Tidligere i år ble det oppdaget at svært mange internett-tilknyttede servere åpner for en type avlyttingsangrep av kryptert trafikk ved at de godtar at forbindelsene gjøres med svake, offentlige RSA-nøkler. Dette har fått navnet FREAK (Factoring attack on RSA-Export Keys).
Ifølge forskerne som oppdaget det hele, skal omtrent 26 prosent av serverne de hadde testet åpnet for slike angrep før svakheten ble offentlig kjent.
Historisk bakdør: Til og med NSA er berørt
Primtall
De aktuelle nøklene er typisk på 512 bit og kan knekkes ved hjelp av fritt tilgjengelig programvare. Flere algoritmer for kryptografi med offentlige nøkler bygger på det faktum at det er vanskelig å primtallfaktorisere store heltall. Dette inkluderer nettopp RSA.
Også de aktuelle eksportnøklene som utnyttes i FREAK-angrep er krevende å faktorisere, og fram til nå har det blitt antatt at dette har måttet gjøres for hvert enkelt nettsted man ønsker å angripe. Det har blitt beregnet at hver faktorisering ville ta omtrent sju timer og koste omtrent 100 dollar ved bruk av en offentlig nettskytjeneste.
Nå har en ny gruppe med forskere, denne gang ved Information Security Group Royal Holloway, University of London, funnet ut at prisen per server i mange tilfeller kan reduseres til 0,3 cent.
Nesten ti prosent
I rapporten, som ble omtalt av Ars Technica mandag denne uken, skriver forskerne at andelen av serverne nå ser ut til å være redusert til 9,7 prosent. Forskerne testet 22,7 millioner servere med TLS-støtte. Av de drøyt to millioner serverne med eksport-klasse RSA-nøkler, fant ikke mer enn omtrent 1,55 millioner unike moduli. En modulus er i dette tilfellet produktet av to store primtall. Flere av de øvrige ble ofte gjentatt. Verstingen skal ha blitt repetert 28.394 ganger, noe som gjør det attraktiv å faktorisere nettopp denne.
I løpet av tre minutter på et åttekjernet system, greide forskerne dessuten å beregne parvise SFD-er (Største Felles Divisor) for 90 moduli, som på grunn av repetisjonen korresponderte til 294 servere. I alt 1176 forskjellige moduli ble sett minst hundre ganger.
Ifølge denne forskningsrapporten er det løst beregnet at selv for en svak 512-bits nøkkel så er det mulig å bruke 18,85 × 10 forskjellige primtall. Andre har beskrevet antallet som større enn antallet sandkorn på Jorden, men mindre enn antallet atomer i universet. Da er det ingen grunn til at primtallene skal måtte tas i bruk på nytt så hyppig.
_logo.svg.png){kind=logo}
Ars Technica skriver om flere tilfeller hvor repetisjoner av enten ett eller begge primtall har gjort RSA-nøkler ubrukelige. I 2012 fant matematikere ut at omtrent fire av tusen 1024 bits nøkler på internett var defekte etter å ha brukt en spesifikk algoritme på nøklenes moduli. Algoritmen skal først ha blitt postulert av den greske matematikeren Euklid, som døde for 2.280 år siden.
BlackBerry
En rekke klientsystemer har allerede blitt identifisert som sårbare for FREAK-angrep. Det er utgitt sikkerhetsfikser til flere av dem. Nå viser det seg at også flere produkter fra BlackBerry, inkludert BlackBerry-programvare for plattformer som Android, iOS og Windows Phone, kan være berørt. Mer informasjon om berørte utgaver og kommende sikkerhetsfikser finnes her.
Flere sårbarheter
Det er for øvrig ingen grunn for serveradministratorer til å tro at faren er over selv om man omsider har deaktivert eksport-nøklene. Ifølge The Register kommer det en sikkerhetsfiks til OpenSSL på torsdag som skal fjerne minst én høyst alvorlig sårbarhet. OpenSSL benyttes primært av Unix-lignende systemer, men er også tilgjengelig for blant annet Windows.
Litt mer bakgrunn: Windows er også berørt
