openSSL: Como especificar os algoritmos de hash de assinatura que aceitarei?

Question

openSSL: Como especificar os algoritmos de hash de assinatura que aceitarei?

#1 resposta do (2 votos)

2

Usando o openSSL, em um cliente TLS, eu especifiquei um conjunto exclusivo de criptografia com SSL_CTX_set_cipher_list ().

Quando eu uso o wireshark para ver as mensagens, vejo na mensagem Client Hello, os conjuntos de cifras permitidos são os que eu especifiquei.

Mas se eu olhar para os algoritmos Extension: signature, vejo que o cliente parece aceitar um grande número de algos, incluindo alguns que não parecem muito seguros para mim, como o MD5.

Como posso mudar esse comportamento?

openssl hashing

por Jacques 13.03.2015 / 21:12

1 resposta

Tags openssl hashing

Windows Explorer congela ao arrastar arquivos por unidades de rede mapeadas A conexão UMTS falha com “LCP terminado por peer”

score 2 · Accepted Answer

(Encontrei pesquisando outra coisa. Não sei se segurança, ou até mesmo SO, seria melhor.)

Na versão 1.0.2 (apenas), há novos SSL_[CTX_]set1[_client]_sigalgs[_list] para isso. Eu não vi nenhum documento em qualquer versão ainda, mas aparentemente está em "master" (ou seja, o desenvolvimento "tronco") no site em link então presumivelmente será em versões futuras.

Nas versões anteriores, você pode definir um retorno de chamada de verificação ou apenas verificar a cadeia de resultados e rejeitar qualquer certificado ou cadeia usando MD5 ou RSA < = 1024 ou ECC usando curvas suspeitas de backdoors da NSA ou qualquer outra coisa de que não goste. como a política da CA que diz "odiamos gatos".