Skip to main content

FREAK

Factoring Attack on RSA-Export Keys

関連するエラー

「このサーバーにはFREAK攻撃に対する脆弱性があります。サーバー上のエクスポートスイートに対するサポートを無効化するとともに、セキュアではない暗号をすべて無効化してください。」

問題

米国政府は、1990年代に暗号化システムの輸出に対する規則を策定しました。これらの規則により、輸出対象のセキュアソケットレイヤー(SSL)実装におけるRSA暗号化キーの強度が最大512ビットに制限されましたが、その後、この規則は変更されました。「エクスポート」暗号スイートは使用されなくなり、2000年には、ブラウザでより高度なセキュリティレベルのSSLを使用できるようになりました。

研究者チームは、古い輸出グレードの暗号スイートが今日も引き続き使用されていることを明らかにしました。RSAエクスポート暗号スイートをサポートするサーバーは、中間者(MITM)が弱い暗号スートをサポートするクライアントを操って接続をダウングレードさせることを容認する可能性があります。ダウングレードされると、MITMは今日の計算能力を活用して、これらの鍵をほんの数時間で解読することができます。

FREAK攻撃が可能になるのは、一部のサーバー、ブラウザ、およびその他SSL実装が弱い輸出グレードの暗号スイートを引き続きサポートし、使用しているためです。この状況は、MITMがクライアントに対し、輸出グレードの暗号化を要求しなかった場合でも輸出グレードのキーを使用するように強制することを可能にします。セッションの暗号化が解読されると、MITMは、セッションからあらゆる「セキュア化された」個人情報を盗むことができます。

以下の条件に当てはまる場合は、接続に脆弱性があります。

  1. サーバーがRSAエクスポート暗号スイートをサポートする必要がある。

  2. クライアントが以下の条件のいずれかを満たす必要がある。

    • RSAエクスポートスイートを提供する

    • AppleのSecure Transportを使用する

    • 脆弱なOpenSSLバージョンを使用する

    • セキュアチャネル(Schannel)を使用する

注記

輸出グレードの暗号スイートは、OpenSSLとAppleのSecure Transport(Chrome、Safari、Opera、Androidストックブラウザで使用)、およびWindowsセキュアチャネル/Schannel(サポートされるすべてのWindowsバージョンに含まれ、Internet Explorerで使用される暗号ライブラリ)で発見されています。

ソリューション

サーバー側

サーバー上のすべての輸出グレードの暗号スイートに対するサポートを無効化します。デジサートは、既知のセキュアではない暗号(RSAエクスポート暗号以外も含む)、および40/56ビット暗号化による暗号のすべてに対するサポートを無効化し、Perfect Forward Secrecyを有効化すること(「Perfect Forward Secrecyの有効化」を参照)もお勧めします。

その他のリソース:

クライアント側

脆弱なクライアントには、OpenSSLもしくはAppleのSecure Transportに依存するソフトウェア(Chrome、Safari、Opera、Androidストックブラウザ)、またはWindowsセキュアチャネル/Schannelに依存するソフトウェア(Internet Explorer)が含まれます。

その他のリソース:

  • ブラウザをテストするには、こちらのクライアントテストを使用してください。

  • 最新のOpenSSLリリースでパッチが適用されたFREAK脆弱性。

  • OSディストリビュータからそれぞれのブラウザのパッチがリリースされているはずです。パッチ/更新ステータスについては、「FREAK攻撃の追跡」を参照してください。