FREAK

FREAK (" Factoring RSA Export Keys ") är en säkerhetsexploatering av en kryptografisk svaghet i SSL/TLS- protokollen som introducerades decennier tidigare för överensstämmelse med amerikanska bestämmelser om kryptoexport . Dessa innebar begränsning av exporterbar programvara till att endast använda publika nyckelpar med RSA- moduler på 512 bitar eller mindre (så kallade RSA_EXPORT -nycklar), i avsikt att tillåta dem att lätt brytas av National Security Agency (NSA), men inte av andra organisationer med mindre datorresurser. Men i början av 2010-talet innebar ökningar av datorkraft att de kunde brytas av alla som hade tillgång till relativt blygsamma datorresurser med den välkända Number Field Sieve- algoritmen, med så lite som 100 USD i molntjänster . I kombination med förmågan hos en man-in-the-middle-attack att manipulera den inledande chiffersvitsförhandlingen mellan slutpunkterna i anslutningen och det faktum att den färdiga hashen bara berodde på huvudhemligheten, innebar detta att en man-in-the -mittattack med endast en blygsam mängd beräkningar skulle kunna bryta säkerheten för alla webbplatser som tillät användningen av 512-bitars exportnycklar. Även om exploateringen upptäcktes först 2015, hade dess underliggande sårbarheter funnits i många år, med anor från 1990-talet.

Sårbarhet

Felet upptäcktes av forskare från IMDEA Software Institute , INRIA och Microsoft Research . FREAK-attacken i OpenSSL har identifieraren CVE - 2015-0204 .

programvara och enheter inkluderade Apples webbläsare Safari , standardwebbläsaren i Googles Android - operativsystem, Microsofts Internet Explorer och OpenSSL . Microsoft har också uttalat att dess Schannel -implementering av transportlagerkryptering är sårbar för en version av FREAK-attacken i alla versioner av Microsoft Windows . CVE ID för Microsofts sårbarhet i Schannel är CVE - 2015-1637 . CVE ID för Apples sårbarhet i Secure Transport är CVE - 2015-1067 .

Webbplatser som påverkades av sårbarheten inkluderar de amerikanska federala myndigheternas webbplatser fbi.gov, whitehouse.gov och nsa.gov, med cirka 36 % av webbplatser som använder HTTPS som testats av en säkerhetsgrupp som visades vara sårbara för utnyttjandet. Baserat på geolokaliseringsanalys med IP2Location LITE, är 35 % av sårbara servrar belägna i USA.

Pressrapporter om exploateringen har beskrivit dess effekter som "potentiellt katastrofala" och en " oavsiktlig konsekvens " av den amerikanska regeringens ansträngningar att kontrollera spridningen av kryptografisk teknologi.

I mars 2015 var leverantörer i färd med att släppa ny programvara som skulle åtgärda felet. Den 9 mars 2015 släppte Apple säkerhetsuppdateringar för både iOS 8 och OS X operativsystem som åtgärdade detta fel. Den 10 mars 2015 släppte Microsoft en patch som åtgärdade denna sårbarhet för alla versioner av Windows som stöds (Server 2003, Vista och senare). Google Chrome 41 och Opera 28 har också mildrat detta fel. Mozilla Firefox är inte sårbart mot detta fel.

Forskningsdokumentet som förklarar denna brist har publicerats vid det 36:e IEEE-symposiet om säkerhet och integritet och har tilldelats priset Distinguished Paper.

Se även

• BEAST (datorsäkerhet)
• BREACH (säkerhetsutnyttjande)
• BROTT (säkerhetsexploatering)
• Logjam (datorsäkerhet)
• PUDEL
• Server-gated kryptografi

externa länkar

• https://www.smacktls.com/
• https://web.archive.org/web/20150304002021/https://freakattack.com/
• https://tools.keycdn.com/freak/
• https://infogr.am/https_sites_that_support_rsa_export_suites
• http://www.sitemeer.com/ Arkiverad 2015-03-15 på archive.today