信息安全 - FREAK Attack：如何禁用 OpenSSL 中的所有 EXPORT 密码？ - 吾爱随笔录 - 问答

FREAK Attack：如何禁用 OpenSSL 中的所有 EXPORT 密码？

信息安全 tls openssl 已知漏洞脆弱性

2021-08-25 07:37:39

众所周知，OpenSSL 中的所有 EXPORT 密码都应该被禁用，这样我们就不会受到 FREAK 攻击。

参考-

http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html

我正在使用字符串 "kEDH:ALL:!ADH:!DES:!LOW:!EXPORT40:+SSLv2:@STRENGTH" 和 SSL_CTX_set_cipher_list() 禁用 EXPORT40 或导出 40 位密钥长度的密码。

此外，OpenSSL 0.9.8c 默认禁用 Export56，并禁用 56 位密钥长度的导出密码

如何禁用属于 TLS v1.0 和“导出 1024”密码的其他 EXPORT 密码？

2个回答

您可以将 !EXPORT 添加到 :!EXPORT40 它将禁用所有导出密码

此链接可能会提供有关 Freak & Export cipher http://openssl.6102.n7.nabble.com/openssl-users-How-to-disable-all-EXPORT-Ciphers-td56861.html的更多信息

无论如何，只有原始的 40 位 EXPORT 密码会受到攻击的影响。不幸的是，OpenSSL 在 2006 年就禁用了 56 位 EXPORT1024 密码。是的，这是 SSL/TLS 中仅有的两类 EXPORT 密码。

其它你可能感兴趣的问题

上一篇攻击者能否阻止 IIS 记录请求下一篇CCM 代替密钥包装