FREAK

Factoring Attack on RSA-Export Keys

相关错误

"此服务器易受 FREAK 攻击。在服务器上禁用对任何导出套件的支持,并禁用所有不安全的密码。"

问题

在 1990 年代,美国政府制定了关于导出加密系统的规则。这些规则限制在针对导出而实现的任何安全套接层 (SSL) 中,RSA 加密密钥的强度不得超过 512 位。这些规则最终被更改。"导出"密码套件不再使用,而且到 2000 年,浏览器开始使用具有更高安全性的 SSL。

一组研究人员指出,原来的出口级密码套件至今仍在使用。支持 RSA 导出密码套件的服务器可允许中间人 (MITM) 诱骗支持弱密码套件的客户端使用这些安全性低的 40 位和/或 56 位导出密码套件来降低连接的安全等级。随后,MITM 可以使用当今的计算能力,在几小时内破解这些密钥。

FREAK 攻击之所以有效,是因为一些服务器、浏览器和其他 SSL 实现仍然支持和使用安全性较低的出口级密码套件,使得 MITM 可以强迫这些客户端在未要求使用导出等级加密的情况下仍然使用导出等级密钥。一旦会话加密被破解,MITM 可以从会话中窃取任何“受到安全保护”的个人信息。

如果满足以下条件,则连接易受攻击:

  1. 服务器必须支持 RSA 导出密码套件。
  2. 客户端必须满足以下条件之一:
    • 必须提供 RSA 导出套件
    • 必须使用 Apple SecureTransport
    • 必须使用易受攻击的 OpenSSL 版本
    • 必须使用安全通道 (Schannel)。

在 OpenSSL 和 Apple Secure Transport(在 Chrome、Safari、Opera 和 Android 以及 BlackBerry 浏览器中使用)以及 Windows 安全通道/Schannel(包括在所有支持的 Windows 版本中及在 Internet Explorer 中使用的一个加密库)中发现了出口级密码套件。

解决方案

面向服务器

在服务器上禁用对所有出口级密码套件的支持。我们还建议禁用对所有已知的不安全密码(不仅限于 RSA 导出密码)以及 40 位和 56 位加密密码的支持,并且启用完全转发保密(请参阅启用完全转发保密)。

其他资源:

面向客户端

易受攻击的客户端包括依赖于 OpenSSL 或 Apple Secure Transport(Chrome、Safari、Opera 和 Android 以及 BlackBerry 浏览器)或 Windows 安全通道/Schannel (Internet Explorer) 的软件。

其他资源: