FREAK
Factoring Attack on RSA-Export Keys
関連するエラー
「このサーバーにはFREAK攻撃に対する脆弱性があります。サーバー上のエクスポートスイートに対するサポートを無効化するとともに、セキュアではない暗号をすべて無効化してください。」
問題
米国政府は、1990年代に暗号化システムの輸出に対する規則を策定しました。これらの規則により、輸出対象のセキュアソケットレイヤー(SSL)実装におけるRSA暗号化キーの強度が最大512ビットに制限されましたが、その後、この規則は変更されました。「エクスポート」暗号スイートは使用されなくなり、2000年には、ブラウザでより高度なセキュリティレベルのSSLを使用できるようになりました。
研究者チームは、古い輸出グレードの暗号スイートが今日も引き続き使用されていることを明らかにしました。RSAエクスポート暗号スイートをサポートするサーバーは、中間者(MITM)が弱い暗号スートをサポートするクライアントを操って接続をダウングレードさせることを容認する可能性があります。ダウングレードされると、MITMは今日の計算能力を活用して、これらの鍵をほんの数時間で解読することができます。
FREAK攻撃が可能になるのは、一部のサーバー、ブラウザ、およびその他SSL実装が弱い輸出グレードの暗号スイートを引き続きサポートし、使用しているためです。この状況は、MITMがクライアントに対し、輸出グレードの暗号化を要求しなかった場合でも輸出グレードのキーを使用するように強制することを可能にします。セッションの暗号化が解読されると、MITMは、セッションからあらゆる「セキュア化された」個人情報を盗むことができます。
以下の条件に当てはまる場合は、接続に脆弱性があります。
サーバーがRSAエクスポート暗号スイートをサポートする必要がある。
クライアントが以下の条件のいずれかを満たす必要がある。
RSAエクスポートスイートを提供する
AppleのSecure Transportを使用する
脆弱なOpenSSLバージョンを使用する
セキュアチャネル(Schannel)を使用する
注記
輸出グレードの暗号スイートは、OpenSSLとAppleのSecure Transport(Chrome、Safari、Opera、Androidストックブラウザで使用)、およびWindowsセキュアチャネル/Schannel(サポートされるすべてのWindowsバージョンに含まれ、Internet Explorerで使用される暗号ライブラリ)で発見されています。
ソリューション
サーバー側
サーバー上のすべての輸出グレードの暗号スイートに対するサポートを無効化します。デジサートは、既知のセキュアではない暗号(RSAエクスポート暗号以外も含む)、および40/56ビット暗号化による暗号のすべてに対するサポートを無効化し、Perfect Forward Secrecyを有効化すること(「Perfect Forward Secrecyの有効化」を参照)もお勧めします。
その他のリソース:
最新のOpenSSLリリースでパッチが適用されたFREAK脆弱性。
Mozillaの「推奨設定」と、Mozillaの「SSL設定ジェネレータ」を参照してください。
Microsoftの「セキュリティアドバイザリ3046015」を参照してください。
クライアント側
脆弱なクライアントには、OpenSSLもしくはAppleのSecure Transportに依存するソフトウェア(Chrome、Safari、Opera、Androidストックブラウザ)、またはWindowsセキュアチャネル/Schannelに依存するソフトウェア(Internet Explorer)が含まれます。
その他のリソース:
ブラウザをテストするには、こちらのクライアントテストを使用してください。
最新のOpenSSLリリースでパッチが適用されたFREAK脆弱性。
OSディストリビュータからそれぞれのブラウザのパッチがリリースされているはずです。パッチ/更新ステータスについては、「FREAK攻撃の追跡」を参照してください。