BLOGTIMES
2015/03/04

HEARTBLEED, POODLE の次は FREAK

  ssl 
このエントリーをはてなブックマークに追加

昨年くらいから SSL の界隈はいろいろな脆弱性が見つかっていて Heartbleed, POODLE という形で話題になりましたが、今度は FREAK (Factoring attack on RSA-EXPORT Keys)*1 という問題が見つかったようです。

1996年まで、アメリカはテロや犯罪に暗号化が使われないように強度の高い暗号化を行うソフトウェアについてはかなり厳しい輸出規制が行っていたので、ブラウザもUS版(アメリカ国外からのダウンロードは違法)と国際版という2つのバージョンが配布されているのが普通でした。輸出規制を回避するために、本拠地をアメリカ以外に置いたり、 PGPi などのソフトウェアは本には輸出規制が逆手にとって、ソースコードを本として出版して、輸出した後、国外で OCR をかけてソフトウェアに戻す*2ということが行われていたりしました。

FREAK に出てくる RSA-EXPORT (輸出用 RSA) というのはそのときの名残です。鍵長 40bit とか 56bit というやつですね。最近は 128bit や 256bit が普通になっていることを考えるとかなり強度が低い暗号化ということになります。デフォルトで無効になってくれるといいんですが、「mod_ssl の適切な設定を簡単に作る」などの方法で、Cipher Suite を適切に設定するようにするしかないですね。

参考


トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/7440
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン