FREAK - nowa, poważna dziura w SSL/TLS

Kolejny poważny błąd w OpenSSL określany jako FREAK lub SMACK ułatwia łamanie szyfrowanych połączeń zestawianych między komputerami oraz stronami Web. Serwery i urządzenia wykorzystujące OpenSSL są podatne na zagrożenie, dotyczy to m.in. urządzeń Google i Apple.

Eksperci ostrzegają przed poważnym problemem bezpieczeństwa, który pozostawał niewidoczny przez lata. Zagrożenie ma wpływ na szyfrowane połączenia, zestawiane pomiędzy komputerami oraz stronami Web, potencjalnie zmniejszając poziom bezpieczeństwa w sieci Internet. Nowe zagrożenie dotyczy używanego w wielu rozwiązaniach protokołu SSL oraz TLS. Błąd pozwala atakującemu przechwycić szyfrowany ruch, wymieniany pomiędzy klientami a serwerami. Problem dotyczy wielu znanych stron Web, a także oprogramowania części przeglądarek stron internetowych m.in. Apple Safari, czy systemu operacyjnego Google Android. Aplikacje wykorzystujące OpenSSL wcześniejsze niż wersja 1.0.1k także są podatne na błąd (CVE-2015-0204). W dniu 3 marca 2015 Apple ogłosiło, że aktualizacja oprogramowania dla iOS oraz OS X zabezpieczająca przed omawianą podatnością, zostanie udostępniona w przyszłym tygodniu. Google przekazało informację o dystrybucji aktualizacji do partnerów, która będzie chroniła połączenia Android do zagrożonych stron. Większość nowoczesnych przeglądarek nie nawiąże połączenia ze stroną szyfrowaną SSL, jeżeli nie wykryje ochrony w postaci wysokiego poziomu szyfrowania.

Ed Felten - profesor Princeton University - twierdzi, że problem powstał wraz z restrykcjami eksportowymi wprowadzonymi przez rząd USA we wczesnych latach dziewięćdziesiątych ubiegłego wieku. Restrykcje zabraniały producentom oprogramowania i sprzętu, sprzedawać produkty wykorzystujące silne mechanizmy szyfrowania. Dla szyfrowania RSA maksymalna dozwlona wielkość klucza w wersji "eksportowej" stanowiła 512 bitów. Oznaczało to, że niektóre firmy w celu ominięcia ograniczeń eksportowych, sprzedawały specjalne wersje własnych produktów ze słabszymi kluczami szyfrującymi. Gdy prawo zmieniło się, rozpoczął się legalny eksport produktów z mocnym szyfrowaniem, ale funkcjonalności z wcześniejszego trybu "eksportowego" nie zniknęły. Z tego powodu znaczna część wykorzystywanego już oprogramowania i sprzętu nadal używała niebezpiecznych mechanizmów. Głównym powodem była konieczność zapewnienia wstecznej kompatybilności. Zagrożenie pozwala atakującemu przeprowadzić proces "obniżenia" poziomu bezpieczeństwa połączenia poprzez wykorzystanie słabszych metod szyfrowania, zawartych w dawnych mechanizmach "eksportowych". Przykładowy atak może wyglądać następująco: klient OpenSSL kontaktuje się z serwerem TLS i pyta o standardowy klucz RSA. Atakujący przy pomocy MITM wnika w tą komunikacją i prosi serwer o klucz RSA Export-Grade. Gdy serwer odpowie, atakujący MITM przekazuje klucz RSA Export-Grade do klienta. Klient jest podatny na błąd, który pozwala zaakceptować klucz RSA Export-Grade. W tym czasie atakujacy przeprowadza faktoryzację (rozkład na czynniki pierwsze) klucza RSA. Po przeprowadzenie tego procesu możliwe jest deszyfrowanie wszystkich danych wymienianych pomiędzy serwerem a klientem. Serwery i klienci, którzy akceptują opcję RSA Export-Grade są zagrożeni.

Słaby klucz 512-bitowy może zostać złamany z wykorzystaniem mocnych komputerów, a w rezultacie przesyłane dane mogą zostać odszyfrowane. Obecnie wykorzystywane protokoły wykorzystują dłuższe klucze szyfrujące, a standardem jest 2048-bitowy klucz RSA. Klucze 512-bitowe były bezpieczne dwie dekady temu, ale obecnie mogą być dość łatwo odzyskane z wykorzystanie usług chmur publicznych. W latach dziewięćdziesiątych ubiegłego wieku wymagałoby to wykorzystania bardzo dużych mocy obliczeniowych, ale obecnie zajmuje to około siedmiu godzin przy wykorzystaniu Amazon EC2 przy kosztach rzędu 100 USD. Przy dostępnej mocy obliczeniowej możliwe jest złamanie także kluczy 768-bitowych.

Producenci sprzętu i oprogramowania tworzą poprawki. Akamai wspierający znaczącą liczbę stron internetowych przekazał informacje, że wprowadził odpowiednią poprawkę w ramach własnej sieci. Niektórzy klienci Akamai mogą nadal być zagrożeni podatnością, głównie z problemami występującymi po stronie klienta. Jeżeli wykorzystujemy system Linux, koniecznie należy zaktualizować bibliotekę OpenSSL. Zagrożenie zostało odkryte przez Karthikeyan Bhargavan z INRIA oraz Microsoft Research. Dokument techniczny opisujący FREAK zostanie zaprezentowany na majowej konferencji IEEE Security and Privacy w San Jose, Califonia.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200