web-dev-qa-db-ja.com

RC4-MD5を回避した後に壊れたクライアント

http://projects.webappsec.org/w/page/13246945/Insufficient%20Transport%20Layer%20Protection に従って、RC4-MD5の使用を停止することをお勧めします。

私たちのアプリケーションでサポートされているクライアントは、IE 8以上、Safari 5以上、Chrome 18以上、FF 12以上、iPhone用モバイルサファリ、 iPad。
もちろん、BEASTやCRIMEの攻撃は避けたいと思っています。
サポートされているクライアントでRC4-MD5の使用を停止した場合、またはその他の問題はありますか?

1
Novice User

FIPSに準拠する必要がない限り、rc4md5を無効にすることはありません。最後の手段として単に優先することができます。rc4md5のみに頼るようにWebサーバーを構成できます。クライアントが提供する他の暗号をサポートしていない場合。これにより、レガシークライアントのサポートについて心配する必要がなくなります。

私の知る限り、古い電話はRC4 MD5(スマートフォン以前の時代から)しかサポートしていないことがありました。

1
Lucas Kauffman

SSL 3.0、TLS 1.0、またはTLS 1.1を実装するクライアントは、必ずMD5とSHA-1の両方の実装を使用します。これは、鍵交換アルゴリズムから取得した共有秘密から対称鍵を導出するための内部メカニズムで両方の関数が使用されるためです(このメカニズムは PRF と呼ばれます。したがって、クライアントがRC4-MD5をサポートしているが、RC4-SHA1暗号スイートをサポートしていない可能性は非常にありそうにありません。したがって、RC4-SHA1のサポートを維持している限り、RC4-MD5のサポートを削除しても何も壊れることはありません。

BEASTについては、 この回答 を参照してください。概要:BEASTは、パッチを適用せずに少なくとも2年経過したブラウザーでのみ機能する可能性があります。その時点で、BEASTは最も心配が少ないです。彼らは大きく開いたはるかに大きな穴を持っています。いずれにせよ、BEASTはクライアントに対する攻撃であり、サーバーに対する攻撃ではありません。 BEASTは今や議論の余地があると思います(既知の暗号化の脆弱性の興味深いアプリケーションですが、最近では本当の脅威ではありません)。通常、セキュリティを向上させるためではなく、チェックリストが理解できないテクノロジーに適用されたときに思考に取って代わることができると信じている監査人をなだめるために、BEASTについて「何かをする」必要があります。

CRIMEの場合、暗号スイートは(ほとんど)無関係です。 TLSレベルの圧縮を使用しないことでCRIMEを「修正」します。既存のブラウザはとにかくそれをサポートしていません(彼らは決してサポートしていないか、しばらく前にそれをやめました)。

0
Tom Leek