Зважаючи на вразливість FREAK TLS, як я можу відключити небезпечні пакети шифрів вручну в Safari?

Дослідницька група під назвою SMACK випустила вразливість, відому як FREAK, яка може бути використана для атаки "людина в середині" (MITM). Уразливість пояснюється старим привидом, створеним урядом США (АНБ, точніше), коли в роках тому вони переконували кілька організацій використовувати більш слабкі клавіші, відомі як експортні клавіші для будь-якого програмного забезпечення, яке повинно використовуватися за межами кордонів США. Хоча використання сильних клавіш зараз широко розповсюджене, кілька серверів все ще мають підтримку слабших клавіш.

Група виявила, що цю вразливість можна використати за допомогою клієнта та встановлення зв'язку за допомогою слабкого ключа. Після того, як ключ генерується сервером, він буде повторно використаний, доки сервер не буде перезапущений, що потенційно може тривати місяцями. Група змогла зламати цей слабкий серверний ключ за 7,5 годин за допомогою Amazon EC2. Після того, як це буде зламано, потенційно вся комунікація може бути знижена для використання слабких клавіш та MITM'ed.

В основному атака стосується клієнтів OpenSSL (наприклад, Android) та клієнтів Apple TLS / SSL (Safari) спільно з уразливими веб-серверами, але не Firefox, Chrome або IE.

Як я можу відключити деякі або всі незахищені Cipher Suites вручну на стороні клієнта, наприклад, відредагувавши деякі файли конфігурації в Safari, використовуючи відповідне розширення Safari або змінивши бінарні файли безпосередньо, щоб негайно виправити вразливість, особливо в старих версіях Safari, ймовірно, не оновлених Apple ? Чи можливо це взагалі?

Розмірні комплекси шифрів:

CipherSuite TLS_RSA_EXPORT_WITH_RC4_40_MD5         = { 0x00,0x03};
CipherSuite TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5     = { 0x00,0x06};
CipherSuite TLS_RSA_EXPORT_WITH_DES40_CBC_SHA      = { 0x00,0x08};
CipherSuite TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA   = { 0x00,0x0B};
CipherSuite TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA   = { 0x00,0x0E};
CipherSuite TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA  = { 0x00,0x11};
CipherSuite TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA  = { 0x00,0x14};
CipherSuite TLS_DH_anon_EXPORT_WITH_RC4_40_MD5     = { 0x00,0x17};
CipherSuite TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA  = { 0x00,0x19};

а може, ще трохи.

— кланомат
джерело

Наскільки я знаю, це неможливо зробити - вам доведеться почекати виправлення Apple, і, можливо, використовувати Firefox або Chrome, поки вони не стануть доступними, якщо ви знаходитесь у загальнодоступній мережі.

— Майк Скотт

На цьому Macintouch.com проходить хороша дискусія. Результат роботи Майка правильний.

— Стів Чемберс

Safari в OS X використовує безпечний транспорт для SSL / TLS, та сама реалізація, яка пов'язана в cURL, App Store тощо. У безпечному транспорті немає доступних конфігурацій користувача. Тому не можна змінювати набір шифрів Safari.

Так чи інакше, Apple нещодавно випустила оновлення безпеки 2015-002, яка вирішує цю проблему.

Вплив: Зловмисник з привілейованою мережевою позицією може перехоплювати з'єднання SSL / TLS

Опис: Безпечний транспорт прийнятий короткими ефемерними ключами RSA, які зазвичай використовуються лише в шифрових RSA-шифрових пакетах, на з'єднаннях, що використовують повноцінну шифрову програму RSA. Ця проблема, також відома як FREAK, стосувалася лише з'єднань із серверами, які підтримують експортні набори шифрів RSA, і її вирішували, видаляючи підтримку ефемерних ключів RSA.

CVE-2015-1067: Бенджамін Бердуш, Картікеян Бхаргаван, Антуан Деліньять-Лаво, Альфредо Піронті та Жан Карим Зінзіндоуе з Prosecco в Inria Paris

Ви можете оглянути клієнта безпечного транспорту за допомогою чогось подібного curl "https://www.howsmyssl.com/a/check" | tr ',' '\n',. Як хтось зазначав, це також хороша ідея використовувати Firefox або Chrome, які використовують NSS .