ในแง่ของช่องโหว่ FREAK TLS ฉันจะปิดการใช้งานชุดรหัสลับที่ไม่ปลอดภัยใน Safari ได้อย่างไร

กลุ่มวิจัยชื่อSMACKได้เปิดตัวช่องโหว่ที่รู้จักกันในชื่อ FREAK ซึ่งสามารถใช้สำหรับการโจมตีคนในกลาง (MITM) ช่องโหว่นี้เกิดจากผีเก่าที่สร้างขึ้นโดยรัฐบาลสหรัฐอเมริกา (NSA โดยเฉพาะ) ซึ่งเมื่อหลายปีก่อนพวกเขาเชื่อว่าหลาย ๆ องค์กรใช้คีย์ที่อ่อนกว่าหรือที่รู้จักกันในชื่อคีย์เกรดส่งออกสำหรับซอฟต์แวร์ใด ๆ ของสหรัฐอเมริกา ในขณะที่การใช้งานของปุ่มที่แข็งแกร่งจะแพร่กระจายกว้างในขณะนี้เซิร์ฟเวอร์หลายแห่งยังคงได้รับการสนับสนุนสำหรับคีย์ที่อ่อนแอกว่า

กลุ่มค้นพบว่าช่องโหว่นี้สามารถใช้ประโยชน์จากการใช้ไคลเอ็นต์และทำการเชื่อมต่อผ่านคีย์ที่อ่อนแอ เมื่อเซิร์ฟเวอร์สร้างคีย์มันจะถูกนำมาใช้ใหม่จนกว่าเซิร์ฟเวอร์จะรีสตาร์ทซึ่งอาจเป็นเดือน กลุ่มสามารถถอดรหัสคีย์เซิร์ฟเวอร์ที่อ่อนแอนี้ในเวลา 7.5 ชั่วโมงโดยใช้ Amazon EC2 เมื่อมีการแตกระบบการสื่อสารทั้งหมดอาจลดระดับลงเพื่อใช้คีย์ที่อ่อนแอและ MITM'ed

การโจมตีส่วนใหญ่เน้นที่ไคลเอ็นต์ OpenSSL (เช่น Android) และไคลเอนต์ Apple TLS / SSL (Safari) ร่วมกับเว็บเซิร์ฟเวอร์ที่มีช่องโหว่ แต่ไม่ใช่ Firefox, Chrome หรือ IE

ฉันจะปิดการใช้งาน Crypt Suites ที่ไม่ปลอดภัยบางส่วนหรือทั้งหมดด้วยตนเองทางฝั่งไคลเอ็นต์ได้อย่างไรเช่นการแก้ไขไฟล์การกำหนดค่าบางอย่างใน Safari โดยใช้นามสกุล Safari ที่เหมาะสมหรือแก้ไขไบนารีโดยตรงเพื่อแก้ไขช่องโหว่โดยเฉพาะอย่างยิ่งใน Safari รุ่นเก่า ? เป็นไปได้หรือไม่?

ห้องชุด Cipher ในคำถามคือ:

CipherSuite TLS_RSA_EXPORT_WITH_RC4_40_MD5         = { 0x00,0x03};
CipherSuite TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5     = { 0x00,0x06};
CipherSuite TLS_RSA_EXPORT_WITH_DES40_CBC_SHA      = { 0x00,0x08};
CipherSuite TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA   = { 0x00,0x0B};
CipherSuite TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA   = { 0x00,0x0E};
CipherSuite TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA  = { 0x00,0x11};
CipherSuite TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA  = { 0x00,0x14};
CipherSuite TLS_DH_anon_EXPORT_WITH_RC4_40_MD5     = { 0x00,0x17};
CipherSuite TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA  = { 0x00,0x19};

และอาจจะมากกว่านี้

Safari บน OS X ใช้Secure Transportสำหรับ SSL / TLS การใช้งานแบบเดียวกันซึ่งเชื่อมโยงใน cURL, App Store และอื่น ๆ Secure Transport ไม่มีการกำหนดค่าผู้ใช้ใด ๆ ดังนั้นจึงเป็นไปไม่ได้ที่จะปรับเปลี่ยนชุดรหัส Safari

อย่างไรก็ตาม Apple เพิ่งเปิดตัวSecurity Update 2015-002ซึ่งแก้ไขปัญหานี้ได้

ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจขัดขวางการเชื่อมต่อ SSL / TLS

คำอธิบาย: การขนส่งที่ปลอดภัยได้รับการยอมรับคีย์ RSA ชั่วคราวที่สั้นซึ่งโดยปกติจะใช้เฉพาะในชุดเข้ารหัส RSA crypt suites ที่มีความแข็งแรงในการส่งออกสำหรับการเชื่อมต่อโดยใช้ชุดเข้ารหัส RSA cipher แบบเต็มกำลัง ปัญหานี้รู้จักกันในชื่อว่า FREAK จะได้รับผลกระทบเฉพาะการเชื่อมต่อกับเซิร์ฟเวอร์ที่รองรับชุดรหัสเข้ารหัส RSA ที่มีความแข็งแรงในการส่งออกและได้รับการแก้ไขด้วยการลบการสนับสนุนสำหรับคีย์ RSA ชั่วคราว

CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti และ Jean Karim Zinzindohoue แห่ง Prosecco ที่ Inria Paris

คุณสามารถตรวจสอบไคลเอนต์ Secure Transport กับสิ่งที่ต้องการcurl "https://www.howsmyssl.com/a/check" | tr ',' '\n'ได้ ตามที่ใครบางคนชี้ให้เห็นก็ควรใช้ Firefox หรือ Chrome ซึ่งใช้NSSแทน