Trang chủ Security

Triển khai SSL/ TLS chấp nhận export-grade RSA keys (tấn công FREAK)

Triển khai SSL/ TLS chấp nhận export-grade RSA keys (tấn công FREAK)

1. Tổng quan

Một vài triển khai của SSL/ TLS chấp nhận các export-grade RSA keys (512-bit hoặc nhỏ hơn) ngay cả khi không có bất kì yêu cầu cụ thể về mã hóa export-grade nào. 

Điều này đã tạo một cơ hội lớn cho tin tặc (có thể hoạt động như một Man-in-The-Middle, viết tắt: MiTM ) giải mã khóa bí mật của các trang web, giải mã mật khẩu, cookie đăng nhập và các dữ liệu nhạy cảm khác từ kết nối HTTPS. 

Đây chính là tấn công FREAK (viết tắt của: Factoring Attack on RSA-EXPORT Keys).

2. Mô tả

Một vài triển khai của SSL/ TLS chấp nhận các export-grade RSA keys (512-bit hoặc nhỏ hơn) ngay cả khi không có bất kì yêu cầu cụ thể về mã hóa export-grade nào. 

Điều này xảy ra khi một tin tặc MiTM giả danh khách hàng, sau đó yêu cầu mã hóa export-grade, và khách hàng thì lại chấp nhận export-grade key một cách thiếu an toàn. Do đó kẻ tấn công lợi dụng RSA key, sử dụng nó để giải mã các dữ liệu cần thiết khác nhằm tạo ra session key. Từ đây, kẻ tấn công tiếp tục có thể giải mã dữ liệu trong các session.

Bạn có thể tìm hiểu thêm thông tin tại: https://www.smacktls.com/#freak

3. Ảnh hưởng

512-bit "export grade" RSA keys sẽ là nhân tố cho phép kẻ tấn công giải mã tất cả các thông tin được mã hóa bằng những keys đó.

4. Giải pháp

Cập nhập các thư viện và ứng dụng SSL/ TLS

Hiện nay, đa số các nhà cung cấp đang tiến hành phát hiện và sửa lỗi nhằm cung cấp các bản vá cho ứng dụng. 

Các nhà cung cấp đồng thời cũng khuyến cáo những người dùng bị ảnh hưởng, hãy liên hệ với nhà cung cấp phần mềm và nâng cấp lên các bản cập nhật càng sớm càng tốt.

Bạn hãy kiểm tra thông tin nhà cung cấp của mình tại link sau: https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD Reference=243585&SearchOrder=4

Không được cung cấp các mã hóa export-grade

Bạn hãy cấu hình server và các ứng dụng của client không được sử dụng mã hóa export-grade (EC).

Tài liệu tham khảo:

http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html 

https://www.smacktls.com/#freak  

http://cwe.mitre.org/data/definitions/757.html 

http://cwe.mitre.org/data/definitions/326.html 

https://tools.ietf.org/html/rfc4346#appendix-F.1.1.2

Có thể bạn quan tâm: Tìm hiểu về tấn công từ chối dịch vụ (Denial-of-Service Attacks, DoS)

Cảm ơn bạn đã theo dõi. Nếu có bất kì đóng góp và thắc mắc, đừng ngần ngại để lại tại mục comment phía dưới!

Nguồn www.kb.cert.org