跳至內容

FREAK缺陷

本頁使用了標題或全文手工轉換
維基百科,自由的百科全書

FREAK缺陷(全稱:Factoring RSA Export Keys,中文:分解RSA出口級金鑰)是SSL/TLS協定中的密碼學安全缺陷。20世紀90年代,此缺陷隨着美國加密出口法規的出台而引入。

概要

1990年代時,美國對於貨物的出口設立了一些規定,從而引入了這個缺陷。規定中指出,美國軟件製造商出口的軟件只能使用512位元及以下的RSA加密(即所謂的出口級加密)。此舉是為了便於NSA破譯加密。時至2015年,隨着計算能力的發展,破解這種加密已經不再是政府機構才能做到的事,任何人只要擁有充足的計算資源,就能通過普通數域篩選法加上約100美元的雲端運算服務輕而易舉地將其破譯。這個缺陷還能和中間人攻擊結合利用,只要先破譯網站的512位元弱加密,再發動中間人攻擊,就能使任何允許使用512位元出口級金鑰的網站失去安全保障。此漏洞於2015年發現,但從1990年代開始就已經存在。

FREAK漏洞由IMDEA、INRIA微軟研究院的研究人員共同發現。[1] OpenSSL中存在的此漏洞在公共漏洞和暴露系統中的編號是CVE-2015-0204。[2]

受到漏洞影響的軟件及裝置包括蘋果SafariGoogle安卓系統上的預設瀏覽器,及OpenSSL[3][1] 微軟還表示全版本的Windows系統上的SChannel傳輸層加密實現都受到FREAK漏洞影響。[4]SChannel中存在的漏洞的CVE編號是CVE-2015-1637。[5] 而蘋果的安全傳輸功能中的漏洞的CVE編號是CVE-2015-1067。[6]

受到漏洞影響的網站包括美國聯邦政府網站fbi.gov、whitehouse.gov、nsa.gov,[7] 一個安全團隊的測試發現,36%的被測HTTPS網站都受到漏洞影響。[8] 根據IP2Location LITE的地理定位,35%的受影響伺服器都位於美國。[9]

有新聞報導稱此漏洞是「潛在的災難」,[10]是美國政府意圖控制加密技術傳播的「意外後果英語Unintended consequence」。[7]

截至2015年3月3日 (2015-03-03),各軟件廠商已在準備發佈修復漏洞後的新版本軟件。[7][8] 2015年3月9日,蘋果發佈了iOS 8OS X作業系統的漏洞修補程式。[11][12] 2015年3月10日,微軟為所有仍在技術支援周期內的Windows系統(Windows Server 2003Vista及後續版本)發佈了漏洞修補程式。[13] Google Chrome 41和Opera 28也已採取相應漏洞緩解措施。[14] Mozilla Firefox不受此漏洞影響。

參見

參考來源

  1. ^ 1.0 1.1 Steven J. Vaughan-Nichols. FREAK: Another day, another serious SSL security hole. ZDNet. 2015-03-03 [2015-03-05]. (原始內容存檔於2015-03-06). 
  2. ^ Vulnerability Summary for CVE-2015-0204. NIST. 20 February 2015 [2015-03-05]. (原始內容存檔於2015-03-05). 
  3. ^ Thomas Fox-Brewster. What The FREAK? Why Android And iPhone Users Need To Pay Attention To The Latest Hot Vulnerability. Forbes. 2015-03-03 [2015-03-05]. (原始內容存檔於2015-03-06). 
  4. ^ Darren Pauli. All Microsoft Windows versions are vulnerable to FREAK. The Register. 6 March 2015 [2015-03-07]. (原始內容存檔於2015-03-07). 
  5. ^ Microsoft Security Advisory 3046015: Vulnerability in Schannel Could Allow Security Feature Bypass. Microsoft. March 5, 2015 [2015-03-07]. (原始內容存檔於2015-03-09). 
  6. ^ 存档副本. [2015-03-14]. (原始內容存檔於2015-03-09). 
  7. ^ 7.0 7.1 7.2 Craig Timberg. ‘FREAK’ flaw undermines security for Apple and Google users, researchers discover. Washington Post. 2015-03-03 [2015-03-05]. (原始內容存檔於2015-03-04). 
  8. ^ 8.0 8.1 Dennis Fisher. New FREAK Attack Threatens Many SSL Clients. Threatpost. 2015-03-03 [2015-03-05]. (原始內容存檔於2015-03-06). 
  9. ^ FREAK Servers By Country. 2015-03-03 [2015-03-05]. (原始內容存檔於2015-04-02). 
  10. ^ Dan Goodin. "FREAK" flaw in Android and Apple devices cripples HTTPS crypto protection. Ars Technica. 3 March 2015 [2015-03-05]. (原始內容存檔於2015-03-04). 
  11. ^ About Security Update 2015-002. Apple. March 9, 2015 [2015-03-14]. (原始內容存檔於2019-10-16). 
  12. ^ About the security content of iOS 8.2. Apple. March 9, 2015 [2015-03-14]. (原始內容存檔於2019-10-16). 
  13. ^ Microsoft Security Bulletin MS15-031 - Important. Microsoft. March 10, 2015 [2015-03-14]. (原始內容存檔於2015-03-15). 
  14. ^ 存档副本. [2015-03-05]. (原始內容存檔於2015-03-11). 

外部連結