微软Windows身份验证团队负责人Steve Syfuhs于12月11日宣布，公司正准备彻底废除已使用25年的过时加密算法RC4。该算法全称为Rivest Cipher 4，诞生于1987年，曾广泛用于网络传输加密，但因设计老旧存在严重安全漏洞。

RC4伴随Windows系统发布长达25年，且长期作为默认加密选项，导致其移除过程极为复杂。问题不仅在于算法本身的存在，更涉及其调用方式及跨越20年的代码变更规则。开发人员在过去二十年中多次对RC4进行“外科手术式”修复以应对新发现的漏洞。

微软原计划在2023年内完成RC4的全面移除，但因发现需修复的新漏洞而推迟。期间，微软实施多项微小改进，引导系统优先采用更安全的AES加密算法。这一策略成效显著，RC4使用率呈数量级下降，目前已趋近于零。

Syfuhs指出，当前RC4的自然衰退为彻底移除提供了理想时机，此时采取强制措施对现有业务环境的影响已降至最低。RC4的核心缺陷体现在Active Directory身份验证中的实现方式：未采用“密码学加盐（Salt）”技术，且仅执行单轮MD4哈希运算。

“加盐”是在哈希前向密码添加随机数据的关键技术，可大幅提升破解难度。而MD4算法运算速度快，使黑客能以极少资源完成破解。此设计缺陷直接促成著名的Kerberoasting攻击，攻击者可借此轻易窃取服务账号凭证。

Kerberoasting是针对Windows域环境的一种攻击手法，利用系统允许任何用户请求服务票据的机制，提取以弱加密（如RC4）保护的票据，并在离线环境中暴力破解密码，进而获取管理员权限。

作为替代方案，微软推广AES-SHA1加密实现方式，其安全性远高于RC4。综合评估显示，破解AES-SHA1所需的时间和资源约为破解RC4的1000倍。尽管微软已在系统层面推进变更，仍强烈建议Windows管理员全面审计网络环境，确保无遗留RC4配置，以防安全风险。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。