FREAK ("Factoring RSA Export Keys") is a security exploit of a cryptographic weakness in the SSL/TLS protocols introduced decades earlier for compliance with U.S. cryptography export regulations. These involved limiting exportable software to use only public key pairs with RSA moduli of 512 bits or less (so-called RSA_EXPORT keys), with the intention of allowing them to be broken easily by the NSA, but not by other organizations with lesser computing resources. However, by the early 2010s, increases in computing power meant that they could be broken by anyone with access to relatively modest computing resources using the well-known Number Field Sieve algorithm, using as little as $100 of cloud computing services. Combined with the ability of a man-in-the-middle to manipulate the initial ci

Property Value
dbo:abstract
  • Bei der sogenannten FREAK-Sicherheitslücke (FREAK für engl. "Factoring RSA Export Keys") handelt es sich um eine 2015 bekannt gewordene kryptographische Schwachstelle im SSL- bzw. TLS-Protokoll, das für sichere Verbindungen in Webanwendungen verwendet wird. Betroffen sind solche Systeme, bei denen es einem Angreifer durch Manipulation der übertragenen Daten gelingen kann, die Kommunikationspartner dazu zu bringen, sich beim Aufbau einer verschlüsselten Verbindung auf eine nach heutigen Maßstäben nur schlechte Verschlüsselung zu einigen, obwohl im Prinzip stärkere Verschlüsselung zur Verfügung stünde. Dass die über eine solche Verbindung übertragenen Daten von Unbefugten mit vergleichsweise geringem Aufwand entschlüsselt werden können, ist dabei für Endanwender, die sich in der vermeintlichen Sicherheit einer verschlüsselten Verbindung wiegen, nicht ersichtlich. Das Angriffsszenario existiert, weil viele Implementierungen aus historischen Gründen eine Rückfallprozedur auf eine RSA-Schlüssellänge von nicht mehr als 512 Bits unterstützen (RSA_EXPORT). Diese wurde ursprünglich eingebaut, um in den 1990er Jahren den US-Ausfuhrbestimmungen für kryptografische Produkte zu genügen, die den Export von Produkten, die längere Schlüssel unterstützen, verboten. Damals galt diese Schlüssellänge noch als sicher genug für normale, auch kommerzielle Anwendungen. Längere Schlüssellängen wollte man aus strategischen Gründen Nutzern im Inland vorbehalten (insbesondere dem Militär und Geheimdiensten). Die Sicherheitslücke wurde von Forschern von IMDEA, INRIA und Microsoft Research aufgedeckt. Sie trägt die CVE-ID CVE-2015-0204. Zu den verwundbaren Desktop- und Smartphone-Anwendungen gehören clientseitig verschiedene Webbrowser einschließlich Chrome (Mac OS, Android), Safari (Mac OS, iOS), Opera (Mac OS, Linux), Internet Explorer (Windows) sowie die Standard-Browser von Android- und Blackberry-Geräten. Serverseitig sind neben allen Implementierungen, die die oben beschriebene Herabstufung unterstützen, auch OpenSSL und verschiedene andere Produkte betroffen, daneben auch viele Endgeräte mit Netzwerkfunktionen. Zum Teil stehen schon Sicherheits-Patches zur Verfügung oder sollen in Kürze für aktuelle Produkte bereitgestellt werden. (de)
  • Pour l’article homonyme, voir Freak. FREAK (Factoring RSA Export Keys) est un exploit informatique d'une faiblesse cryptographique dans le protocole SSL/TLS (utilisé, entre autres, dans HTTPS) qui est le résultat de faiblesses délibérés créées il y a des décennies et introduites dans les implémentations des protocoles SSL/TLS pour assurer sa conformité avec les lois américaines concernant les exportations (en). (fr)
  • In informatica FREAK (Factoring RSA-EXPORT Keys) è una debolezza che affligge i protocolli di sicurezza TLS/SSL, andando a colpire le comunicazioni crittografate di qualsiasi sistema operativo. (it)
  • FREAK ("Factoring RSA Export Keys")とはSSL/TLSの脆弱性を突いたセキュリティエクスプロイトである。アメリカ合衆国からの暗号の輸出規制により導入された弱い暗号と、サーバ側・クライアント側の不適切な実装により、中間者攻撃を成立させることができる。 (ja)
  • FREAK漏洞(全称:Factoring RSA Export Keys,中文:分解RSA出口级密钥)是SSL/TLS协议中的密码学安全漏洞。20世纪90年代,此漏洞随着美国加密出口法规的出台而引入。 (zh)
  • FREAK (англ. Factoring RSA Export Keys) — уязвимость в реализации TLS/SSL. Уязвимость заключается в недостаточной проверке при выполнении TLS Handshake на стороне клиента, что приводит к возможности понизить шифрование во время выполнения атаки «человек посередине» до использования 512-битных ключей RSA (RSA_EXPORT ключи), которые могут быть подобраны злоумышленником в течение нескольких часов. Уязвимость была найдена в 2015 году, а сама ошибка существовала с 1990-ых. (ru)
