開啟主選單

求真百科

變更

FREAK缺陷

增加 3,091 位元組, 2 年前
rollbackEdits.php mass rollback
{| class="wikitable" style="float:right; margin: -10px 0px 10px 20px; text-align:left"
|<center>'''FREAK缺陷'''<br><img src="https://cdn.unwire.pro/wp-content/uploads/2015/03/ssl-vulnerability-freak-1-600x263.jpg" width="280"></center><small>[https://unwire.pro/2015/03/05/ssl-vulnerability-freak/ 圖片來自unwire]</small>
|}
'''FREAK缺陷'''(全称:'''Factoring RSA Export Keys''','''分解RSA出口级密钥''')是[[传输层安全|SSL/TLS]]<ref>[https://wiki.mbalib.com/zh-tw/%E4%BC%A0%E8%BE%93%E5%B1%82%E5%AE%89%E5%85%A8%E5%8D%8F%E8%AE%AE 传输层安全],mbalib</ref> 协议中的密码学安全缺陷。20世纪90年代,此缺陷随着美国加密出口法规的出台而引入。
 
==概要==
1990年代时,美国对于货物的出口设立了一些规定,从而引入了这个缺陷。规定中指出,美国软件制造商出口的软件只能使用512位及以下的[[RSA加密演算法|RSA]]加密(即所谓的出口级加密)。此举是为了便于[[NSA]]破译加密。时至2015年,随着计算能力的发展,破解这种加密已经不再是政府机构才能做到的事,任何人只要拥有充足的计算资源,就能通过[[普通数域筛选法]]加上约100美元的[[云计算]]服务轻而易举地将其破译。这个缺陷还能和[[中间人攻击]]结合利用,只要先破译网站的512位弱加密,再发动中间人攻击,就能使任何允许使用512位出口级密钥的网站失去安全保障。此漏洞于2015年发现,但从1990年代开始就已经存在。
 
FREAK漏洞由IMDEA、[[法国国家信息与自动化研究所|INRIA]]和[[微软研究院]]的研究人员共同发现。OpenSSL中存在的此漏洞在[[通用漏洞披露|公共漏洞和暴露系统]]中的编号是CVE-2015-0204。
 
受到漏洞影响的软件及设备包括[[苹果公司|苹果]]的[[Safari]]、[[Google]][[安卓]]系统上的默认浏览器,及[[OpenSSL]]。
[[微软]]还表示全版本的[[Windows]]系统上的SChannel传输层加密实现都受到FREAK漏洞影响。
SChannel中存在的漏洞的CVE编号是CVE-2015-1637。
而苹果的安全传输功能中的漏洞的CVE编号是CVE-2015-1067。
 
受到漏洞影响的网站包括美国联邦政府网站fbi.gov、whitehouse.gov、nsa.gov,一个安全团队的测试发现,36%的被测HTTPS网站都受到漏洞影响。根据IP2Location LITE的地理定位,35%的受影响服务器都位于美国。
 
有新闻报导称此漏洞是「潜在的灾难」,是美国政府意图控制加密技术传播的「意外后果|Unintended consequence」。
 
2015|03|03,各软件厂商已在准备发布修复漏洞后的新版本软件。2015年3月9日,苹果发布了[[iOS 8]]及[[OS X]]操作系统的漏洞补丁。2015年3月10日,微软为所有仍在技术支持周期内的Windows系统([[Windows Server 2003]]、[[Vista]]及后续版本)发布了漏洞补丁。[[Google Chrome]] 41和[[Opera]] 28也已采取相应漏洞缓解措施。[[Mozilla Firefox]]不受此漏洞影响。
 
== 參考文獻 ==
{{reflist}}
[[Category: 310 數學總論]]
39,146
次編輯