FREAK攻撃:OpenSSLですべてのEXPORT暗号を無効にする方法?
誰もが知っているように、FREAK攻撃に対して脆弱にならないように、OpenSSLのすべてのEXPORT暗号を無効にする必要があります。
参照-
http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html
文字列 "kEDH:ALL:!ADH:!DES:!LOW:!EXPORT40:+ SSLv2:@STRENGTH"をSSL_CTX_set_cipher_list()と共に使用して、EXPORT40を無効にするか、40ビットの鍵長の暗号をエクスポートしています。
また、Export56はOpenSSL 0.9.8cからデフォルトで無効になり、56ビットのキー長のエクスポート暗号を無効にします
TLS v1.0および 'Export 1024'暗号の一部である他のEXPORT暗号を無効にするにはどうすればよいですか?
!EXPORTを:!EXPORT40に追加して、すべてのエクスポート暗号を無効にすることができます
このリンクは、フリークとエクスポートの暗号についてのより多くの情報を提供するかもしれません http://openssl.6102.n7.nabble.com/openssl-users-How-to-disable-all-EXPORT-Ciphers-td56861.html
いずれにしても、攻撃の影響を受けるのは元の40ビットのEXPORT暗号だけです。 OpenSSLが2006年に56ビットのEXPORT1024暗号を無効にしたのは残念です。そして、これらはSSL/TLSにおけるEXPORT暗号の2つのカテゴリのみです。