Como encontrar qual chave exatamente 'dh key too small' erro do OpenSSL é sobre?

Navegue suas respostas
9

Estou tentando descobrir por que estou recebendo o erro 140079157163688:error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small:s3_clnt.c:3435: ao me conectar, no meu caso, a um servidor de e-mail POP3.

Aqui está um dump s_client do OpenSSL ao tentar se conectar. O erro está certo antes do despejo da cadeia de certificados. 

$ openssl s_client -connect fqdn.example.com:pop3 -starttls pop3
CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify return:1
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, OU = PositiveSSL Multi-Domain, CN = another-fqdn.example.com
verify return:1
140079157163688:error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small:s3_clnt.c:3435:
---
Certificate chain
 0 s:/OU=Domain Control Validated/OU=PositiveSSL Multi-Domain/CN=another-fqdn.example.com
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
 2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----
...elided...
-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/OU=PositiveSSL Multi-Domain/CN=another-fqdn.example.com
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
---
No client certificate CA names sent
---
SSL handshake has read 5005 bytes and written 7 bytes
---
New, (NONE), Cipher is (NONE)
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1483127963
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

Aqui está um relatório de bug não relacionado que aponta para o problema ser uma chave efêmera muito curta ( %código%). Mas não estou vendo nada parecido na minha saída, mesmo quando adiciono o parâmetro Server Temp Key: DH, 512 bits à invocação do OpenSSL.

Eu quero descobrir exatamente qual tecla é "muito pequena" para que eu possa corrigi-la localmente ou encaminhá-la para quem estiver em condições de corrigi-la e fornecer informações suficientes para corrigi-la. sem muita dificuldade. Então, como eu descubro de qual exatamente OpenSSL está reclamando?

Estou disposto a usar outras ferramentas também para investigar isso; as respostas não precisam ser limitadas ao uso do OpenSSL.

    
por a CVn 30.12.2016 / 21:17

1 resposta

2

I want to find out exactly which key is "too small" so that I can either fix it locally, or forward it to whoever is in a position to fix it and give them enough information that they should be able to fix it without too much trouble. So how do I find out which key exactly OpenSSL is complaining about?

Não é realmente um problema de "uma chave é muito pequena, qual é" per se . Quando você executa um acordo de chave no TLS, faz isso usando os parâmetros do domínio Diffie-Hellman. Quando o cliente anuncia conjuntos de criptografia com Diffie-Hellman em seu Client Hello , o Server Hello responde com um grupo Diffie-Hellman e sua chave pública temporária / efêmera nesse grupo. Como cliente, espera-se que você execute o protocolo usando a chave pública temporária / efêmera do servidor e comunique sua chave pública temporária / efêmera ao servidor na próxima mensagem.

Mais formalmente, você está falando de um grupo multiplicativo Z p . O servidor escolhe um valor secreto X , calcula sua chave pública temporária / temporária como x = g X mod p , e envia para você os parâmetros de domínio {p, g} e sua chave pública x strong>. Você calcularia a chave pública temporária / efêmera como y = g Y mod p , e o segredo de cliente / servidor concordou em sair de < strong> g XY

mod p depois de algumas mensagens.

A queixa é de que p é muito pequeno, não fornece nada próximo a níveis razoáveis de segurança e está sujeito a ser forçado a brutalidade. Então, qualquer que seja o cálculo do servidor ( x = g X mod p ) e o que você calcula ( y = g Y mod p ) não atinge segurança razoável. Para mais detalhes, consulte o documento sobre o ataque Log-on .

Existem outros ataques nesses acordos Diffie-Hellman como usados no TLS, mas este é um dos maiores. Por exemplo, o grupo de trabalho TLS está discutindo a reutilização de chaves DH pré-computadas do lado do servidor enquanto falamos em [TLS] Exigir que os valores públicos DHE sejam atualizados .

Se quiser visualizar os parâmetros reais que estão causando o problema, provavelmente será necessário executar o Wireshark ou usar o tcpdump. s_client exibe Server Temp Key informações apenas no handshake bem-sucedido (e apenas na versão 1.0.2, mas a partir deste mês é a versão mais baixa suportada pelo desenvolvedor). Ele vai despejar as mensagens do protocolo (enviadas e) recebidas em hexadecimal se você adicionar -msg , mas você tem que decodificá-las manualmente não é fácil; Se você quiser tentar ver esta questão SO .

