FREAK漏洞可能破壞網(wǎng)絡(luò)加密機(jī)制

責(zé)任編輯:editor005

2015-03-17 13:52:22

摘自:51CTO

該漏洞的影響范圍包括應(yīng)用范圍廣泛的安全套接層協(xié)議及其繼任機(jī)制安全傳輸層協(xié)議。該安全缺陷如今已經(jīng)基本被暴露在光天化日之下,這意味著攻擊者可以將連接安全性由強(qiáng)加密降級(jí)至此前較弱的出口級(jí)加密水平。

該漏洞的影響范圍包括應(yīng)用范圍廣泛的安全套接層協(xié)議及其繼任機(jī)制安全傳輸層協(xié)議。

專家目前正就一項(xiàng)嚴(yán)重安全漏洞發(fā)出正式警告,該漏洞顯然已經(jīng)經(jīng)歷了多年潛伏,并有可能削弱往來于計(jì)算機(jī)及網(wǎng)站之間的加密連接、甚至?xí)o整個(gè)互聯(lián)網(wǎng)的安全狀態(tài)帶來潛在威脅。

FREAK漏洞可能破壞網(wǎng)絡(luò)加密機(jī)制

這一被稱為FREAK的安全漏洞之影響范圍包括應(yīng)用范圍廣泛的安全套接層協(xié)議及其繼任機(jī)制安全傳輸層協(xié)議,可能允許攻擊者截取到往在客戶端與服務(wù)器之間傳輸?shù)乃^加密數(shù)據(jù)流量。

該漏洞存在于多個(gè)高人氣網(wǎng)站當(dāng)中,同時(shí)也藏身在包括蘋果Safari瀏覽器以及谷歌Android移動(dòng)操作系統(tǒng)等廣泛存在的程序內(nèi)部,安全專家們指出。各類采用OpenSSL 1.0.1k以及更早版本的應(yīng)用程序也同樣屬于該漏洞的受害對(duì)象,感興趣的朋友可以點(diǎn)擊此處了解詳盡信息。

一位蘋果公司發(fā)言人在本周二指出,iOS與OS X將于下周迎來一系列軟件更新。谷歌方面則表示其已經(jīng)向其各合作伙伴分發(fā)了一款補(bǔ)丁,能夠保護(hù)Android與受影響網(wǎng)站之間的數(shù)據(jù)傳輸連接。

此次曝出的漏洞源自上世紀(jì)九十年代初由美國(guó)政府推動(dòng)的出口限制,其禁止軟件開發(fā)商在面向海外市場(chǎng)出口的產(chǎn)品中加入強(qiáng)大的加密機(jī)制,普林斯頓大學(xué)計(jì)算機(jī)科學(xué)及公共事務(wù)教授Ed Felten在一篇博文中寫道。

這意味著某些公司所運(yùn)行的同一產(chǎn)品的海外版本很可能僅配備安全性較弱的加密密鑰。而當(dāng)這條法律被修改之后,高強(qiáng)度加密機(jī)制的出口也不再受到限制,“然而出口模式特性仍然存在于該協(xié)議當(dāng)中,這是因?yàn)槟承┸浖匀粚?duì)其存在依賴性,”Felten進(jìn)一步補(bǔ)充稱。

該安全缺陷如今已經(jīng)基本被暴露在光天化日之下,這意味著攻擊者可以將連接安全性由強(qiáng)加密降級(jí)至此前較弱的出口級(jí)加密水平。

根據(jù)咨詢意見,采用開源加密機(jī)制OpenSSL的服務(wù)器與設(shè)備同樣有可能遭受攻擊,其中包括大量來自谷歌與蘋果公司的產(chǎn)品、嵌入式系統(tǒng)以及其它產(chǎn)品。采用RSA_EXPORT密碼套件的服務(wù)器或者客戶機(jī)同樣身處風(fēng)險(xiǎn)當(dāng)中。FREAK能夠?qū)SA_EXPORT密鑰進(jìn)行因子分解,并最終將其突破。

這部分密鑰會(huì)受到中間人攻擊活動(dòng)對(duì)于加密連接設(shè)置過程的阻礙性影響而發(fā)生降級(jí)。盡管SSL/TLS協(xié)議當(dāng)中還提供相關(guān)防御機(jī)制以防止篡改活動(dòng),但攻擊者仍然有辦法伺機(jī)繞開。事實(shí)證明,強(qiáng)度較弱的512bit密鑰完全可以被當(dāng)下強(qiáng)大的計(jì)算機(jī)設(shè)備所破解,而相關(guān)數(shù)據(jù)流量也會(huì)被一并解密。

目前的主流協(xié)議采用長(zhǎng)度更高的加密密鑰,現(xiàn)行標(biāo)準(zhǔn)為2048bit RSA。512bit密鑰屬于二十年前的加密標(biāo)準(zhǔn),而且攻擊者完全可以借助公有云服務(wù)的豐富資源輕松將其攻克。

“遙想上世紀(jì)九十年代,512bit密鑰還屬于計(jì)算量巨大的破解對(duì)象,但如今我們?cè)贏mazon EC2上只需要七個(gè)小時(shí)就能完成其解析、而且經(jīng)濟(jì)成本僅為100美元左右,”Felten寫道。

目前各家企業(yè)都在快速行動(dòng),希望及時(shí)修復(fù)這一問題。支持著大量網(wǎng)站的內(nèi)容交付網(wǎng)絡(luò)企業(yè)Akamai公司表示,其已經(jīng)為業(yè)務(wù)網(wǎng)絡(luò)分發(fā)了一款針對(duì)性修復(fù)補(bǔ)丁。

不過Akamai公司的Bill Brener在一篇官方博文中指出,仍有一部分客戶端有可能受到安全影響。

“我們無法對(duì)這些客戶端進(jìn)行修復(fù),但我們可以通過禁用出口密碼機(jī)制來避免這個(gè)問題,”他寫道。“由于這屬于客戶端問題,我們已經(jīng)與客戶方面取得了聯(lián)系,并與他們就此展開應(yīng)對(duì)措施。”

這項(xiàng)安全漏洞是由來自法國(guó)科學(xué)及技術(shù)研究機(jī)構(gòu)INRIA的Karthikeyan Bhargayan以及微軟研究部門所發(fā)現(xiàn)。一篇技術(shù)論文表示,F(xiàn)REAK應(yīng)當(dāng)在今年五月將在加利福尼亞州圣何塞召開的IEEE安全與隱私大會(huì)上得到全面披露。

原文鏈接:http://www.computerworld.com/article/2892592/serious-freak-flaw-could-undermine-the-webs-encryption.html

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)