Eenmaal verzwakt is altijd verzwakt
Uit angst voor negatieve effecten op de economie werden aan het begin van deze eeuw de restricties op de export van sterke vormen van versleuteling opgeheven. Maar dat wil niet zeggen dat de rest van de wereld meteen van die zwakke vormen van versleuteling verlost was. Omdat niet alle software van de ene op de andere dag de sterke vormen van versleuteling ondersteunde, werd de code voor die zwakke vormen intact gelaten. Als beide kanten een sterke versleuteling ondersteunden, dan werd dat gebruikt. In alle andere gevallen werd teruggevallen op de zwakke vorm. De code voor die zwakke vormen van versleuteling is uiteindelijk nooit verwijderd – maar wel vergeten. Met als gevolg dat tot voor kort die code aanwezig was in alle veelgebruikte browsers en websites.
Twee maanden geleden werd duidelijk dat die code door kwaadwillenden misbruikt kan worden om de versleuteling van je verbinding zodanig af te zwakkenIets minder dan tien procent van de servers is kwetsbaar voor de FREAK-aanval. dat die versleuteling eigenlijk niet meer bestaat. Daar is niet veel voor nodig: die kwaadwillende moet jouw verbindingNieuwsbericht over de gevolgen voor Android- en Apple-gebruikers. kunnen onderscheppen. Hij kan vervolgens jouw browser en de webserver aan de andere kant wijsmaken dat de ander vraagt om een zwakke vorm van versleuteling voor de verbinding. Daarna is het voor de aanvaller mogelijk om de sleutel, die gebruikt wordt voor de verbinding, te achterhalen. En daarmee is de verbinding waarvan jij denkt dat die versleuteld is, dat eigenlijk helemaal niet.
En eerder deze week ontdekten onderzoekers nóg een kwetsbaarheidTechnische details van zwakheden in het Diffie-Hellman-protocol. met deze export-versie van de versleuteling. De nieuwe kwetsbaarheid werkt weliswaar anders, maar heeft wel hetzelfde gevolg. De problematische code wordt nu alsnog verwijderd of aangepast. Dat gebeurt echter niet overal op hetzelfde moment, met als gevolg dat sommige websites voor sommige gebruikers onbereikbaar wordenAls de beheerder de kwetsbaarheid oplost, kunnen sommige bezoekers de niet meer bezoeken.. En dat was nou net één van de redenen waarom die code niet eerder was verwijderd.