fbpx
维基百科

FREAK缺陷

二月 06, 2023

FREAK缺陷(全称:Factoring RSA Export Keys,中文:分解RSA出口级密钥)是SSL/TLS协议中的密码学安全缺陷。20世纪90年代,此缺陷随着美国加密出口法规的出台而引入。

概要

1990年代时,美国对于货物的出口设立了一些规定,从而引入了这个缺陷。规定中指出,美国软件制造商出口的软件只能使用512位及以下的RSA加密(即所谓的出口级加密)。此举是为了便于NSA破译加密。时至2015年,随着计算能力的发展,破解这种加密已经不再是政府机构才能做到的事,任何人只要拥有充足的计算资源,就能通过普通数域筛选法加上约100美元的云计算服务轻而易举地将其破译。这个缺陷还能和中间人攻击结合利用,只要先破译网站的512位弱加密,再发动中间人攻击,就能使任何允许使用512位出口级密钥的网站失去安全保障。此漏洞于2015年发现,但从1990年代开始就已经存在。

FREAK漏洞由IMDEA、INRIA微软研究院的研究人员共同发现。[1] OpenSSL中存在的此漏洞在公共漏洞和暴露系统中的编号是CVE-2015-0204。[2]

受到漏洞影响的软件及设备包括苹果SafariGoogle安卓系统上的默认浏览器,及OpenSSL[3][1] 微软还表示全版本的Windows系统上的SChannel传输层加密实现都受到FREAK漏洞影响。[4]SChannel中存在的漏洞的CVE编号是CVE-2015-1637。[5] 而苹果的安全传输功能中的漏洞的CVE编号是CVE-2015-1067。[6]

受到漏洞影响的网站包括美国联邦政府网站fbi.gov、whitehouse.gov、nsa.gov,[7] 一个安全团队的测试发现,36%的被测HTTPS网站都受到漏洞影响。[8] 根据IP2Location LITE的地理定位,35%的受影响服务器都位于美国。[9]

有新闻报导称此漏洞是「潜在的灾难」,[10]是美国政府意图控制加密技术传播的「意外后果英语Unintended consequence」。[7]

截至2015年3月3日 (2015-03-03),各软件厂商已在准备发布修复漏洞后的新版本软件。[7][8] 2015年3月9日,苹果发布了iOS 8OS X操作系统的漏洞补丁。[11][12] 2015年3月10日,微软为所有仍在技术支持周期内的Windows系统(Windows Server 2003Vista及后续版本)发布了漏洞补丁。[13] Google Chrome 41和Opera 28也已采取相应漏洞缓解措施。[14] Mozilla Firefox不受此漏洞影响。

参见

参考来源

  1. ^ 1.0 1.1 Steven J. Vaughan-Nichols. FREAK: Another day, another serious SSL security hole. ZDNet. 2015-03-03 [2015-03-05]. (原始内容于2015-03-06). 
  2. ^ Vulnerability Summary for CVE-2015-0204. NIST. 20 February 2015 [2015-03-05]. (原始内容于2015-03-05). 
  3. ^ Thomas Fox-Brewster. What The FREAK? Why Android And iPhone Users Need To Pay Attention To The Latest Hot Vulnerability. Forbes. 2015-03-03 [2015-03-05]. (原始内容于2015-03-06). 
  4. ^ Darren Pauli. All Microsoft Windows versions are vulnerable to FREAK. The Register. 6 March 2015 [2015-03-07]. (原始内容于2015-03-07). 
  5. ^ Microsoft Security Advisory 3046015: Vulnerability in Schannel Could Allow Security Feature Bypass. Microsoft. March 5, 2015 [2015-03-07]. (原始内容于2015-03-09). 
  6. ^ 存档副本. [2015-03-14]. (原始内容于2015-03-09). 
  7. ^ 7.0 7.1 7.2 Craig Timberg. ‘FREAK’ flaw undermines security for Apple and Google users, researchers discover. Washington Post. 2015-03-03 [2015-03-05]. (原始内容于2015-03-04). 
  8. ^ 8.0 8.1 Dennis Fisher. New FREAK Attack Threatens Many SSL Clients. Threatpost. 2015-03-03 [2015-03-05]. (原始内容于2015-03-06). 
  9. ^ FREAK Servers By Country. 2015-03-03 [2015-03-05]. (原始内容于2015-04-02). 
  10. ^ Dan Goodin. "FREAK" flaw in Android and Apple devices cripples HTTPS crypto protection. Ars Technica. 3 March 2015 [2015-03-05]. (原始内容于2015-03-04). 
  11. ^ About Security Update 2015-002. Apple. March 9, 2015 [2015-03-14]. (原始内容于2019-10-16). 
  12. ^ About the security content of iOS 8.2. Apple. March 9, 2015 [2015-03-14]. (原始内容于2019-10-16). 
  13. ^ Microsoft Security Bulletin MS15-031 - Important. Microsoft. March 10, 2015 [2015-03-14]. (原始内容于2015-03-15). 
  14. ^ 存档副本. [2015-03-05]. (原始内容于2015-03-11). 

