FREAK (original) (raw)
FREAK (Factoring RSA Export Keys) est un exploit informatique d'une faiblesse cryptographique dans le protocole SSL/TLS (utilisé, entre autres, dans HTTPS) qui est le résultat de faiblesses délibérés créées il y a des décennies et introduites dans les implémentations des protocoles SSL/TLS pour assurer sa conformité avec les (en).
| Property | Value |
|---|---|
| dbo:abstract | FREAK (Factoring RSA Export Keys) ist eine um 2015 bekannt gewordene kryptographische Sicherheitslücke im SSL- bzw. TLS-Protokoll, das für sichere Verbindungen in Webanwendungen verwendet wird. Betroffen sind solche Systeme, bei denen es einem Angreifer durch Manipulation der übertragenen Daten gelingen kann, die Kommunikationspartner dazu zu bringen, sich beim Aufbau einer verschlüsselten Verbindung auf eine nach heutigen Maßstäben nur schlechte Verschlüsselung zu einigen, obwohl im Prinzip stärkere Verschlüsselung zur Verfügung stünde. Dass die über eine solche Verbindung übertragenen Daten von Unbefugten mit vergleichsweise geringem Aufwand entschlüsselt werden können, ist dabei für Endanwender, die sich in der vermeintlichen Sicherheit einer verschlüsselten Verbindung wiegen, nicht ersichtlich. Das Angriffsszenario existiert, weil viele Implementierungen aus historischen Gründen eine Rückfallprozedur auf eine RSA-Schlüssellänge von nicht mehr als 512 Bits unterstützen. Diese wurde ursprünglich eingebaut, um in den 1990er-Jahren den US-Ausfuhrbestimmungen für kryptografische Produkte zu genügen, die den Export von Produkten, die längere Schlüssel unterstützen, verboten. Damals galt diese Schlüssellänge noch als sicher genug für normale, auch kommerzielle Anwendungen. Längere Schlüssellängen wollte man aus strategischen Gründen Nutzern im Inland vorbehalten (insbesondere dem Militär und Geheimdiensten). Die Sicherheitslücke wurde von Forschern von , INRIA und Microsoft Research aufgedeckt. Sie trägt die CVE-ID CVE-2015-0204. Zu den verwundbaren Desktop- und Smartphone-Anwendungen gehören clientseitig verschiedene Webbrowser einschließlich Chrome (Mac OS, Android), Safari (macOS, iOS), Opera (Mac OS, Linux), Internet Explorer (Windows) sowie die Standard-Browser von Android- und Blackberry-Geräten. Serverseitig sind neben allen Implementierungen, die die oben beschriebene Herabstufung unterstützen, auch OpenSSL und verschiedene andere Produkte betroffen, daneben auch viele Endgeräte mit Netzwerkfunktionen. Zum Teil stehen schon Sicherheits-Patches zur Verfügung oder sollen in Kürze für aktuelle Produkte bereitgestellt werden. (de) FREAK ("Factoring RSA Export Keys") is a security exploit of a cryptographic weakness in the SSL/TLS protocols introduced decades earlier for compliance with U.S. cryptography export regulations. These involved limiting exportable software to use only public key pairs with RSA moduli of 512 bits or less (so-called RSA_EXPORT keys), with the intention of allowing them to be broken easily by the National Security Agency (NSA), but not by other organizations with lesser computing resources. However, by the early 2010s, increases in computing power meant that they could be broken by anyone with access to relatively modest computing resources using the well-known Number Field Sieve algorithm, using as little as $100 of cloud computing services. Combined with the ability of a man-in-the-middle attack to manipulate the initial cipher suite negotiation between the endpoints in the connection and the fact that the Finished hash only depended on the master secret, this meant that a man-in-the-middle attack with only a modest amount of computation could break the security of any website that allowed the use of 512-bit export-grade keys. While the exploit was only discovered in 2015, its underlying vulnerabilities had been present for many years, dating back to the 1990s. (en) FREAK (Factoring RSA Export Keys) est un exploit informatique d'une faiblesse cryptographique dans le protocole SSL/TLS (utilisé, entre autres, dans HTTPS) qui est le résultat de faiblesses délibérés créées il y a des décennies et introduites dans les implémentations des protocoles SSL/TLS pour assurer sa conformité avec les (en). (fr) FREAK (Factoring RSA-EXPORT Keys) è una criticità che affligge i protocolli di sicurezza TLS/SSL, andando a colpire le comunicazioni crittografate di qualsiasi sistema operativo. (it) FREAK ("Factoring RSA Export Keys")とはSSL/TLSの脆弱性を突いたセキュリティエクスプロイトである。