it-swarm-eu.dev

Jak zjistím šifrovací sílu připojení SSL

Pokud jsem se připojil k https url, jak mohu zjistit sílu šifrování připojení? Chápu, že po asymetrickém handshake s veřejným klíčem jsou informace zašifrovány pomocí symetrického klíče s danou silou, ale nemůžu najít toto číslo (128bitové atd.).

Prosím, dejte mi vědět, pokud s tímto procesem také něco nepochopím.

pravit: Důvod, proč se ptám, je, že mám šablonu pro prohlášení o vyloučení odpovědnosti, které obsahuje označení Tento web používá XX-bitové šifrování a chtěl bych vyplnit to se správným číslem.

27
Flash

Symetrické šifrování SSL je výsledkem vyjednávání mezi klientem a serverem. Je možné jej omezit ze strany serveru pomocí konfiguračních souborů. Například konfigurace SSL Apache zahrnuje a

SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

To lze vyladit tak, aby akceptovalo pouze nejsilnější šifrování, například můžete chtít vyžadovat pouze:

SSLProtocol all -SSLv3 -SSLv2
SSLCipherSuite HIGH:MEDIUM

Jiné proměnné lze použít k tomu, aby dělaly více věcí, jako je autentizace klienta nebo vyžadovaly šifry pro jednotlivé adresáře.

Můžete také manipulovat s vyjednáváním ze strany klienta. Příklad: viz tento odkaz , který hovoří o ladění nastavení SSL Firefoxu. Předpokládám, že i jiné prohlížeče mají na to způsoby.

Zdá se, že tato stránka říká, že:

Server rozhodne o seznamu kryptografických a kompresních algoritmů zaslaných klientem, zda pokračovat nebo zrušit relaci. V obou seznamech musí být alespoň jedna shoda, jinak relace selže. Pro budoucí komunikaci bude použita kombinace šifry, která získala v seznamu klientů nejvyšší místo.

Hledám oficiální protokol.

18
M'vy

SSL Labs mají na svém webu SSL Server Test nástroj, který otestuje web s podporou SSL a poskytne cenné informace o jeho zabezpečení (např. Délka klíče), včetně známých zranitelností zejména pro konfiguraci.

13
lew

Hmm, existuje řada nástrojů, které můžete použít. V systému Linux:

Zahajte jediné připojení SSL k webu pomocí prohlížeče atd. ....

Zadejte příkaz:

ssldump -i eth0 -p 80

Tím se objasní handshake SSL na webovém serveru (rozmístěním přenosu SSL na konkrétní rozhraní). Výpis ukazuje použitou sadu šifry.

Vyhledejte toto: cipherSuite TLS_RSA_WITH_RC4_128_SHA

Možná budete muset nahradit eth0 s názvem vašeho výchozího ethernetového rozhraní.

10
user3645

SSL zahrnuje funkci známou jako „vyjednávání o šifrech“. Klient předloží seznam šifrových serverů, které je ochoten použít, a server vybere z tohoto seznamu svou oblíbenou. Přestože můžete svůj web otestovat pomocí kopie některého prohlížeče, někdo jiný může používat jiný prohlížeč s jinou konfigurací a váš web může pro tuto osobu použít slabší šifru.

Měli byste zkontrolovat dokumentaci svého webového serveru a zjistit, jak nakonfigurovat webový server tak, aby používal pouze ty šifry, které vyhovují vašim potřebám.

6
yfeldblum

Pokud používáte prohlížeč Chrome a možná Firefox, můžete kliknout na položky vlevo od https: // xxx v panelu URL a zkontrolovat. To vám řekne, která sada šifry byla vybrána (jako RC4 nebo AES) a velikost použitého klíče.

Momentálně používám Safari (nový MacBook Air) a hned nevidím, jak to udělat. Kliknutím na ikonu zámku v pravém horním rohu se zobrazí pouze certifikát, ale ne síla aktuálního připojení.

Dalším způsobem, jak toho dosáhnout, je sniffer paketů - právě to, co má SSL chránit před. Prvních několik paketů, kde vyjednávají šifrovací algoritmus a sílu, není šifrováno. Z nich můžete vidět, jakou sílu si vybrali pro spojení.

3

Chtěl jsem jen přidat k výše uvedeným odpovědím, že jediným způsobem, jak získat výsledek, který potřebujete, je, aby server nedělal vyjednávání nebo ne, ale používal pouze některé šifry stejné délky.

Například v Apache můžete přidat

SSLRequire %{SSL_CIPHER_USEKEYSIZE} = 256

akceptovat pouze velikost klíče 256.

Ale buďte opatrní, protože to pravděpodobně povede k tomu, že se klienti nebudou moci připojit, pokud nenabízejí sadu šifry povolenou serverem. Pokud jdete touto cestou, měli byste sledovat chyby vyjednávání ssl na serveru nějakou dobu, abyste mohli provést odhady.

2
john

Klientská strana:

Pro Firefox existuje rozšíření: https://addons.mozilla.org/en-US/firefox/addon/cipherfox/

Klepněte pravým tlačítkem a funguje také možnost „Zobrazit informace o stránce“.

Servery:

viz Jak mohu určit sílu šifrování připojení SSL

2
Tie-fighter

Na IE-8 poté, co jste procházeli web https, můžete vybrat File-> Properties a zobrazí typ použitého šifrování. U Firefow klikněte na ikonu zámku vlevo od URL a vyberte Další informace.

0
user76905

Chcete-li přidat odpověď @ Robert-David-Graham:

V Chrome, když kliknete na ikonu zámku, objeví se karta Vývojářské nástroje> Zabezpečení. Aktualizujte stránku a získejte informace o zabezpečení pro původ stránky. Poté přepněte pomocí levého navigačního tlačítka Přehled hlavního původu (nebo jakéhokoli jiného původu). Zde uvidíte Protokol připojení, Výměna klíčů a Cipher Suite.

Sample LinkedIn home page security info

0
JohnC

Šifru si vybírá klient a server.

Klient odešle seznam přijatelných šifrů na server seřazený podle preferencí. Server poté vybere jeden a informuje klienta. Server má respektovat preference klientů, ale nemusí to ve skutečnosti udělat (v Apache to řídí nastavení „SSLHonorCipherOrder“).

Většina prohlížečů poskytne způsob, jak zjistit, co se používá šifra, například ve firefoxu kliknete na ikonu vedle adresního řádku. Poté klikněte na šipku do strany a poté klikněte na další informace. Například od google dostanu.

TLS_ECDHE_RSA_WITH_AES128_GCM_SHA256

V tomto řetězci jsou různé informace (google it, pokud chcete úplné vysvětlení), ale důležitým bitem pro tuto otázku je „AES128-GCM“. To vám řekne, že šifrovacím algoritmem je AES 128 (128bitové šifrování) v režimu GCM.

Důvod, proč se ptám, je, že mám šablonu pro prohlášení o vyloučení odpovědnosti, které obsahuje označení Tento web používá XX-bitové šifrování a chtěl bych jej vyplnit správným číslem.

Nebezpečí s tím, co navrhujete, je, že vybraný šifrovací algoritmus bude záviset na klientovi. Například nejméně špatným encypčním algoritmem podporovaným stackem SSL/TLS v systému Windows XP (mimo jiné používán IE)) je 3DES, o kterém se předpokládá, že má účinnou úroveň zabezpečení 112 bitů.

0
Peter Green