it-swarm-eu.dev

Wie kann ich die Verschlüsselungsstärke einer SSL-Verbindung ermitteln?

Wie kann ich die Verschlüsselungsstärke der Verbindung ermitteln, wenn ich eine Verbindung zu einer https -URL hergestellt habe? Mein Verständnis ist, dass nach dem asymmetrischen Handshake mit öffentlichem Schlüssel die Informationen mit einem symmetrischen Schlüssel mit einer bestimmten Stärke verschlüsselt werden, aber ich kann diese Zahl (128-Bit usw.) nicht finden.

Bitte lassen Sie mich wissen, wenn ich auch etwas mit dem Prozess falsch verstehe.

Bearbeiten: Der Grund, den ich frage, ist, dass ich eine Vorlage für einen Sicherheitsausschluss habe, der eine Anweisung enthält . Diese Website verwendet XX-Bit-Verschlüsselung und ich möchte das mit der richtigen Nummer füllen.

27
Flash

Die symmetrische SSL-Verschlüsselung ist das Ergebnis einer Aushandlung zwischen Client und Server. Es ist möglich, es von der Serverseite aus mithilfe der Konfigurationsdateien einzuschränken. Beispiel: Apache SSL-Konfiguration enthält a

SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

Dies kann so eingestellt werden, dass nur die stärksten Verschlüsselungen akzeptiert werden. Beispielsweise möchten Sie möglicherweise nur Folgendes benötigen:

SSLProtocol all -SSLv3 -SSLv2
SSLCipherSuite HIGH:MEDIUM

Andere Variablen können verwendet werden, um mehr Dinge wie die Clientauthentifizierung auszuführen oder Verzeichnisse pro Verzeichnis zu erfordern.

Sie können die Aushandlung auch von der Client-Seite aus bearbeiten. Ein Beispiel finden Sie unter dieser Link , in dem es um die Optimierung der Firefox-SSL-Einstellungen geht. Ich gehe davon aus, dass andere Browser auch Möglichkeiten haben, dies zu tun.

Es scheint, als ob diese Seite sagt, dass:

Der Server entscheidet anhand der Liste der vom Client gesendeten Kryptografie- und Komprimierungsalgorithmen, ob die Sitzung fortgesetzt oder abgebrochen werden soll. In beiden Listen muss mindestens eine Übereinstimmung vorhanden sein, da sonst die Sitzung fehlschlägt. Die Verschlüsselungskombination, die den höchsten Platz in der Kundenliste einnimmt, wird für die zukünftige Kommunikation verwendet.

Ich suche das offizielle Protokoll.

18
M'vy

SSL Labs haben ein SSL Server Test Tool auf ihrer Site, das eine SSL-fähige Site testet und wertvolle Informationen über ihre Sicherheit (wie Schlüssellänge) liefert, einschließlich bekannter Schwachstellen speziell auf die Konfiguration.

13
lew

Hmm, es gibt eine Reihe von Werkzeugen, die Sie verwenden können. Auf einem Linux-System:

Stellen Sie eine einzelne SSL-Verbindung zur Website über den Browser usw. her.

Geben Sie den Befehl ein:

ssldump -i eth0 -p 80

Dadurch wird der SSL-Handshake für den Webserver erläutert (indem der SSL-Verkehr auf der spezifischen Schnittstelle ausgegeben wird). Der Speicherauszug zeigt die verwendete Verschlüsselungssuite.

Suchen Sie danach: cipherSuite TLS_RSA_WITH_RC4_128_SHA

Möglicherweise müssen Sie eth0 Durch den Namen Ihrer Standard-Ethernet-Schnittstelle ersetzen.

10
user3645

SSL enthält eine Funktion, die als "Ciphersuite-Aushandlung" bezeichnet wird. Der Client zeigt eine Liste der Verschlüsselungssuiten an, die er verwenden möchte, und der Server wählt seinen Favoriten aus dieser Liste aus. Obwohl Sie Ihre Website möglicherweise mit Ihrer Kopie eines Browsers testen, verwendet möglicherweise eine andere Person einen anderen Browser mit einer anderen Konfiguration, und Ihre Website verwendet möglicherweise eine schwächere Chiffrensuite für diese Person.

Sie sollten die Dokumentation Ihres Webservers überprüfen, um zu verstehen, wie Sie Ihren Webserver so konfigurieren, dass nur die Chiffresuiten verwendet werden, die Ihren Anforderungen entsprechen.

6
yfeldblum

Wenn Sie Chrome und möglicherweise Firefox verwenden, können Sie links in der URL-Leiste auf https: // xxx klicken und diese überprüfen. Hier erfahren Sie, welche Cipher Suite ausgewählt wurde (z. B. RC4 oder AES) und wie groß der verwendete Schlüssel ist.