アメリカ合衆国からの暗号の輸出規制により導入された弱い暗号と、サーバ側・クライアント側の不適切な実装により、中間者攻撃を成立させることができる。 (ja) FREAK (англ. Factoring RSA Export Keys) — уязвимость в реализации TLS/SSL. Уязвимость заключается в недостаточной проверке при выполнении TLS Handshake на стороне клиента, что приводит к возможности понизить шифрование во время выполнения атаки «человек посередине» до использования 512-битных ключей RSA (RSA_EXPORT ключи), которые могут быть подобраны злоумышленником в течение нескольких часов. Уязвимость была найдена в 2015 году, а сама ошибка существовала с 1990-х. (ru) FREAK缺陷(全称:Factoring RSA Export Keys,中文:分解RSA出口级密钥)是SSL/TLS协议中的密码学安全缺陷。20世纪90年代,此缺陷随着美国加密出口法规的出台而引入。 (zh) FREAK (англ. Factoring RSA Export Keys) — вразливість в реалізації TLS/SSL. Уразливість полягає в недостатній перевірці при виконанні TLS Handshake на стороні клієнта, що призводить до можливості знизити шифрування під час виконання атаки «людина посередині» до використання 512-бітних ключів RSA (RSA_EXPORT ключі), які можуть бути підібрані зловмисником протягом декількох годин.Уразливість була знайдена в 2015 році, а сама помилка існувала з 1990-х. (uk) |
| dbo:wikiPageExternalLink | http://www.sitemeer.com/ https://infogr.am/https_sites_that_support_rsa_export_suites https://tools.keycdn.com/freak/ https://www.smacktls.com/ https://archive.is/20150315074900/http:/www.sitemeer.com/ https://web.archive.org/web/20150304002021/https:/freakattack.com/ |
| dbo:wikiPageID | 45569025 (xsd:integer) |
| dbo:wikiPageLength | 8646 (xsd:nonNegativeInteger) |
| dbo:wikiPageRevisionID | 1122482083 (xsd:integer) |
| dbo:wikiPageWikiLink | dbr:BEAST_(computer_security) dbr:BREACH_(security_exploit) dbr:Safari_(web_browser) dbr:Google dbr:Google_Chrome dbr:Mozilla_Firefox dbr:Android_(operating_system) dbr:Apple_Inc. dbr:Cloud_computing dbr:Transport_Layer_Security dbc:2015_in_computing dbr:Transport_layer_security dbr:Logjam_(computer_security) dbc:Cryptographic_attacks dbr:POODLE dbr:Internet_Explorer dbc:Web_security_exploits dbc:Transport_Layer_Security dbr:IMDEA_Software_Institute dbr:INRIA dbr:IOS_8 dbr:Microsoft dbr:Microsoft_Research dbr:Microsoft_Windows dbr:National_Security_Agency dbr:OS_X dbr:OpenSSL dbr:Opera_(web_browser) dbr:RSA_(cryptosystem) dbr:CRIME_(security_exploit) dbr:Man-in-the-middle_attack dbr:Security_Support_Provider_Interface dbr:Server-Gated_Cryptography dbr:Export_of_cryptography_from_the_United_States dbr:Schannel dbr:Unintended_consequence dbr:RSA_EXPORT dbr:Public_key_pair dbr:Number_Field_Sieve dbr:Security_exploit |
| dbp:affectedSoftware | Client TLS libraries (en) |
| dbp:cve | , , (en) |
| dbp:date | 2015-03-15 (xsd:date) |
| dbp:discovered | 2015-03-03 (xsd:date) |
| dbp:discoverer | dbr:IMDEA_Software_Institute dbr:INRIA dbr:Microsoft_Research |
| dbp:name | FREAK (en) |
| dbp:url | https://archive.is/20150315074900/http:/www.sitemeer.com/ |
| dbp:wikiPageUsesTemplate | dbt:Infobox_bug dbt:CVE dbt:About dbt:As_of dbt:Reflist dbt:Short_description dbt:Start_date_and_age dbt:Webarchive dbt:SSL/TLS |
| dct:subject | dbc:2015_in_computing dbc:Cryptographic_attacks dbc:Web_security_exploits dbc:Transport_Layer_Security |
| gold:hypernym | dbr:Security |
| rdf:type | dbo:Organisation |
