Puncte:1

Cum aflu lungimea cheii unor module Diffie Hellman pentru a contracara vulnerabilitatea Log Jam?

drapel us

Am următoarele cifruri Diffie-Hellman pe unul dintre serverele mele

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256     
TLS_DHE_DSS_WITH_AES_256_CBC_SHA        
TLS_DHE_DSS_WITH_AES_128_CBC_SHA      
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Mi s-a cerut să dezactivez orice modul Diffie-Hellman de mai puțin de 2048 de biți

Am reușit să aflu că am aflat că:

TLS_DHE_RSA_WITH_AES_256_CBC_SHA 
TLS_DHE_RSA_WITH_AES_128_CBC_SHA 

au o lungime de biți de 1024, dar chiar mă chinui să aflu care este lungimea efectivă de biți a primelor 4 cifruri pe care le-am menționat..Am căutat pe internet, dar pur și simplu nu am găsit nimic?

Îmi lipsește ceva? Orice ajutor primit cu recunoștință

dave_thompson_085 avatar
drapel cn
Pentru a fi clar: ați verificat cumva pentru acele 2 suite DHE_RSA, grupul DHE este de 1024 de biți (nu este certificatul RSA)? Dacă da, serverul folosește foarte probabil același grup pentru DHE_DSS dacă acceptă DHE_DSS (ceea ce ar fi așa doar dacă are configurat o cheie și un certificat DSA, iar certificatele DSA sunt rare, altele decât cele autosemnate utilizate în Java mai vechi). -- și Java mai vechi nu a făcut niciodată DHE peste 768). În orice caz, fie uitați-vă la software-ul/configurarea serverului, fie conectați-vă la el și vedeți ce obțineți, de ex. cu `openssl s_client`. Nu se postează ca răspuns, deoarece acesta nu face parte din subiectul acestui Stack.
knaccc avatar
drapel es
Acest lucru depinde de implementarea dvs. De exemplu. dacă aveți un server Java, doriți să setați parametrul de sistem `jdk.tls.ephemeralDHKeySize=2048`
Mick8695 avatar
drapel us
salut, in ce stiva ar trebui sa-l postez?
Puncte:1
drapel my

Îmi lipsește ceva?

De fapt, în cadrul protocolului TLS, grupul DH utilizat nu este legat de suitele de cifrare (chiar și pentru suitele de cifrare care specifică utilizarea DH); în schimb, acestea sunt negociate separat (pentru suitele de criptare DHE, serverul o propune în cadrul strângerii de mână ServerKeyExchange).

Nu știu ce configurabilitate are implementarea dvs. în ceea ce privește grupurile DH propuse/acceptate - cu toate acestea, dezactivarea anumitor suite de criptare poate să nu fie metoda corectă. Implementarea dvs. ar putea avea o presupunere încorporată că „pentru această suită de cifră specifică, folosim întotdeauna acel grup DH specific” - aceasta nu ar fi prima mea presupunere.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.