該漏洞的影響范圍包括應(yīng)用范圍廣泛的安全套接層協(xié)議及其繼任機制安全傳輸層協(xié)議。

專家目前正就一項嚴重安全漏洞發(fā)出正式警告，該漏洞顯然已經(jīng)經(jīng)歷了多年潛伏，并有可能削弱往來于計算機及網(wǎng)站之間的加密連接、甚至會給整個互聯(lián)網(wǎng)的安全狀態(tài)帶來潛在威脅。

[[129547]]

這一被稱為FREAK的安全漏洞之影響范圍包括應(yīng)用范圍廣泛的安全套接層協(xié)議及其繼任機制安全傳輸層協(xié)議，可能允許攻擊者截取到往在客戶端與服務(wù)器之間傳輸?shù)乃^加密數(shù)據(jù)流量。

該漏洞存在于多個高人氣網(wǎng)站當中，同時也藏身在包括蘋果Safari瀏覽器以及谷歌Android移動操作系統(tǒng)等廣泛存在的程序內(nèi)部，安全專家們指出。各類采用OpenSSL 1.0.1k以及更早版本的應(yīng)用程序也同樣屬于該漏洞的受害對象，感興趣的朋友可以點擊此處了解詳盡信息。

一位蘋果公司發(fā)言人在本周二指出，iOS與OS X將于下周迎來一系列軟件更新。谷歌方面則表示其已經(jīng)向其各合作伙伴分發(fā)了一款補丁，能夠保護Android與受影響網(wǎng)站之間的數(shù)據(jù)傳輸連接。

此次曝出的漏洞源自上世紀九十年代初由美國政府推動的出口限制，其禁止軟件開發(fā)商在面向海外市場出口的產(chǎn)品中加入強大的加密機制，普林斯頓大學(xué)計算機科學(xué)及公共事務(wù)教授Ed Felten在一篇博文中寫道。

這意味著某些公司所運行的同一產(chǎn)品的海外版本很可能僅配備安全性較弱的加密密鑰。而當這條法律被修改之后，高強度加密機制的出口也不再受到限制，“然而出口模式特性仍然存在于該協(xié)議當中，這是因為某些軟件仍然對其存在依賴性，”Felten進一步補充稱。

該安全缺陷如今已經(jīng)基本被暴露在光天化日之下，這意味著攻擊者可以將連接安全性由強加密降級至此前較弱的出口級加密水平。

根據(jù)咨詢意見，采用開源加密機制OpenSSL的服務(wù)器與設(shè)備同樣有可能遭受攻擊，其中包括大量來自谷歌與蘋果公司的產(chǎn)品、嵌入式系統(tǒng)以及其它產(chǎn)品。采用RSA_EXPORT密碼套件的服務(wù)器或者客戶機同樣身處風險當中。FREAK能夠?qū)SA_EXPORT密鑰進行因子分解，并最終將其突破。

這部分密鑰會受到中間人攻擊活動對于加密連接設(shè)置過程的阻礙性影響而發(fā)生降級。盡管SSL/TLS協(xié)議當中還提供相關(guān)防御機制以防止篡改活動，但攻擊者仍然有辦法伺機繞開。事實證明，強度較弱的512bit密鑰完全可以被當下強大的計算機設(shè)備所破解，而相關(guān)數(shù)據(jù)流量也會被一并解密。

目前的主流協(xié)議采用長度更高的加密密鑰，現(xiàn)行標準為2048bit RSA。512bit密鑰屬于二十年前的加密標準，而且攻擊者完全可以借助公有云服務(wù)的豐富資源輕松將其攻克。

“遙想上世紀九十年代，512bit密鑰還屬于計算量巨大的破解對象，但如今我們在Amazon EC2上只需要七個小時就能完成其解析、而且經(jīng)濟成本僅為100美元左右，”Felten寫道。

目前各家企業(yè)都在快速行動，希望及時修復(fù)這一問題。支持著大量網(wǎng)站的內(nèi)容交付網(wǎng)絡(luò)企業(yè)Akamai公司表示，其已經(jīng)為業(yè)務(wù)網(wǎng)絡(luò)分發(fā)了一款針對性修復(fù)補丁。

不過Akamai公司的Bill Brener在一篇官方博文中指出，仍有一部分客戶端有可能受到安全影響。

“我們無法對這些客戶端進行修復(fù)，但我們可以通過禁用出口密碼機制來避免這個問題，”他寫道。“由于這屬于客戶端問題，我們已經(jīng)與客戶方面取得了聯(lián)系，并與他們就此展開應(yīng)對措施。”

這項安全漏洞是由來自法國科學(xué)及技術(shù)研究機構(gòu)INRIA的Karthikeyan Bhargayan以及微軟研究部門所發(fā)現(xiàn)。一篇技術(shù)論文表示，F(xiàn)REAK應(yīng)當在今年五月將在加利福尼亞州圣何塞召開的IEEE安全與隱私大會上得到全面披露。

原文鏈接：http://www.computerworld.com/article/2892592/serious-freak-flaw-could-undermine-the-webs-encryption.html