FREAK

有關 RSA 匯出金鑰的 Factoring 攻擊

問題

在 1990 年代，美國政府制訂了匯出加密系統的規則。這些規則將 RSA 加密金鑰的強度限制在任何安全通訊端 (SSS) 中實行匯出目標的最大 512 位元。最終規則變更。「匯出」密碼套件停止使用，而且到 2000 年，瀏覽器可以使用更高安全性的 SSL。

研究團隊指出舊的匯出級加密套件現在仍有人使用。支援 RSA 匯出密碼套件的團隊可以讓 man-in-the-middle (中間的人，簡稱 MITM) 欺騙支援弱密碼套件的用戶端將它們的連線降級。然後 MITM 可以運用現代的運算威力，只要幾個小時就可以破解那些金鑰。

FREAK 攻擊可能是因為有些伺服器、瀏覽器和其他 SSL 實作仍支援和使用較弱的匯出級加密套件，讓 MITM 可以強制這些用戶端使用匯出級的金鑰，即使它們並沒有要求匯出級加密。一破解工作階段的加密後，MITM 即可從工作階段竊取「受保護的」個人資料。

如果符合這些條件，連線是脆弱的：

伺服器必須支援 RSA 匯出密碼套件。
用戶端必須符合這些條件之一：
- 提供 RSA 匯出套件
- 使用 Apple SecureTransport
- 使用有漏洞版本的 OpenSSL
- 使用安全通道 (Schannel)。

Note

匯出級加密套件在 OpenSSL 和 Apple 的 Secure Transport (使用在 Chrome、Safari、Opera 和 Android 預建瀏覽器中)，以及在 Windows Secure Channel/Schannel (一種所有支援的 Windows 版本中都有的加密程式庫，並使用在 Internet Explorer 中) 中發現。

解決方案

伺服器端

在您的伺服器上停用對所有匯出級密碼套件的支援。我們也建議停用對所有不安全密碼的支援 (不只是 RSA 匯出密碼)，並使用 40- 和 56 位元的密碼，並啟用完美前保密性 (請參閱啟用完美前保密性)。

其他資源：

用目前的 OpenSSL Release 修補 FREAK 漏洞。
請參閱 Mozilla 的建議組態和 Mozilla 的 SSL 組態產生器。
請參閱 Microsoft 的 Security Advisory 3046015。

用戶端

有漏洞的用戶端包括依賴 OpenSSL 或 Apple 的 Secure Transport (Chrome、Safari、Opera、Android 預建瀏覽器) 或 Windows Secure Channel/Schannel (Internet Explorer) 的軟體。