web-dev-qa-db-ja.com

JSSE推奨の暗号スイート

POODLEに続いて、JSSEコネクタで実行されている多数のTomcatサーバーの構成を確認しています。

JSSEがサポートする暗号を理解するために、使用可能なすべての暗号を生成する小さなスニペットを書きました。結果は次のとおりです。

SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA
SSL_DH_anon_EXPORT_WITH_RC4_40_MD5
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
SSL_DH_anon_WITH_DES_CBC_SHA
SSL_DH_anon_WITH_RC4_128_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_RSA_WITH_NULL_MD5
SSL_RSA_WITH_NULL_SHA
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DH_anon_WITH_AES_128_CBC_SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA256
TLS_DH_anon_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_NULL_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_NULL_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_ECDSA_WITH_NULL_SHA
TLS_ECDH_ECDSA_WITH_RC4_128_SHA
TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_RSA_WITH_NULL_SHA
TLS_ECDH_RSA_WITH_RC4_128_SHA
TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_anon_WITH_AES_128_CBC_SHA
TLS_ECDH_anon_WITH_NULL_SHA
TLS_ECDH_anon_WITH_RC4_128_SHA
TLS_EMPTY_RENEGOTIATION_INFO_SCSV
TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5
TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA
TLS_KRB5_EXPORT_WITH_RC4_40_MD5
TLS_KRB5_EXPORT_WITH_RC4_40_SHA
TLS_KRB5_WITH_3DES_EDE_CBC_MD5
TLS_KRB5_WITH_3DES_EDE_CBC_SHA
TLS_KRB5_WITH_DES_CBC_MD5
TLS_KRB5_WITH_DES_CBC_SHA
TLS_KRB5_WITH_RC4_128_MD5
TLS_KRB5_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_NULL_SHA256

サーバーでSSLを完全に無効にしたので、TLSv1.0-2 利用可能です。強力な暗号のみに制限したい。下位互換性については心配していません。

Mozillaの推奨事項SOに対する回答 および このブログ投稿 を主に使用してリストを絞り込みました。

TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256

これは賢明な暗号のセットですか?必要のないものを削除しましたか?そのリストにセキュリティレベルの高いものはありますか?

7

常により偏執狂的である可能性があるので、あなたがどれほど心配しているかに応じて、リストをさらに縮小することができます。基本的に:

  • DH_anon暗号スイートを削除します。サーバーは認証されないため、 MitM攻撃 に対して脆弱です。
  • RC4 は使用しないでください。これには既知のバイアスがあるためです。
  • DES は使用しないでください。ブロックサイズが短いため(8バイト)、データの最初の数ギガバイトを超えると問題が発生します。
  • SSL/TLSが使用するMAC-then-encryptモードのCBCモードは適切に実装することが難しいため、CBCモードで機能するブロック暗号を使用しないでください(すべてのBEASTおよびPoodle攻撃を参照)。
  • forward secrecy を取得するには、常にDHEまたはECDHE暗号スイートを使用します。
  • 差分パス分析に基づく衝突が何であるかを正確に理解していないパニック状態の群集をよく見たい場合は、SHA-1を使用しないでください。

その時点で、最終的にTLS 1.2を強制し(以前のバージョンを拒否し)、次のリストになります。

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

もちろん、このリストは、サーバーの証明書に含まれる鍵のタイプに応じて、さらに削減されます。鍵のタイプがDSSの場合、最初の暗号スイートのみを使用できます。タイプがECDSAの場合、2番目のみが適用されます。世界の99.3%のように、証明書にRSAを使用する場合、最後の2つの暗号スイートから選択できます。インナーヒップスターを解き放ちたい場合は、ECDHEをお勧めします。

実際には、SSL暗号スイートの選択が、侵害が発生する弱点になることはほとんどありません。攻撃者がサーバーをハイジャックすると、暗号を前もって処理することで攻撃を実行することはありません。考えすぎないでください。暗号スイートのリストをプルーニングしようとするあなたの努力のほとんどは、実際には気難しい監査人と心配するマネージャーをなだめることを意図しているので、重要な運用上の質問は「何が最大のセキュリティを保証するか」ではないことに注意してください。しかし、「最も強い安心感をもたらすものは何か」。

11
Tom Leek