FREAK - významná slabina v TLS/SSL

04-03-2015 / V kategoriích: Novinky, 2015

Cryptography, Microsoft, TLS/SSL, Windows, Zranitelnost

Překlad: EN

Mezinárodní výzkumný tým vytvořil útok nazvaný FREAK (Factoring attack on RSA Export Keys), umožňující snížení úrovně zabezpečení šifrovaných spojení. Útok je založen na přinucení serveru i klientu k použití historických (jedná se o velmi dlouho existujcí zranitelnost) slabých kryptografických algoritmů, které jsou nicméně některými prohlížeči (mj. Safari a prohlížeč v OS Android založený na OpenSSL) a servery stále podporovány. Po prolomení klíče, který je v důsledku výše uvedeného podstatně slabší, než současný standard, může potencální útočník realizovat man-in-the-middle útok v rámci šifrovaného spojení mezi prohlížečem a serverem. Uvedené algoritmy byly do implementací SSL přidány v době, kdy v důsledku exportních omezení pro kryptografický materiál v USA nebylo možné do dalších států vyvážet všechny kryptografické algoritmy, ale pouze ty pro export určené (slabší). Odkaz na stránky obsahující další informace o potenciálně zranitelných serverech a umožňující testování zranitelnosti klinetského software naleznete zde.

Doplnění (6. 3. 2015): Microsoft vydal prohlášení, dle nějž je implementace TLS/SSL obsažená ve všech podporovaných verzích Windows náchylná k útoku FREAK. Zranitelnou komponentou je Windows Secure Channel (Schannel), útok je tedy možné provést proti spojení vedenému z prohlížeče Internet Explorer, nebo z dalších aplikací, které Schannel využívají.