FREAK缺陷けっかん

FREAK缺陷けっかん（全ぜん称しょう：Factoring RSA Export Keys，中ちゅう文ぶん：分解ぶんかいRSA出口でぐち级密钥）是これSSL/TLS协议中ちゅう的てき密みつ码学安全あんぜん缺陷けっかん。20世せい纪90年代ねんだい，此缺陷けっかん随ずい着ぎ美国びくに加か密みつ出口でぐち法ほう规的出で台だい而引入いれ。

概要がいよう

1990年代ねんだい时，美国びくに对于货物的てき出口でぐち设立了りょう一いち些规定じょう，从而引入了りょう这个缺陷けっかん。规定中指なかゆび出で，美国びくに软件制せい造づくり商しょう出口でぐち的てき软件只ただ能のう使用しよう512位い及以下か的てきRSA加か密みつ（即そく所しょ谓的出口でぐち级加密みつ）。此举是ぜ为了便びん于NSA破やぶ译加密みつ。时至2015年ねん，随ずい着ぎ计算能力のうりょく的てき发展，破やぶ解かい这种加か密みつ已やめ经不再さい是ぜ政府せいふ机つくえ构才能さいのう做到的てき事こと，任にん何人なんにん只ただ要よう拥有充足じゅうそく的てき计算资源，就能通どおり过普通ふつう数すう域いき筛选法ほう加か上じょう约100美び元もと的てき云うん计算服ふく务轻而易举地将はた其破译。这个缺陷けっかん还能和わ中ちゅう间人攻おさむ击结合利用りよう，只ただ要よう先さき破やぶ译网站的512位い弱じゃく加か密みつ，再さい发动中ちゅう间人攻おさむ击，就能使し任にん何なん允まこと许使用しよう512位い出口いでぐち级密钥的网站失しつ去さ安全あんぜん保障ほしょう。此漏洞ほら于2015年ねん发现，但ただし从1990年代ねんだい开始就已经存在そんざい。

FREAK漏も洞ほら由ゆかりIMDEA、INRIA和わ微ほろ软研究けんきゅう院いん的てき研究けんきゅう人じん员共同どう发现。^[1] OpenSSL中ちゅう存在そんざい的てき此漏洞ほら在ざい公共こうきょう漏も洞ほら和わ暴露ばくろ系けい统中なか的てき编号是ぜCVE-2015-0204。^[2]

受到漏も洞ほら影かげ响的软件及设备包括ほうかつ苹果りんご的てきSafari、Google 安あん卓たく系けい统上的てき默だま认浏览器，及OpenSSL。^[3]^[1] 微ほろ软还表示ひょうじ全ぜん版本はんぽん的てきWindows系けい统上的てきSChannel传输层加密みつ实现都と受到FREAK漏も洞ほら影かげ响。^[4]SChannel中ちゅう存在そんざい的てき漏も洞ほら的てきCVE编号是ぜCVE-2015-1637。^[5] 而苹果りんご的てき安全あんぜん传输功こう能のう中ちゅう的てき漏も洞ほら的てきCVE编号是ぜCVE-2015-1067。^[6]

受到漏も洞ほら影かげ响的网站包括ほうかつ美国びくに联邦政府せいふ网站fbi.gov、whitehouse.gov、nsa.gov，^[7] 一个安全团队的测试发现，36%的てき被ひ测HTTPS网站都と受到漏も洞ほら影かげ响。^[8] 根ね据すえIP2Location LITE的てき地理ちり定位ていい，35%的てき受影响服务器都と位い于美国こく。^[9]

有ゆう新しん闻报导称此漏洞ほら是ぜ「潜在せんざい的てき灾难」，^[10]是ぜ美国びくに政府せいふ意い图控制せい加か密みつ技わざ术传播的「意外いがい后きさき果はて（英えい语：Unintended consequence）」。^[7]

截至2015年ねん3月がつ3日にち (2015-03-03)^[update]，各かく软件厂商已やめ在ざい准じゅん备发布ぬの修おさむ复漏洞ほら后きさき的てき新しん版本はんぽん软件。^[7]^[8] 2015年ねん3月がつ9日にち，苹果りんご发布了りょうiOS 8及OS X操作そうさ系けい统的漏も洞ほら补丁。^[11]^[12] 2015年ねん3月がつ10日とおか，微ほろ软为所有しょゆう仍在技わざ术支持しじ周期しゅうき内ない的てきWindows系けい统（Windows Server 2003、Vista及后续版本はんぽん）发布了りょう漏も洞ほら补丁。^[13] Google Chrome 41和わOpera 28也已采さい取と相あい应漏洞ほら缓解措施。^[14] Mozilla Firefox不ふ受此漏洞ほら影かげ响。

