scheduling-Algorithmus initiiert den Prozess. Man spricht hier typischerweise von einem S-Array. Dieser „S-Array“ wird 256 Mal verarbeitet und mit zufälligen Bytes des Schlüssels vermischt. 
• PRGA: Die Daten werden Bit für Bit eingespeist und über ein mathematisches Modell modifiziert. Das Modell prüft die Werte, addiert sie zu 256 und verwendet die Summe als Byte im Schlüsselstrom. Dabei wird jedes Element mindestens einmal alle 256 Runden mit einem anderen ausgetauscht. 

RC4 basiert auf RNGs (Random Number Generators, Zufallszahlengenerator). Im Gegensatz zu anderen Stromchiffren benötigt RC4 jedoch keine Shift-Register mit linearem Feedback. 

RC4 verwendet leistungsfähige Verschlüsselungswerkzeuge. Diese enthalten in der Regel 256 Bits, und der Text durchläuft multiple mathematische Regeln, bevor er als vollständig verschlüsselt gilt. Fangen Sie mit RC4 verschlüsselte Daten ab, sehen Sie nur eine Reihe von Nullen und Einsen. Mit dem richtigen Schlüssel können Sie diese Daten jedoch in lesbare Informationen umwandeln.

Trotz dieser Komplexität ist RC4 bemerkenswert schnell. Tatsächlich handelt es sich um eines der schnellsten Tools auf dem Markt. Wer nicht viel Zeit auf die Ver- und Entschlüsselung aufwenden will, wird dieses Tempo zu schätzen wissen.

Vor- und Nachteile von RC4

Ist diese Art der Verschlüsselung die richtige für Sie, oder sollten Sie so weitersuchen, bis Sie ein in jeder Hinsicht perfektes Werkzeug gefunden haben? Das Wissen um die Vor- und Nachteile kann Ihnen helfen, eine fundierte Entscheidung für sich und Ihr Unternehmen zu treffen. 

Zu den wichtigsten Vorteilen von RC4 gehören die Geschwindigkeit und die Benutzerfreundlichkeit. Ein paar Zeilen Code genügen, um Ihre Daten mit RC4-Verschlüsselung zu schützen – ohne lange Wartezeit für Ihre Nutzer. 

RC4 kann aber geknackt werden, zumal dann, wenn Sie mehrfach denselben Schlüssel verwenden. Und sollten Sie einen bereits geknackten Code noch einmal verwenden, ist dies eine offene Einladung, alles zu entschlüsseln, was Sie senden. Nutzen Sie RC4 also mit Vorsicht. 

RC4 ist auch nicht ideal, wenn Sie nur kleine Datenmengen übertragen möchten. Das Tool wurde für große Datenmengen entwickelt – und kann bei der Verwendung für kleine Datenmengen Probleme machen.

Einfache Verschlüsselung war gestern.

Die Verschlüsselung von Daten vor dem Versand sollte heute Teil des Security-Konzepts jedes Unternehmens sein. Darüber hinaus müssen Sie auch Ihre Server schützen – mit Tools, die bösartige Software zuverlässig erkennen und stoppen. Wir können Ihnen dabei helfen.

Wir bei Okta sind der Branchenführer im Bereich Security. Erfahren Sie mehr.

Referenzen

The Most Efficient Distinguishing Attack on VMPC and RC4A. ECRYPT. 

Ethical Hacking: Breaking Cryptography (For Hackers). (September 2019). Infosec. 

Prohibiting RC4 Cipher Suites. (Februar 2015). Internet Engineering Task Force.

The RC4 Stream Encryption Algorithm. (2005). William Stallings. 

Stream Ciphers and Message Integrity. (Juni 2017). Alex Kojenov.