RC4 ist eine Stromverschlüsselung, die bei der Inlineverschlüsselung im Internet mit Standards wie HTTP und SSH oder bei WLANS mit WEP bzw. WPA weite Verbreitung gefunden hat.
Der Algorithmus wurde 1987 von Ronals L. Rivest entwickelt und ist offiziell geheim. 1994 wurde ARC4 ein Quelltext als Open Source anonym veröffentlicht.
Kern des Verfahrens ist die sogenannte S-Box, die eine Zufallsfolge erzeugt, die Bit für Bit mit dem Datenstrom verknüpft wird und diesen ver- bzw. entschlüsselt.
Der erste praktische Angriff gelang 2001, die Angriffsmethoden wurden sukzessive verbessert.
Im Februar 2015 wurde mit RFC 7465 durch die Internet Engineering Task Force die Verwendung auf Grund von Sicherheitsmängeln offiziell untersagt.