|
TwojePC.pl © 2001 - 2024
|
 |
Piątek 6 marca 2015 |
 |
| |
|
Luka Freak czyli skutek decyzji rządu USA sprzed 25 lat
Autor: EmilM | źródło: Blog Cryptography Engineering | 23:52 |
(6) |  W tym tygodniu została ujawniona luka bezpieczeństwa w protokole SSL i TLS, która może posłużyć do obserwowania ruchu między klientem, a serwerem. Lista przeglądarek podatnych na FREAK ciągle się poszerza. Nie można czuć się bezpiecznie m.in. z przeglądarką Safari, Chrome, nową Operą oraz jakimikolwiek wersjami Internet Explorera. Dotyczy to zarówno wersji desktopowych jak i mobilnych. Wygląda na to, że jedynymi odpornymi na chwilę obecną przeglądarkami są Firefox oraz stara Opera (12 i wcześniej). Co ciekawe, przyczyn powstania owej luki możemy upatrywać jeszcze na początku lat dziewięćdziesiątych.
W tamtym czasie rząd USA wydał dyrektywę, zgodnie z którą rodzimi producenci nie mogli eksportować za granicę oprogramowania, które wykorzystywało zbyt silne techniki szyfrowania. Oczywiście nie trzeba było długo czekać, by ustawa ta została zniesiona, ale szyfrowanie 512-bitowe wciąż pozostało w użyciu jako część składowa aplikacji.
Obecnie protokoły SSL i TLS wykorzystują 2048-bitowy algorytm RSA, który zapewnia wystarczające bezpieczeństwo. Niestety luka FREAK pozwala na wymuszenie szyfrowanego połączenia z wykorzystaniem słabego jak na dzisiejsze czasy 512-bitowego algorytmu, który jest dość łatwy do złamania i to przy użyciu niewielkiej mocy obliczeniowej.
Jak to działa dokładnie? Gdy przeglądarka użytkownika zażąda połączenia z szyfrowanym serwerem, musi wysłać mu informację o najlepszym, obsługiwanym przez nią szyfrowaniu. Możliwe jest jednak spreparowanie tych danych przez napastnika w taki sposób, by połączenie z serwerem zostało nawiązane z użyciem słabszego, 512-bitowego algorytmu, który z użyciem dzisiejszych komputerów jest możliwy do złamania w mniej niż 1 dzień. Po złamaniu takiego klucza, droga do danych użytkownika jest w pełni otwarta.
Oczywiście problem nie dotyczy wszystkich serwerów, jednak co zaskakujące, blisko 40% z nich pozwala na dostęp przy wykorzystaniu mocno przestarzałych i słabych algorytmów RSA. |
| |
|
|
|
|
|
 |
 |
|
|
|
K O M E N T A R Z E |
 |
| |
|
- Cóż... (autor: lcf | data: 7/03/15 | godz.: 00:59)
Jak ktoś wspierał antyczne ciphery, to ma teraz antyczny poziom zabezpieczeń ;).
- wzniesiona (autor: Seba | data: 7/03/15 | godz.: 10:03)
ustawa ?????????????
- ... (autor: Shamoth | data: 7/03/15 | godz.: 22:17)
640kb is enough ;)
- Firefox i stara Opera (autor: ekspert_IT | data: 8/03/15 | godz.: 17:45)
To są dwie najlepsze przeglądarki. Resztę można pominąć milczeniem :) A na Androida to Dolphin najlepszy (a za nim Opera)!
- @04 (autor: KamieniKupa | data: 8/03/15 | godz.: 20:06)
A co jest dobrego w Chroperze na androida ?
- @04 (autor: lcf | data: 9/03/15 | godz.: 01:15)
Tylko Firefox niestety jest trochę do tyłu z cipherami, w 36 nadal nie ma wsparcia dla ChaCha20-Poly1305. Jak ktoś ma ochotę, to tutaj głos można rzucić:
https://bugzilla.mozilla.org/..._bug.cgi?id=917571
|
|
|
|
|
|
|
|
|
D O D A J K O M E N T A R Z |
|
| |
|
Aby dodawać komentarze, należy się wpierw zarejestrować, ewentualnie jeśli posiadasz już swoje konto, należy się zalogować.
|
|
|
|
|
|
|
|
|
|
