FREAK - ещё одна атака на TLS
Исследователи из INRIA, IMDEA и Microsoft обнаружили новый тип атаки на SSL/TLS, названный FREAK (Factoring attack on RSA-EXPORT Keys). Злоумышленник может вклиниться в соединение и инициировать ослабление шифрования между клиентом и сервером, что повышает его шансы расшифровать трафик.
Ноги уязвимости (идентификатор CVE-2015–0204) растут из середины XX века, когда в США были приняты ограничения экспорта стойких шифров за пределы страны (длина ключа для симметричного шифрования не могла превышать 56 бит, а для асимметричного — 512 бит). Большинство ограничений были сняты к 2000 году, но некоторые программные продукты до сих пор поддерживают специальный набор шифров RSA_EXPORT, в которых применяется 512-битный ключ RSA. Ключи такой длины давно считаются недостаточно стойкими.
Из-за недостаточной проверки TLS Handshake, злоумышленник может инициировать переключение на RSA_EXPORT (даже если клиент не заявлял о его поддержке), после чего остаётся лишь подобрать ключ RSA-512. На мощностях Amazon EC2 это можно сделать за 7–8 часов. Ключ будет действителен до перезапуска веб-сервера.
Уязвимости подвержены, как клиентские, так и серверные системы, а также разнообразное ПО. В их числе:
OpenSSL (уязвимость исправлена в 0.9.8zd, 1.0.0p и 1.0.1k). устаревшие версии Chrome на Mac OS и Android (выпущено экстренное обновление). Internet Explorer на всех клиентских и серверны версиях Windows (доступен временный костыль). Dolphin, Opera и встроенный браузер на Android. Safari и Opera на OS X. Safari и Dolphin на iOS. Opera на Mac OS и Linux. Blackberry Browser. Firefox проблеме не подвержен, поскольку не использует OpenSSL.
С серверной стороны RSA_EXPORT поддерживается на 36.7% от общего числа сайтов и на 9.7% из миллиона крупнейших сайтов. Создан сервис для проверки своего сайта на наличие уязвимости. Проблема несколько смягчается тем, что многие из вышеуказанных сайтов используют уникальные ключи для каждого клиента.
Источники и подробности:
Описание от исследователей Статья криптографа Мэтью Грина Список серверов, поддерживающих RSA_EXPORT Анализ уязвимых серверов из топа с разбивкой на динамические и статические ключи freak, openssl, легаси такое легаси, уязвимость
