FREAK – poważna luka w zabezpieczeniach

Eksperci zajmujący się bezpieczeństwem w sieci przestrzegają przed poważną lukach w protokołach SSL i TLS.

Protokoły SSL (Secure Sockets Layer) oraz TLS (Transport Layer Security) są wykorzystywane do szyfrowania danych przesyłanych między klientem a serwerem i mają zapewnić prywatność i poufność przesyłanych informacji.

Niestety, luka o nazwie FREAK, która została niedawno wykryta przez pracowników francuskiego instytutu badawczego INRIA, może sprawić, że jakość zaszyfrowania danych zostanie poważnie obniżona, a tym samym, zostaną one narażone na wyciek. Warto wspomnieć w tym miejscu, że podobną metodę stosuje instalowany na komputerach Lenovo adware Superfish, o którym jest ostatnio głośno.

Na czym dokładnie polega luka? Współcześnie używane protokoły używają do szyfrowania algorytmu RSA 2048-bit. Atak umożliwia "obniżenie" tego do klucza szyfrowania do 512-bit, który stosowany był przed dwudziestoma laty.

Atakiem zagrożeni są użytkownicy przeglądarki Safari, systemu operacyjnego Android, a także aplikacji sieciowych i serwerów używających OpenSSL w wersji starszej niż 1.0.1k.

Jak podaje serwis Kioskea, winę za tę sytuację ponosi rząd USA, który na początku roku 1990 roku wydał dyrektywę zakazującą amerykańskim producentom oprogramowania wysyłania za granicę programów z silnymi kluczami szyfrującymi. W prawdzie dyrektywa ta została już zmieniona i producenci eksportują dziś wyłącznie dobrze chronione oprogramowanie, jednak słabsze zabezpieczenia nadal pozostały w użyciu jako element składowy aplikacji.

Więcej szczegółowych informacji na temat luki FREAK, można znaleźć na tej stronie internetowej.

Zdjęcie: © sxc.hu
Zobacz również