Twoje PC  
Zarejestruj się na Twoje PC
TwojePC.pl | PC | Komputery, nowe technologie, recenzje, testy
M E N U
  0
 » Nowości
0
 » Archiwum
0
 » Recenzje / Testy
0
 » Board
0
 » Rejestracja
0
0
 
Szukaj @ TwojePC
 

w Newsach i na Boardzie
 
TwojePC.pl © 2001 - 2019
Piątek 6 marca 2015 
    

Luka Freak czyli skutek decyzji rządu USA sprzed 25 lat


Autor: EmilM | źródło: Blog Cryptography Engineering | 23:52
(6)
W tym tygodniu została ujawniona luka bezpieczeństwa w protokole SSL i TLS, która może posłużyć do obserwowania ruchu między klientem, a serwerem. Lista przeglądarek podatnych na FREAK ciągle się poszerza. Nie można czuć się bezpiecznie m.in. z przeglądarką Safari, Chrome, nową Operą oraz jakimikolwiek wersjami Internet Explorera. Dotyczy to zarówno wersji desktopowych jak i mobilnych. Wygląda na to, że jedynymi odpornymi na chwilę obecną przeglądarkami są Firefox oraz stara Opera (12 i wcześniej). Co ciekawe, przyczyn powstania owej luki możemy upatrywać jeszcze na początku lat dziewięćdziesiątych.

W tamtym czasie rząd USA wydał dyrektywę, zgodnie z którą rodzimi producenci nie mogli eksportować za granicę oprogramowania, które wykorzystywało zbyt silne techniki szyfrowania. Oczywiście nie trzeba było długo czekać, by ustawa ta została zniesiona, ale szyfrowanie 512-bitowe wciąż pozostało w użyciu jako część składowa aplikacji.

Obecnie protokoły SSL i TLS wykorzystują 2048-bitowy algorytm RSA, który zapewnia wystarczające bezpieczeństwo. Niestety luka FREAK pozwala na wymuszenie szyfrowanego połączenia z wykorzystaniem słabego jak na dzisiejsze czasy 512-bitowego algorytmu, który jest dość łatwy do złamania i to przy użyciu niewielkiej mocy obliczeniowej.

Jak to działa dokładnie? Gdy przeglądarka użytkownika zażąda połączenia z szyfrowanym serwerem, musi wysłać mu informację o najlepszym, obsługiwanym przez nią szyfrowaniu. Możliwe jest jednak spreparowanie tych danych przez napastnika w taki sposób, by połączenie z serwerem zostało nawiązane z użyciem słabszego, 512-bitowego algorytmu, który z użyciem dzisiejszych komputerów jest możliwy do złamania w mniej niż 1 dzień. Po złamaniu takiego klucza, droga do danych użytkownika jest w pełni otwarta.

Oczywiście problem nie dotyczy wszystkich serwerów, jednak co zaskakujące, blisko 40% z nich pozwala na dostęp przy wykorzystaniu mocno przestarzałych i słabych algorytmów RSA.

 

    
K O M E N T A R Z E
    

  1. Cóż... (autor: lcf | data: 7/03/15 | godz.: 00:59)
    Jak ktoś wspierał antyczne ciphery, to ma teraz antyczny poziom zabezpieczeń ;).

  2. wzniesiona (autor: Seba | data: 7/03/15 | godz.: 10:03)
    ustawa ?????????????

  3. ... (autor: Shamoth | data: 7/03/15 | godz.: 22:17)
    640kb is enough ;)

  4. Firefox i stara Opera (autor: ekspert_IT | data: 8/03/15 | godz.: 17:45)
    To są dwie najlepsze przeglądarki. Resztę można pominąć milczeniem :) A na Androida to Dolphin najlepszy (a za nim Opera)!

  5. @04 (autor: KamieniKupa | data: 8/03/15 | godz.: 20:06)
    A co jest dobrego w Chroperze na androida ?

  6. @04 (autor: lcf | data: 9/03/15 | godz.: 01:15)
    Tylko Firefox niestety jest trochę do tyłu z cipherami, w 36 nadal nie ma wsparcia dla ChaCha20-Poly1305. Jak ktoś ma ochotę, to tutaj głos można rzucić:
    https://bugzilla.mozilla.org/..._bug.cgi?id=917571


    
D O D A J   K O M E N T A R Z
    

Aby dodawać komentarze, należy się wpierw zarejestrować, ewentualnie jeśli posiadasz już swoje konto, należy się zalogować.