web-dev-qa-db-ja.com

Sweet32は、Webセッション/ Cookieを使用しないサービス(FTPなど)で機能しますか?

Saintbot PCI/vulnスキャナー(Controlscan経由)は、3DES「グレードC」暗号の存在に基づいて、Sweet32に対して脆弱なFTPポート21にフラグを立てています。

修正は簡単です-利用可能な暗号を更新してより安全にします。ただし、Cpanel v62には現在の「問題」があり、PureFTPのバージョンがpure-ftpd.confに記載されている暗号に準拠していません。

これにより、ProFTPに切り替えるまでPCIが失敗します。私たちは本当にそれをしたくありません....まったく。

質問は、Sweet32はFTPまたは同様のスタイルの「認証済み」接続でも機能しますか? Web以外のトンネルでこの攻撃を阻止することが実際に可能でない限り、私は彼らの発見を証明したいと思います。

2
dhaupin

Sweet32は特に認証を攻撃しませんが、構造化された、部分的に既知の非常に大きなデータの種類に含まれる秘密を抽出しようとします。同じTLS接続を介して多数のHTTP要求を送信できる場合、HTTPヘッダーの認証情報はこの説明に適合します。ただし、FTPで転送するデータの種類、量、感度によっては、これがFTPでも問題になる可能性があります。

2
Steffen Ullrich