cipher suites e desativando cifras fracas no JBoss

1

Nosso relatório de auditoria de segurança diz que vários dos nossos servidores do JBoss EAP 5.0 (no RHEL 6.x) têm cifras fracas habilitadas. Ao fazer uma pesquisa, eu encontrei um arquivo .jar (de link ) que, quando executado a partir do servidor, lista o conjuntos de criptografia padrão e suportados. Eu corri o arquivo .jar obtido a seguinte saída na seção de conjuntos de cifras padrão:

DefaultCipherSuites:

SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA 
SSL_RSA_WITH_3DES_EDE_CBC_SHA 
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_EMPTY_RENEGOTIATION_INFO_SCSV

Eu entendo que cifras fracas são aquelas que tem seu comprimento de chave menor que 128 bits. E isso de todas as cifras listadas acima:

  • Os que contêm '128' em seu nome indicam cifras com um comprimento de chave de 128.
  • Os que contêm '256' fornecem criptografia de 256 bits.
  • Os que têm 'DES' são chaves DES com criptografia de 56 bits.
  • Aqueles com 'RC4_40' significam criptografia de 40 bits.
  • Aqueles com 'DES40' significam criptografia de 40 bits novamente.
  • Aqueles com '3DES' significam triple-DES com criptografia de chave 128/192.

Estou ciente de como editar o bloco do Conector SSL / TLS em server.xml para habilitar apenas alguns dos conjuntos de criptografia.

Agora minhas perguntas são:

  1. O meu entendimento sobre o relacionamento entre os nomes de criptografia e os comprimentos de bits suportados está correto?

  2. Se a resposta da minha pergunta # 1 for 'sim', 'desabilitar todas as cifras fracas' significa remover / desativar todas as cifras que têm DES, RC4_40 e DES40 em seus nomes?

  3. Qual é o tamanho da chave de TLS_EMPTY_RENEGOTIATION_INFO_SCSV?

por Sree 13.10.2014 / 17:06

0 respostas

Tags