Wie heute auf Golem.de mitgeteilt wurde, hat ein Team des französischen Forschungsinstituts im Rahmen des Projektes Smack Inira bei der Untersuchung von TLS Implementierungen zwei neue Sicherheitslücken gefunden. Verwundbare Systeme wie z.B. Apple-Systeme akzeptieren einen schwachen temporären 512-Bit RSA Schlüssel. Theoretisch ist das Risiko für so einen Angriff gering, da der Schlüssel für den Angriff fast in Echtzeit dechiffriert werden muss,jedoch speichert z.B. Apache den Schlüssel für die Dauer eines gesamten Serverprozesses. Hinzu kommt, dass sich diese schwachen 512-Bit RSA Schlüssel nachgewiesen maßen binnen 7 Minuten knacken lassen, wodurch die notwendige Zeit für einen Angriff gegeben ist.
Weitere Informationen zu der Sicherheitslücke sind auch unter freakattack.com zu finden.
Um seinen eigenen Webserver auf die Verwundbarkeit hin zu testen, hat Devin EGAN ein Bash-Skript zur Verfügung gestellt.
Weitere Quellen
- A Few Thoughts on Cryptographic Engineering
- The Freak Attack SSL/TLS Vulnerability (freakattack.com)
Nachtrag vom 11.03.2014
Bei den Kollegen von sys4.de bin ich gerade auf zwei Einträge gestoßen, wie man Postfix und Dovecot gegen die FREAK Atacke absichert.