Você tem três correções disponíveis que eu sei.

Primeiro, altere os provedores de hospedagem de e-mail para um que seja mais astuto em relação à segurança.

Em segundo lugar, escreva para o seu provedor de hospedagem de e-mail atual e peça que ele corrija o servidor.

Em terceiro lugar, você pode usar o transporte de chaves RSA em vez da troca de chaves Diffie-hellman. Se você escolher essa opção, perderá o sigilo antecipado. O grupo de trabalho TLS está descartando o transporte de chave RSA do TLS 1.3, portanto, você não poderá usar essa opção com futuras versões do TLS. Eu espero que o TLS 1.2 permaneça por algum tempo, então provavelmente não será um problema na prática por algum tempo. O OpenSSL normalmente permite isso, mas algumas pessoas o desabilitam para forçar o sigilo; se você tiver uma lista de cifras que especifica !kRSA , remova-a (temporariamente).

Se estiver interessado, você pode ver os pontos de código que a IANA reserva para conjuntos de códigos TLS usando o Diffie-Hellman em Parâmetros TLS (Transport Layer Security) .

Você pode obter o OpenSSL para listar os conjuntos de suítes implementados e ativados por padrão, sendo que ambos podem variar de acordo com sua versão e, às vezes, com o build / package, com: 

$ openssl ciphers -v | egrep 'Kx=(ECDH|DH)'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA384
ECDHE-RSA-AES256-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA1
ECDHE-ECDSA-AES256-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA1
DH-DSS-AES256-GCM-SHA384 TLSv1.2 Kx=DH/DSS   Au=DH   Enc=AESGCM(256) Mac=AEAD
DHE-DSS-AES256-GCM-SHA384 TLSv1.2 Kx=DH       Au=DSS  Enc=AESGCM(256) Mac=AEAD
DH-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH/RSA   Au=DH   Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-SHA256   TLSv1.2 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA256
DHE-DSS-AES256-SHA256   TLSv1.2 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA256
DH-RSA-AES256-SHA256    TLSv1.2 Kx=DH/RSA   Au=DH   Enc=AES(256)  Mac=SHA256
DH-DSS-AES256-SHA256    TLSv1.2 Kx=DH/DSS   Au=DH   Enc=AES(256)  Mac=SHA256
DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-DSS-AES256-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA1
DH-RSA-AES256-SHA       SSLv3 Kx=DH/RSA   Au=DH   Enc=AES(256)  Mac=SHA1
DH-DSS-AES256-SHA       SSLv3 Kx=DH/DSS   Au=DH   Enc=AES(256)  Mac=SHA1
DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(256) Mac=SHA1
DHE-DSS-CAMELLIA256-SHA SSLv3 Kx=DH       Au=DSS  Enc=Camellia(256) Mac=SHA1
DH-RSA-CAMELLIA256-SHA  SSLv3 Kx=DH/RSA   Au=DH   Enc=Camellia(256) Mac=SHA1
DH-DSS-CAMELLIA256-SHA  SSLv3 Kx=DH/DSS   Au=DH   Enc=Camellia(256) Mac=SHA1
ECDH-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
ECDH-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
ECDH-RSA-AES256-SHA384  TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AES(256)  Mac=SHA384
ECDH-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(256)  Mac=SHA384
ECDH-RSA-AES256-SHA     SSLv3 Kx=ECDH/RSA Au=ECDH Enc=AES(256)  Mac=SHA1
ECDH-ECDSA-AES256-SHA   SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=AES(256)  Mac=SHA1
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(128) Mac=AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA256
ECDHE-RSA-AES128-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
ECDHE-ECDSA-AES128-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA1
