www.wikidata.de-de.nina.az

FREAK Dieser Artikel handelt von der Web Sicherheitslücke weitere Bedeutungen sind unter Freak Begriffsklärung aufgeführ

FREAK

FREAK (Factoring RSA Export Keys) ist eine um 2015 bekannt gewordene kryptographische Sicherheitslücke im SSL- bzw. TLS-Protokoll, das für sichere Verbindungen in Webanwendungen verwendet wird.

Betroffen sind solche Systeme, bei denen es einem Angreifer durch Manipulation der übertragenen Daten gelingen kann, die Kommunikationspartner dazu zu bringen, sich beim Aufbau einer verschlüsselten Verbindung auf eine nach heutigen Maßstäben nur schlechte Verschlüsselung zu einigen, obwohl im Prinzip stärkere Verschlüsselung zur Verfügung stünde. Dass die über eine solche Verbindung übertragenen Daten von Unbefugten mit vergleichsweise geringem Aufwand entschlüsselt werden können, ist dabei für Endanwender, die sich in der vermeintlichen Sicherheit einer verschlüsselten Verbindung wiegen, nicht ersichtlich.

Das Angriffsszenario existiert, weil viele Implementierungen aus historischen Gründen eine Rückfallprozedur auf eine RSA-Schlüssellänge von nicht mehr als 512 Bits unterstützen. Diese wurde ursprünglich eingebaut, um in den 1990er-Jahren den US-Ausfuhrbestimmungen für kryptografische Produkte zu genügen, die den Export von Produkten, die längere Schlüssel unterstützen, verboten (RSA Export-Schlüssellängen). Damals galt diese Schlüssellänge noch als sicher genug für normale, auch kommerzielle Anwendungen. Längere Schlüssellängen wollte man aus strategischen Gründen Nutzern im Inland vorbehalten (insbesondere dem Militär und Geheimdiensten).

Die Sicherheitslücke wurde von Forschern von IMDEA, INRIA und Microsoft Research aufgedeckt. Sie trägt die CVE-ID CVE-2015-0204.

Zu den verwundbaren Desktop- und Smartphone-Anwendungen gehören clientseitig verschiedene Webbrowser einschließlich Chrome (Mac OS, Android), Safari (macOS, iOS), Opera (Mac OS, Linux), Internet Explorer (Windows) sowie die Standard-Browser von Android- und Blackberry-Geräten. Serverseitig sind neben allen Implementierungen, die die oben beschriebene Herabstufung unterstützen, auch OpenSSL und verschiedene andere Produkte betroffen, daneben auch viele Endgeräte mit Netzwerkfunktionen.

Zum Teil stehen schon Sicherheits-Patches zur Verfügung oder sollen in Kürze für aktuelle Produkte bereitgestellt werden.

Siehe auch Bearbeiten

  • Logjam-Angriff (Ausnutzung von exporttauglichen Diffie-Hellman-Cipher-Suites)

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. CVE-2015-0204 bei MITRE (englisch)
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Dieser Artikel handelt von der Web Sicherheitslucke weitere Bedeutungen sind unter Freak Begriffsklarung aufgefuhrt FREAK Factoring RSA Export Keys ist eine um 2015 bekannt gewordene kryptographische Sicherheitslucke im SSL bzw TLS Protokoll das fur sichere Verbindungen in Webanwendungen verwendet wird Betroffen sind solche Systeme bei denen es einem Angreifer durch Manipulation der ubertragenen Daten gelingen kann die Kommunikationspartner dazu zu bringen sich beim Aufbau einer verschlusselten Verbindung auf eine nach heutigen Massstaben nur schlechte Verschlusselung zu einigen obwohl im Prinzip starkere Verschlusselung zur Verfugung stunde Dass die uber eine solche Verbindung ubertragenen Daten von Unbefugten mit vergleichsweise geringem Aufwand entschlusselt werden konnen ist dabei fur Endanwender die sich in der vermeintlichen Sicherheit einer verschlusselten Verbindung wiegen nicht ersichtlich Das Angriffsszenario existiert weil viele Implementierungen aus historischen Grunden eine Ruckfallprozedur auf eine RSA Schlussellange von nicht mehr als 512 Bits unterstutzen Diese wurde ursprunglich eingebaut um in den 1990er Jahren den US Ausfuhrbestimmungen fur kryptografische Produkte zu genugen die den Export von Produkten die langere Schlussel unterstutzen verboten RSA Export Schlussellangen Damals galt diese Schlussellange noch als sicher genug fur normale auch kommerzielle Anwendungen Langere Schlussellangen wollte man aus strategischen Grunden Nutzern im Inland vorbehalten insbesondere dem Militar und Geheimdiensten Die Sicherheitslucke wurde von Forschern von IMDEA INRIA und Microsoft Research aufgedeckt Sie tragt die CVE ID CVE 2015 0204 1 Zu den verwundbaren Desktop und Smartphone Anwendungen gehoren clientseitig verschiedene Webbrowser einschliesslich Chrome Mac OS Android Safari macOS iOS Opera Mac OS Linux Internet Explorer Windows sowie die Standard Browser von Android und Blackberry Geraten Serverseitig sind neben allen Implementierungen die die oben beschriebene Herabstufung unterstutzen auch OpenSSL und verschiedene andere Produkte betroffen daneben auch viele Endgerate mit Netzwerkfunktionen Zum Teil stehen schon Sicherheits Patches zur Verfugung oder sollen in Kurze fur aktuelle Produkte bereitgestellt werden Siehe auch BearbeitenLogjam Angriff Ausnutzung von exporttauglichen Diffie Hellman Cipher Suites Weblinks Bearbeitenfreakattack com sitemeer com smacktls com infogr amEinzelnachweise Bearbeiten CVE 2015 0204 bei MITRE englisch Abgerufen von https de wikipedia org w index php title FREAK amp oldid 235760828