  • FREAK ("Factoring RSA Export Keys") is a security exploit of a cryptographic weakness in the SSL/TLS protocols introduced decades earlier for compliance with U.S. cryptography export regulations. These involved limiting exportable software to use only public key pairs with RSA moduli of 512 bits or less (so-called RSA_EXPORT keys), with the intention of allowing them to be broken easily by the NSA, but not by other organizations with lesser computing resources. However, by the early 2010s, increases in computing power meant that they could be broken by anyone with access to relatively modest computing resources using the well-known Number Field Sieve algorithm, using as little as $100 of cloud computing services. Combined with the ability of a man-in-the-middle to manipulate the initial cipher suite negotiation between the endpoints in the connection and the fact that the Finished hash only depended on the master secret, this meant that a man-in-the-middle, with only a modest amount of computation could break the security of any website that allowed the use of 512-bit export-grade keys. While the exploit was only discovered in 2015, its underlying vulnerabilities had been present for many years, dating back to the 1990s. (en)
dbo:wikiPageExternalLink
dbo:wikiPageID
  • 45569025 (xsd:integer)
dbo:wikiPageRevisionID
  • 715387779 (xsd:integer)
dct:subject
http://purl.org/linguistics/gold/hypernym
rdf:type
rdfs:comment
  • Pour l’article homonyme, voir Freak. FREAK (Factoring RSA Export Keys) est un exploit informatique d'une faiblesse cryptographique dans le protocole SSL/TLS (utilisé, entre autres, dans HTTPS) qui est le résultat de faiblesses délibérés créées il y a des décennies et introduites dans les implémentations des protocoles SSL/TLS pour assurer sa conformité avec les lois américaines concernant les exportations (en). (fr)
  • In informatica FREAK (Factoring RSA-EXPORT Keys) è una debolezza che affligge i protocolli di sicurezza TLS/SSL, andando a colpire le comunicazioni crittografate di qualsiasi sistema operativo. (it)
  • FREAK ("Factoring RSA Export Keys")とはSSL/TLSの脆弱性を突いたセキュリティエクスプロイトである。アメリカ合衆国からの暗号の輸出規制により導入された弱い暗号と、サーバ側・クライアント側の不適切な実装により、中間者攻撃を成立させることができる。 (ja)
  • FREAK漏洞(全称:Factoring RSA Export Keys,中文:分解RSA出口级密钥)是SSL/TLS协议中的密码学安全漏洞。20世纪90年代,此漏洞随着美国加密出口法规的出台而引入。 (zh)
  • FREAK (англ. Factoring RSA Export Keys) — уязвимость в реализации TLS/SSL. Уязвимость заключается в недостаточной проверке при выполнении TLS Handshake на стороне клиента, что приводит к возможности понизить шифрование во время выполнения атаки «человек посередине» до использования 512-битных ключей RSA (RSA_EXPORT ключи), которые могут быть подобраны злоумышленником в течение нескольких часов. Уязвимость была найдена в 2015 году, а сама ошибка существовала с 1990-ых. (ru)
  • Bei der sogenannten FREAK-Sicherheitslücke (FREAK für engl. "Factoring RSA Export Keys") handelt es sich um eine 2015 bekannt gewordene kryptographische Schwachstelle im SSL- bzw. TLS-Protokoll, das für sichere Verbindungen in Webanwendungen verwendet wird. Die Sicherheitslücke wurde von Forschern von IMDEA, INRIA und Microsoft Research aufgedeckt. Sie trägt die CVE-ID CVE-2015-0204. Zum Teil stehen schon Sicherheits-Patches zur Verfügung oder sollen in Kürze für aktuelle Produkte bereitgestellt werden. (de)
  • FREAK ("Factoring RSA Export Keys") is a security exploit of a cryptographic weakness in the SSL/TLS protocols introduced decades earlier for compliance with U.S. cryptography export regulations. These involved limiting exportable software to use only public key pairs with RSA moduli of 512 bits or less (so-called RSA_EXPORT keys), with the intention of allowing them to be broken easily by the NSA, but not by other organizations with lesser computing resources. However, by the early 2010s, increases in computing power meant that they could be broken by anyone with access to relatively modest computing resources using the well-known Number Field Sieve algorithm, using as little as $100 of cloud computing services. Combined with the ability of a man-in-the-middle to manipulate the initial ci (en)
rdfs:label
  • FREAK (Sicherheitslücke) (de)
  • FREAK (it)
  • FREAK (faille informatique) (fr)
  • FREAK (ja)
  • FREAK (ru)
  • FREAK漏洞 (zh)
  • FREAK (en)
owl:sameAs
prov:wasDerivedFrom
foaf:isPrimaryTopicOf
is dbo:wikiPageDisambiguates of
is dbo:wikiPageRedirects of
is foaf:primaryTopic of