RC4序列密码

一 基本概念
RC4是一种​​对称加密算法​​，由 Ronald Rivest 于 1987 年为 RSA 数据安全公司设计。它最初是商业机密，直到 1994 年其算法描述被匿名公开。

• 对称加密​​：加密和解密使用​​相同的密钥​​。
• ​​流密码​​：不同于分组密码（对固定长度的数据块进行处理），流密码​​逐字节或逐位​​地对明文进行加密。它通过生成一个与明文等长的​​密钥流​​，然后将密钥流与明文进行​​异或（XOR）​​ 操作来产生密文。解密过程完全相同（密文与相同的密钥流再次异或即可恢复明文）。
• 密钥长度可变​​：RC4 的密钥长度可以在 ​​1 到 256 字节​​（即 8 到 2048 位）之间变化，常见的密钥长度是 128 位（16字节）。

二 工作原理：KSA 与 PRGA
RC4算法的核心在于一个​​256字节（即256个元素）的S盒（S-box）​​ 和两个算法：​​密钥调度算法（KSA）​​ 和​​伪随机数生成算法（PRGA）​​。

1. 密钥调度算法（KSA）- 初始化S盒KSA的目的是利用用户提供的密钥来​​随机化​​初始的S盒。S盒最初被线性填充为0到255。

# 初始化S盒
def ksa(key):
    S = list(range(256))  # 初始化S盒: S[0]=0, S[1]=1, ..., S[255]=255
    j = 0
    key_length = len(key)
    # 通常用一个临时向量T来根据密钥生成一个256字节的数组
    # 这里简化，直接使用密钥循环填充的思路
    for i in range(256):
        j = (j + S[i] + key[i % key_length]) % 256  # 根据密钥计算新位置j
        S[i], S[j] = S[j], S[i]  # 交换S[i]和S[j]
    return S

​​过程​​：算法遍历S盒的每个位置 i，并根据密钥和S盒的当前状态计算出一个 j，然后交换 S[i]和 S[j]。这个过程确保了S盒的初始状态被密钥​​充分搅乱​​。

2. 伪随机数生成算法（PRGA）- 生成密钥流
   PRGA利用KSA初始化后的S盒来生成​​伪随机的密钥流字节​​。

def prga(S, data_length):
    i = 0
    j = 0
    key_stream = []
    for _ in range(data_length):
        i = (i + 1) % 256
        j = (j + S[i]) % 256
        S[i], S[j] = S[j], S[i]  # 交换S[i]和S[j]
        t = (S[i] + S[j]) % 256
        key_stream_byte = S[t]  # 从S盒中取出一个字节作为密钥流字节
        key_stream.append(key_stream_byte)
    return key_stream

​​过程​​：PRGA维护两个索引 i和 j（初始都为0）。每次生成一个密钥流字节时，它会更新 i和 j，交换 S[i]和 S[j]，然后从S盒中取出另一个位置 t（由 S[i] + S[j]确定）的值作为密钥流字节输出。
生成了密钥流之后，加密和解密就非常简单了：
​​加密​​：密文字节 = 明文字节 XOR 密钥流字节
​​解密​​：明文字节 = 密文字节 XOR 密钥流字节

三 示例
假设密钥 key = [1, 2, 3, 4]（非常简单的密钥，实际应用中应使用更强壮的随机密钥），需要加密的明文为 plaintext = [0x10, 0x20, 0x30]。
​​初始化S盒（KSA）​​：使用密钥 [1,2,3,4]对初始S盒（0,1,2,...,255）进行搅乱。经过KSA后，我们会得到一个随机化后的S盒（具体值取决于密钥）。
​​生成密钥流（PRGA）​​：假设我们需要加密3个字节，PRGA会从初始化后的S盒中生成3个密钥流字节。假设生成的密钥流为 [0xAB, 0xCD, 0xEF]。
​​加密​​：
第一个明文字节 0x10 XOR 0xAB = 0xA9
第二个明文字节 0x20 XOR 0xCD = 0xED
第三个明文字节 0x30 XOR 0xEF = 0xDF
密文为 [0xA9, 0xED, 0xDF]。

​​解密​​：
使用​​相同的密钥​​重新初始化S盒并生成​​相同的密钥流​​ [0xAB, 0xCD, 0xEF]，然后与密文异或：
第一个密文字节 0xA9 XOR 0xAB = 0x10
第二个密文字节 0xED XOR 0xCD = 0x20
第三个密文字节 0xDF XOR 0xEF = 0x30
明文 [0x10, 0x20, 0x30]被成功恢复。

四 优缺点
优点：

• 简单高效​​：RC4的算法逻辑非常简单，无论是在软件还是硬件上都​​易于实现​​，并且​​执行速度非常快​​。
• 密钥长度灵活​​：支持可变长度的密钥，能够适应不同的安全需求。

缺点与安全漏洞（重要！）：

• 存在弱密钥​​：某些密钥会导致S盒的初始化状态偏差，产生的密钥流在初期​​随机性不足​​，容易被攻击者利用。
• 密钥流偏差​​：RC4产生的密钥流在初始字节存在​​统计偏差​​（例如，第二个字节为0的概率显著更高），这使得它在加密少量数据（如会话开始时）时尤其脆弱。
• 易受攻击​​：由于上述弱点以及其设计年代较早，RC4易受多种攻击，例如​​密钥恢复攻击​​和​​统计攻击​​。研究人员曾在75小时内成功恢复出RC4加密的cookie内容。
• 已被主流淘汰​​：由于这些已知的安全漏洞，​​RC4已不再被推荐使用​​。主要的标准组织（如IETF）和软件厂商（如Microsoft）已弃用RC4。现代协议如TLS 1.2及以上版本也已禁止使用RC4。

五 总结
尽管RC4因其​​简洁性和高速性​​曾在历史上广受欢迎（如应用于早期SSL/TLS、WEP等），但其​​固有的安全缺陷​​导致它无法抵御现代密码分析技术。​​如今，RC4不应再用于任何需要安全性的新系统或协议中。​​ 学习RC4更重要的是理解流密码的基本原理和算法设计思路。对于实际应用，应选择更安全可靠的现代加密算法，如​​AES​​（在GCM模式下也可作为流密码使用）。