| rdfs:comment | FREAK (Factoring RSA Export Keys) est un exploit informatique d'une faiblesse cryptographique dans le protocole SSL/TLS (utilisé, entre autres, dans HTTPS) qui est le résultat de faiblesses délibérés créées il y a des décennies et introduites dans les implémentations des protocoles SSL/TLS pour assurer sa conformité avec les (en). (fr) FREAK (Factoring RSA-EXPORT Keys) è una criticità che affligge i protocolli di sicurezza TLS/SSL, andando a colpire le comunicazioni crittografate di qualsiasi sistema operativo. (it) FREAK ("Factoring RSA Export Keys")とはSSL/TLSの脆弱性を突いたセキュリティエクスプロイトである。アメリカ合衆国からの暗号の輸出規制により導入された弱い暗号と、サーバ側・クライアント側の不適切な実装により、中間者攻撃を成立させることができる。 (ja) FREAK (англ. Factoring RSA Export Keys) — уязвимость в реализации TLS/SSL. Уязвимость заключается в недостаточной проверке при выполнении TLS Handshake на стороне клиента, что приводит к возможности понизить шифрование во время выполнения атаки «человек посередине» до использования 512-битных ключей RSA (RSA_EXPORT ключи), которые могут быть подобраны злоумышленником в течение нескольких часов. Уязвимость была найдена в 2015 году, а сама ошибка существовала с 1990-х. (ru) FREAK缺陷(全称:Factoring RSA Export Keys,中文:分解RSA出口级密钥)是SSL/TLS协议中的密码学安全缺陷。20世纪90年代,此缺陷随着美国加密出口法规的出台而引入。 (zh) FREAK (англ. Factoring RSA Export Keys) — вразливість в реалізації TLS/SSL. Уразливість полягає в недостатній перевірці при виконанні TLS Handshake на стороні клієнта, що призводить до можливості знизити шифрування під час виконання атаки «людина посередині» до використання 512-бітних ключів RSA (RSA_EXPORT ключі), які можуть бути підібрані зловмисником протягом декількох годин.Уразливість була знайдена в 2015 році, а сама помилка існувала з 1990-х. (uk) FREAK (Factoring RSA Export Keys) ist eine um 2015 bekannt gewordene kryptographische Sicherheitslücke im SSL- bzw. TLS-Protokoll, das für sichere Verbindungen in Webanwendungen verwendet wird. Betroffen sind solche Systeme, bei denen es einem Angreifer durch Manipulation der übertragenen Daten gelingen kann, die Kommunikationspartner dazu zu bringen, sich beim Aufbau einer verschlüsselten Verbindung auf eine nach heutigen Maßstäben nur schlechte Verschlüsselung zu einigen, obwohl im Prinzip stärkere Verschlüsselung zur Verfügung stünde. Dass die über eine solche Verbindung übertragenen Daten von Unbefugten mit vergleichsweise geringem Aufwand entschlüsselt werden können, ist dabei für Endanwender, die sich in der vermeintlichen Sicherheit einer verschlüsselten Verbindung wiegen, nicht ers (de) FREAK ("Factoring RSA Export Keys") is a security exploit of a cryptographic weakness in the SSL/TLS protocols introduced decades earlier for compliance with U.S. cryptography export regulations. These involved limiting exportable software to use only public key pairs with RSA moduli of 512 bits or less (so-called RSA_EXPORT keys), with the intention of allowing them to be broken easily by the National Security Agency (NSA), but not by other organizations with lesser computing resources. However, by the early 2010s, increases in computing power meant that they could be broken by anyone with access to relatively modest computing resources using the well-known Number Field Sieve algorithm, using as little as $100 of cloud computing services. Combined with the ability of a man-in-the-middle a (en) |
| rdfs:label | FREAK (de) FREAK (en) FREAK (it) FREAK (faille informatique) (fr) FREAK (ja) FREAK (ru) FREAK (uk) FREAK缺陷 (zh) |
| owl:sameAs | freebase:FREAK wikidata:FREAK dbpedia-de:FREAK dbpedia-fr:FREAK dbpedia-it:FREAK dbpedia-ja:FREAK dbpedia-ru:FREAK dbpedia-uk:FREAK dbpedia-zh:FREAK https://global.dbpedia.org/id/rPzs |
| prov:wasDerivedFrom | wikipedia-en:FREAK?oldid=1122482083&ns=0 |
| foaf:isPrimaryTopicOf | wikipedia-en:FREAK |
| is dbo:wikiPageDisambiguates of | dbr:Freak_(disambiguation) |
| is dbo:wikiPageRedirects of | dbr:FREAK_(security_exploit) dbr:CVE-2015-0204 dbr:FREAK_attack dbr:FREAK_exploit dbr:FREAK_vulnerability dbr:Factoring_RSA_Export_Keys dbr:CVE-2015-1067 dbr:CVE-2015-1637 |
| is dbo:wikiPageWikiLink of | dbr:FREAK_(security_exploit) dbr:Freak_(disambiguation) dbr:UC_Browser dbr:J._Alex_Halderman dbr:CVE-2015-0204 dbr:FREAK_attack dbr:FREAK_exploit dbr:FREAK_vulnerability dbr:Factoring_RSA_Export_Keys dbr:CVE-2015-1067 dbr:CVE-2015-1637 dbr:Server-Gated_Cryptography dbr:Export_of_cryptography_from_the_United_States dbr:Restrictions_on_the_import_of_cryptography |
| is foaf:primaryTopic of | wikipedia-en:FREAK |