参まいり见

贵宾犬けん漏も洞ほら

参考さんこう来らい源げん

^ ^1.0 ^1.1 Steven J. Vaughan-Nichols. FREAK: Another day, another serious SSL security hole. ZDNet. 2015-03-03 [2015-03-05]. （原始げんし内容ないよう存そん档于2015-03-06）.
^ Vulnerability Summary for CVE-2015-0204. NIST. 20 February 2015 [2015-03-05]. （原始げんし内容ないよう存そん档于2015-03-05）.
^ Thomas Fox-Brewster. What The FREAK? Why Android And iPhone Users Need To Pay Attention To The Latest Hot Vulnerability. Forbes. 2015-03-03 [2015-03-05]. （原始げんし内容ないよう存そん档于2015-03-06）.
^ Darren Pauli. All Microsoft Windows versions are vulnerable to FREAK. The Register. 6 March 2015 [2015-03-07]. （原始げんし内容ないよう存そん档于2015-03-07）.
^ Microsoft Security Advisory 3046015: Vulnerability in Schannel Could Allow Security Feature Bypass. Microsoft. March 5, 2015 [2015-03-07]. （原始げんし内容ないよう存そん档于2015-03-09）.
^ 存そん档副本ふくほん. [2015-03-14]. （原始げんし内容ないよう存そん档于2015-03-09）.
^ ^7.0 ^7.1 ^7.2 Craig Timberg. ‘FREAK’ flaw undermines security for Apple and Google users, researchers discover. Washington Post. 2015-03-03 [2015-03-05]. （原始げんし内容ないよう存そん档于2015-03-04）.
^ ^8.0 ^8.1 Dennis Fisher. New FREAK Attack Threatens Many SSL Clients. Threatpost. 2015-03-03 [2015-03-05]. （原始げんし内容ないよう存そん档于2015-03-06）.
^ FREAK Servers By Country. 2015-03-03 [2015-03-05]. （原始げんし内容ないよう存そん档于2015-04-02）.
^ Dan Goodin. "FREAK" flaw in Android and Apple devices cripples HTTPS crypto protection. Ars Technica. 3 March 2015 [2015-03-05]. （原始げんし内容ないよう存そん档于2015-03-04）.
^ About Security Update 2015-002. Apple. March 9, 2015 [2015-03-14]. （原始げんし内容ないよう存そん档于2019-10-16）.
^ About the security content of iOS 8.2. Apple. March 9, 2015 [2015-03-14]. （原始げんし内容ないよう存そん档于2019-10-16）.
^ Microsoft Security Bulletin MS15-031 - Important. Microsoft. March 10, 2015 [2015-03-14]. （原始げんし内容ないよう存そん档于2015-03-15）.
^ 存そん档副本ふくほん. [2015-03-05]. （原始げんし内容ないよう存そん档于2015-03-11）.

外部がいぶ链接

https://www.smacktls.com/（页面存そん档备份，存そん于互联网档案あん馆）
https://www.freakattack.com/（页面存そん档备份，存そん于互联网档案あん馆）
https://infogr.am/https_sites_that_support_rsa_export_suites（页面存そん档备份，存そん于互联网档案あん馆）

[zdnet20150303-1] 1.0 ^1.1 Steven J. Vaughan-Nichols. FREAK: Another day, another serious SSL security hole. ZDNet. 2015-03-03 [2015-03-05]. （原始げんし内容ないよう存そん档于2015-03-06）.

[2] Vulnerability Summary for CVE-2015-0204. NIST. 20 February 2015 [2015-03-05]. （原始げんし内容ないよう存そん档于2015-03-05）.

[3] Thomas Fox-Brewster. What The FREAK? Why Android And iPhone Users Need To Pay Attention To The Latest Hot Vulnerability. Forbes. 2015-03-03 [2015-03-05]. （原始げんし内容ないよう存そん档于2015-03-06）.

[4] Darren Pauli. All Microsoft Windows versions are vulnerable to FREAK. The Register. 6 March 2015 [2015-03-07]. （原始げんし内容ないよう存そん档于2015-03-07）.

[5] Microsoft Security Advisory 3046015: Vulnerability in Schannel Could Allow Security Feature Bypass. Microsoft. March 5, 2015 [2015-03-07]. （原始げんし内容ないよう存そん档于2015-03-09）.

[6] 存そん档副本ふくほん. [2015-03-14]. （原始げんし内容ないよう存そん档于2015-03-09）.

[timberg2015-03-03-7] 7.0 ^7.1 ^7.2 Craig Timberg. ‘FREAK’ flaw undermines security for Apple and Google users, researchers discover. Washington Post. 2015-03-03 [2015-03-05]. （原始げんし内容ないよう存そん档于2015-03-04）.

[fisher2015-03-03-8] 8.0 ^8.1 Dennis Fisher. New FREAK Attack Threatens Many SSL Clients. Threatpost. 2015-03-03 [2015-03-05]. （原始げんし内容ないよう存そん档于2015-03-06）.

[9] FREAK Servers By Country. 2015-03-03 [2015-03-05]. （原始げんし内容ないよう存そん档于2015-04-02）.

[10] Dan Goodin. "FREAK" flaw in Android and Apple devices cripples HTTPS crypto protection. Ars Technica. 3 March 2015 [2015-03-05]. （原始げんし内容ないよう存そん档于2015-03-04）.

[11] About Security Update 2015-002. Apple. March 9, 2015 [2015-03-14]. （原始げんし内容ないよう存そん档于2019-10-16）.

[12] About the security content of iOS 8.2. Apple. March 9, 2015 [2015-03-14]. （原始げんし内容ないよう存そん档于2019-10-16）.

[13] Microsoft Security Bulletin MS15-031 - Important. Microsoft. March 10, 2015 [2015-03-14]. （原始げんし内容ないよう存そん档于2015-03-15）.

[14] 存そん档副本ふくほん. [2015-03-05]. （原始げんし内容ないよう存そん档于2015-03-11）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]