web-dev-qa-db-ja.com

古い暗号で暗号化されたPayPal

私のChromeは、この問題と同様に、Paypalのセキュリティから苦情が出てきました:

Google Chrome "ウェブサイトへの接続は古い暗号化で暗号化されています"

身元は検証されますが、暗号化が古くなっていると不平を言います。

RC4_128とSHA1を使用するとします。

心配する必要がありますか? Paypalは恥じるべきですか? Chrome私を怖がらせないでください?

更新:Chromeはv 42でしたが、v 43への更新後、メッセージは停止し、証明書はAES_256_CBCを示します-コメントの一部によると、これは " SHA1を備えたRC4_128はChrome 42、Paypalではなく42によって作成されました。

悪いグーグル:あなたのブラウザが決定を下している間、人々にサーバーが間違っていると思わせます...

13
noderman

このメッセージは、暗号の21世紀に人々を無邪気に押しやろうとしているGoogleのメッセージです。そのため、「RC4」または「SHA-1」が表示されたときに、彼らは指を向けて模擬します。これは、そのようなアルゴリズムがすぐに壊れる可能性があることを意味するわけではありません。誰もがアルゴリズム(AES/GCMを使用したTLS 1.2など)を使用している場合にのみ、Googleが世界をより良い場所(または場合によってはGoogleの場所)に見つけます。

実際には、RC4とSHA-1に関するいくつかの「心配」がありますが、どちらも通信にとって致命的ではないはずです。

  • RC4 には既知のバイアスがあります。攻撃者が多数の接続(数百万)を観察できる場合、これらのバイアスは理論的には悪用されてシークレットデータを回復できます。ただし、ストリーム内の同じ予測可能な場所に同じシークレットデータが含まれている場合、そのシークレットがそのストリームで十分に早く出現することが条件です(これらのバイアスは、下流に行くほど低くなるためです)。最後の条件は、HTTPSを突破しようとする攻撃者にとって最大の問題です。興味深い秘密(HTTP Cookie)は、HTTPヘッダーの比較的遠くに表示されます。私の知る限りでは、そのような攻撃が実際に発見されたことはありません。

  • SHA-1 は、衝突に対する耐性に関して理論的な弱点があります。実際の衝突はまだ発生していません。理論(これはかなり堅固であると考えられています)は、衝突を構築すると、計算コストが2になることを意味します。61 関数の評価など、つまり予想より大幅に低い280 (160ビット出力の関数の場合)が、予算の多い学者によってもさりげなく検討するには多すぎます。さらに、TLS内でのSHA-1の使用は、衝突による影響を受けない [〜#〜] hmac [〜#〜] を介して行われます。 SHA-1は、SSL/TLSで使用されるため、理論的またはその他の既知の弱点はありません。

Paypalは、RC4を適用します。これは、CBCモードのAESによって引き起こされる知覚された弱点(いわゆる「BEAST攻撃」)を回避したいためです(いわゆる「BEAST攻撃」は、実際には機能しません)。 Chromeが顧客を怖がらせる可能性があるため「時代遅れ」であると主張していなかった場合、銀行にとってセキュリティは重要ですが、セキュリティのイメージをさらに投影することを推奨します。顧客は安全な感じ、または彼らはお金を別の場所に持って行きます(これが19世紀の銀行のほとんどが花崗岩の柱と鋼鉄の扉を備えた非常に大規模な建築のオフィスを開いていた理由です:立体感)。

24
Tom Leek