外部链接

二月 06, 2023
freak缺陷, 全称, factoring, export, keys, 中文, 分解rsa出口级密钥, 是ssl, tls协议中的密码学安全缺陷, 20世纪90年代, 此缺陷随着美国加密出口法规的出台而引入, 目录, 概要, 参见, 参考来源, 外部链接概要, 编辑1990年代时, 美国对于货物的出口设立了一些规定, 从而引入了这个缺陷, 规定中指出, 美国软件制造商出口的软件只能使用512位及以下的rsa加密, 即所谓的出口级加密, 此举是为了便于nsa破译加密, 时至2015年, 随着计算能力的发展, 破解. FREAK缺陷 全称 Factoring RSA Export Keys 中文 分解RSA出口级密钥 是SSL TLS协议中的密码学安全缺陷 20世纪90年代 此缺陷随着美国加密出口法规的出台而引入 目录 1 概要 2 参见 3 参考来源 4 外部链接概要 编辑1990年代时 美国对于货物的出口设立了一些规定 从而引入了这个缺陷 规定中指出 美国软件制造商出口的软件只能使用512位及以下的RSA加密 即所谓的出口级加密 此举是为了便于NSA破译加密 时至2015年 随着计算能力的发展 破解这种加密已经不再是政府机构才能做到的事 任何人只要拥有充足的计算资源 就能通过普通数域筛选法加上约100美元的云计算服务轻而易举地将其破译 这个缺陷还能和中间人攻击结合利用 只要先破译网站的512位弱加密 再发动中间人攻击 就能使任何允许使用512位出口级密钥的网站失去安全保障 此漏洞于2015年发现 但从1990年代开始就已经存在 FREAK漏洞由IMDEA INRIA和微软研究院的研究人员共同发现 1 OpenSSL中存在的此漏洞在公共漏洞和暴露系统中的编号是CVE 2015 0204 2 受到漏洞影响的软件及设备包括苹果的Safari Google安卓系统上的默认浏览器 及OpenSSL 3 1 微软还表示全版本的Windows系统上的SChannel传输层加密实现都受到FREAK漏洞影响 4 SChannel中存在的漏洞的CVE编号是CVE 2015 1637 5 而苹果的安全传输功能中的漏洞的CVE编号是CVE 2015 1067 6 受到漏洞影响的网站包括美国联邦政府网站fbi gov whitehouse gov nsa gov 7 一个安全团队的测试发现 36 的被测HTTPS网站都受到漏洞影响 8 根据IP2Location LITE的地理定位 35 的受影响服务器都位于美国 9 有新闻报导称此漏洞是 潜在的灾难 10 是美国政府意图控制加密技术传播的 意外后果 英语 Unintended consequence 7 截至2015年3月3日 2015 03 03 update 各软件厂商已在准备发布修复漏洞后的新版本软件 7 8 2015年3月9日 苹果发布了iOS 8及OS X操作系统的漏洞补丁 11 12 2015年3月10日 微软为所有仍在技术支持周期内的Windows系统 Windows Server 2003 Vista及后续版本 发布了漏洞补丁 13 Google Chrome 41和Opera 28也已采取相应漏洞缓解措施 14 Mozilla Firefox不受此漏洞影响 参见 编辑贵宾犬漏洞参考来源 编辑 1 0 1 1 Steven J Vaughan Nichols FREAK Another day another serious SSL security hole ZDNet 2015 03 03 2015 03 05 原始内容存档于2015 03 06 Vulnerability Summary for CVE 2015 0204 NIST 20 February 2015 2015 03 05 原始内容存档于2015 03 05 Thomas Fox Brewster What The FREAK Why Android And iPhone Users Need To Pay Attention To The Latest Hot Vulnerability Forbes 2015 03 03 2015 03 05 原始内容存档于2015 03 06 Darren Pauli All Microsoft Windows versions are vulnerable to FREAK The Register 6 March 2015 2015 03 07 原始内容存档于2015 03 07 Microsoft Security Advisory 3046015 Vulnerability in Schannel Could Allow Security Feature Bypass Microsoft March 5 2015 2015 03 07 原始内容存档于2015 03 09 存档副本 2015 03 14 原始内容存档于2015 03 09 7 0 7 1 7 2 Craig Timberg FREAK flaw undermines security for Apple and Google users researchers discover Washington Post 2015 03 03 2015 03 05 原始内容存档于2015 03 04 8 0 8 1 Dennis Fisher New FREAK Attack Threatens Many SSL Clients Threatpost 2015 03 03 2015 03 05 原始内容存档于2015 03 06 FREAK Servers By Country 2015 03 03 2015 03 05 原始内容存档于2015 04 02 Dan Goodin FREAK flaw in Android and Apple devices cripples HTTPS crypto protection Ars Technica 3 March 2015 2015 03 05 原始内容存档于2015 03 04 About Security Update 2015 002 Apple March 9 2015 2015 03 14 原始内容存档于2019 10 16 About the security content of iOS 8 2 Apple March 9 2015 2015 03 14 原始内容存档于2019 10 16 Microsoft Security Bulletin MS15 031 Important Microsoft March 10 2015 2015 03 14 原始内容存档于2015 03 15 存档副本 2015 03 05 原始内容存档于2015 03 11 外部链接 编辑https www smacktls com 页面存档备份 存于互联网档案馆 https www freakattack com 页面存档备份 存于互联网档案馆 https infogr am https sites that support rsa export suites 页面存档备份 存于互联网档案馆 取自 https zh wikipedia org w index php title FREAK缺陷 amp oldid 63366777, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。