Ich verwende derzeit Safari (neues MacBook Air) und sehe nicht sofort, wie das geht. Durch Klicken auf das Schlosssymbol oben rechts wird nur das Zertifikat angezeigt, nicht jedoch die Stärke der aktuellen Verbindung.

Die andere Möglichkeit besteht darin, einen Paket-Sniffer zu verwenden - genau das, vor dem SSL schützen soll. Die ersten Pakete, in denen der Verschlüsselungsalgorithmus und die Stärke ausgehandelt werden, sind unverschlüsselt. Sie können an ihnen erkennen, welche Stärke sie für eine Verbindung ausgewählt haben.

3

Ich wollte nur zu den obigen Antworten hinzufügen, dass der einzige Weg, um das gewünschte Ergebnis zu erzielen, darin besteht, dass der Server keine Verhandlungen führt oder nur einige Chiffren derselben Länge verwendet.

In Apache können Sie beispielsweise hinzufügen

SSLRequire %{SSL_CIPHER_USEKEYSIZE} = 256

nur 256 Schlüsselgröße zu akzeptieren.

Seien Sie jedoch vorsichtig, da dies wahrscheinlich dazu führen wird, dass Clients keine Verbindung herstellen können, wenn sie keine vom Server zugelassene Verschlüsselungssuite anbieten. Wenn Sie diesen Pfad beschreiten, sollten Sie die SSL-Aushandlungsfehler auf dem Server einige Zeit überwachen, um Schätzungen vorzunehmen.

2
john

Kundenseite:

Für Firefox gibt es eine Erweiterung: https://addons.mozilla.org/en-US/firefox/addon/cipherfox/

Klicken Sie mit der rechten Maustaste und wählen Sie "Seiteninformationen anzeigen".

Serverside:

siehe Wie kann ich die Verschlüsselungsstärke einer SSL-Verbindung bestimmen

2
Tie-fighter

In IE-8 können Sie nach dem Aufrufen einer https-Site Datei-> Eigenschaften auswählen. Daraufhin wird die Art der verwendeten Verschlüsselung angezeigt. Klicken Sie für Firefow auf das Schlosssymbol links neben der URL und wählen Sie Weitere Informationen.

0
user76905

Um @ Robert-David-Graham Antwort hinzuzufügen:

In Chrome, wenn Sie auf das Schlosssymbol klicken, wird die Registerkarte Entwicklertools> Sicherheit angezeigt. Aktualisieren Sie die Seite, um die Sicherheitsinformationen für die Seitenherkunft (en) abzurufen. Wechseln Sie dann mit dem linken Navigationsgerät von Die Übersicht zum Hauptursprung (oder einem anderen Ursprung). Dort sehen Sie das Verbindungsprotokoll, den Schlüsselaustausch und die Cipher Suite.

(Sample LinkedIn home page security info

0
JohnC

Die Chiffrensuite wird von Client und Server ausgewählt.

Der Client sendet eine Liste akzeptabler Chiffresuiten an den Server, die nach Präferenz sortiert sind. Der Server wählt dann einen aus und informiert den Client. Der Server soll die Client-Einstellungen berücksichtigen, tut dies jedoch möglicherweise nicht (in Apache steuert die Einstellung "SSLHonorCipherOrder" dies).

Die meisten Browser bieten eine Möglichkeit, um zu sehen, welche Chiffrensuite verwendet wird. In Firefox klicken Sie beispielsweise auf das Symbol neben der Adressleiste. Klicken Sie dann auf den Pfeil seitwärts und dann auf weitere Informationen. Zum Beispiel von Google bekomme ich.

TLS_ECDHE_RSA_WITH_AES128_GCM_SHA256

Es gibt verschiedene Informationen in dieser Zeichenfolge (googeln Sie, wenn Sie eine vollständige Erklärung wünschen), aber das wichtige Bit für diese Frage ist "AES128-GCM". Dies zeigt Ihnen, dass der Verschlüsselungsalgorithmus im GCM-Modus AES 128 (also 128-Bit-Verschlüsselung) ist.

Der Grund, den ich frage, ist, dass ich eine Vorlage für einen Sicherheitsausschluss habe, der eine Erklärung enthält. Diese Website verwendet XX-Bit-Verschlüsselung und ich möchte diese mit der richtigen Nummer füllen.

Die Gefahr bei dem, was Sie vorschlagen, besteht darin, dass der ausgewählte Verschlüsselungsalgorithmus vom Client abhängt. Zum Beispiel ist 3DES der am wenigsten schlechte Encyrption-Algorithmus, der vom SSL/TLS-Stack in Windows XP (unter anderem vom IE verwendet)) unterstützt wird und eine effektive Sicherheitsstufe von 112 Bit aufweist.

0
Peter Green