FREAK - významná slabina v TLS/SSL

FREAK - významná slabina TLS/SSL

Mezinárodní výzkumný tým vytvořil útok nazvaný FREAK (Factoring attack on RSA Export Keys), umožňující snížení úrovně zabezpečení šifrovaných spojení. Útok je založen na přinucení serveru i klientu k použití historických (jedná se o velmi dlouho existujcí zranitelnost) slabých kryptografických algoritmů, které jsou nicméně některými prohlížeči (mj. Safari a prohlížeč v OS Android založený na OpenSSL) a servery stále podporovány. Po prolomení klíče, který je v důsledku výše uvedeného podstatně slabší, než současný standard, může potencální útočník realizovat man-in-the-middle útok v rámci šifrovaného spojení mezi prohlížečem a serverem. Uvedené algoritmy byly do implementací SSL přidány v době, kdy v důsledku exportních omezení pro kryptografický materiál v USA nebylo možné do dalších států vyvážet všechny kryptografické algoritmy, ale pouze ty pro export určené (slabší). Odkaz na stránky obsahující další informace o potenciálně zranitelných serverech a umožňující testování zranitelnosti klinetského software naleznete zde.