"Der Server ist durch FREAK-Angriffe gefährdet. Deaktivieren Sie den Support für alle Exportpakete auf Ihrem Server und deaktivieren Sie alle unsicheren Chiffren."
In den 1990er Jahren hat die US-Regierung Regeln für die Ausfuhr von Verschlüsselungssystemen aufgestellt. Diese Regeln begrenzten die Stärke der RSA-Schlüssel auf höchstens 512 Bits in jeder SSL-Implementierung (Secure Socket Layer) für den Export. Schließlich wurden die Regeln geändert. Die "Export"-Verschlüsselungssammlungen wurden nicht mehr verwendet und im Jahr 2000 konnten Browser SSL mit einer höheren Sicherheit verwenden.
Ein Forscherteam hat festgestellt, dass die alten exportbezogenen kryptographischen Sammlungen noch heute im Einsatz sind. Server, die RSA-Export-Verschlüsselungssammlungen unterstützen, erlauben einem MITM Clients auszutricksen, die die schwachen Verschlüsselungssammlungen unterstützen, indem sie dazu bringen, diese schwachen 40- und/oder 56-Bit-Export-Verschlüsselungssammlungen zu verwenden und so ihre Verbindung herunterzustufen. Das MITM kann dann mit der heutigen Rechenleistung diese Schlüssel in ein paar Stunden knacken.
Der FREAK-Angriff ist möglich, weil einige Server, Browser und andere SSL-Implementierungen immer noch die schwächeren exportbezogenen kryptographischen Sammlungen unterstützen und verwenden, die MITM ermöglichen, diese Clients zur Verwendung der exportbezogenen Schlüssel zu zwingen, selbst wenn sie nicht um eine exportbezogene Verschlüsselung gebeten haben. Sobald die Verschlüsselung der Sitzung geknackt ist, kann MITM alle „geschützten“ persönlichen Informationen aus der Sitzung stehlen.
Eine Verbindung ist anfällig, wenn die folgenden Bedingungen erfüllt sind:
Exportbezogene kryptographische Sammlungen wurden entdeckt in OpenSSL und Apple Secure Transport (verwendet in Chrome, Safari, Opera und den Standardbrowsern in Android und BlackBerry) sowie in Windows Secure Channel/Schannel (einer kryptografischen Bibliothek in allen unterstützten Versionen von Windows und Internet Explorer).
Deaktivieren Sie die Unterstützung aller exportbezogenen Verschlüsselungssammlungen auf ihren Servern. Wir empfehlen auch die Deaktivierung des Supports für alle bekannten unsicheren Chiffren (nicht nur im RSA-Export) und Chiffren mit 40- und 56-Bit-Verschlüsselung, und die Aktivierung von Perfect Forward Secrecy (siehe Perfect Forward Secrecy aktivieren).
Weitere Ressourcen:
Gefährdete Clients verwenden Software, die von OpenSSL oder Apple Secure Transport (Chrome, Safari, Opera, die Standardbrowser in Android und BlackBerry) oder Windows Secure Channel/Schannel (Internet Explorer) abhängig ist.
Weitere Ressourcen:
DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.
©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.
Diese Website verwendet Cookies und andere Technologien zur Nachverfolgung zur Unterstützung bei der Navigation und ihrer Möglichkeit, Feedback zu geben, zur Analyse Ihrer Nutzung unserer Produkte und Dienstleistungen und zur Unterstützung unserer Werbe- und Marketingmaßnahmen sowie zur Bereitstellung von Content Dritter.Lesen Sie unseren Bestimmungen zu Cookies und Datenschutz, um mehr zu erfahren.