DH-DSS-AES128-GCM-SHA256 TLSv1.2 Kx=DH/DSS   Au=DH   Enc=AESGCM(128) Mac=AEAD
DHE-DSS-AES128-GCM-SHA256 TLSv1.2 Kx=DH       Au=DSS  Enc=AESGCM(128) Mac=AEAD
DH-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH/RSA   Au=DH   Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-SHA256   TLSv1.2 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA256
DHE-DSS-AES128-SHA256   TLSv1.2 Kx=DH       Au=DSS  Enc=AES(128)  Mac=SHA256
DH-RSA-AES128-SHA256    TLSv1.2 Kx=DH/RSA   Au=DH   Enc=AES(128)  Mac=SHA256
DH-DSS-AES128-SHA256    TLSv1.2 Kx=DH/DSS   Au=DH   Enc=AES(128)  Mac=SHA256
DHE-RSA-AES128-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1
DHE-DSS-AES128-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(128)  Mac=SHA1
DH-RSA-AES128-SHA       SSLv3 Kx=DH/RSA   Au=DH   Enc=AES(128)  Mac=SHA1
DH-DSS-AES128-SHA       SSLv3 Kx=DH/DSS   Au=DH   Enc=AES(128)  Mac=SHA1
DHE-RSA-SEED-SHA        SSLv3 Kx=DH       Au=RSA  Enc=SEED(128) Mac=SHA1
DHE-DSS-SEED-SHA        SSLv3 Kx=DH       Au=DSS  Enc=SEED(128) Mac=SHA1
DH-RSA-SEED-SHA         SSLv3 Kx=DH/RSA   Au=DH   Enc=SEED(128) Mac=SHA1
DH-DSS-SEED-SHA         SSLv3 Kx=DH/DSS   Au=DH   Enc=SEED(128) Mac=SHA1
DHE-RSA-CAMELLIA128-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(128) Mac=SHA1
DHE-DSS-CAMELLIA128-SHA SSLv3 Kx=DH       Au=DSS  Enc=Camellia(128) Mac=SHA1
DH-RSA-CAMELLIA128-SHA  SSLv3 Kx=DH/RSA   Au=DH   Enc=Camellia(128) Mac=SHA1
DH-DSS-CAMELLIA128-SHA  SSLv3 Kx=DH/DSS   Au=DH   Enc=Camellia(128) Mac=SHA1
ECDH-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AESGCM(128) Mac=AEAD
ECDH-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(128) Mac=AEAD
ECDH-RSA-AES128-SHA256  TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AES(128)  Mac=SHA256
ECDH-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(128)  Mac=SHA256
ECDH-RSA-AES128-SHA     SSLv3 Kx=ECDH/RSA Au=ECDH Enc=AES(128)  Mac=SHA1
ECDH-ECDSA-AES128-SHA   SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=AES(128)  Mac=SHA1
ECDHE-RSA-RC4-SHA       SSLv3 Kx=ECDH     Au=RSA  Enc=RC4(128)  Mac=SHA1
ECDHE-ECDSA-RC4-SHA     SSLv3 Kx=ECDH     Au=ECDSA Enc=RC4(128)  Mac=SHA1
ECDH-RSA-RC4-SHA        SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128)  Mac=SHA1
ECDH-ECDSA-RC4-SHA      SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128)  Mac=SHA1
ECDHE-RSA-DES-CBC3-SHA  SSLv3 Kx=ECDH     Au=RSA  Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH     Au=ECDSA Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
DH-RSA-DES-CBC3-SHA     SSLv3 Kx=DH/RSA   Au=DH   Enc=3DES(168) Mac=SHA1
DH-DSS-DES-CBC3-SHA     SSLv3 Kx=DH/DSS   Au=DH   Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA   SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1

Se você usar -V uppercase em vez de -v , ele inclui os pontos de código (1.0.0 up), mas as linhas resultantes são muito longas para uma janela tradicional de 80 colunas; use uma janela mais ampla, ou less -S ou similar, ou redirecione para um arquivo e, em seguida, visualize ou edite o arquivo.

Observe que a lista inclui conjuntos static-DH e static-ECDH (exceto em 1.1.0?) que praticamente nunca são usados; para uma lista limitada a suítes efémeras em ciphers -v 'EDH:EECDH:!EXPORT:!LOW' .

    
por 02.01.2017 / 23:12

Tags

2 Autenticação de fator no SSH usando chave pública e PAM Como forçar os aplicativos a não iniciarem maximizados no Awesome WM?