it-swarm-tr.com

SSL bağlantısının şifreleme gücünü nasıl belirleyebilirim?

Bir https url'ye bağlandım, bağlantının şifre gücünü nasıl belirleyebilirim? Anladığım kadarıyla, asimetrik açık anahtar anlaşmasından sonra, bilgi belirli bir kuvvete sahip simetrik bir anahtar kullanılarak şifrelenir, ancak bu sayıyı bulamıyorum (128 bit vb.).

İşlemle ilgili bir şeyi de yanlış anlıyorsam lütfen bize bildirin.

Düzenle: Sormamın nedeni, bir beyan içeren güvenlik feragatnamesi için bir şablonum olması Bu web sitesi XX bit şifreleme kullanıyor ve doğru sayıyla doldurmak istiyorum.

27
Flash

SSL simetrik şifrelemesi, istemci ve sunucu arasındaki bir anlaşmanın sonucudur. Yapılandırma dosyalarını kullanarak sunucu tarafından sınırlandırılabilir. Örneğin, Apache SSL yapılandırması bir

SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

Bu yalnızca en güçlü şifrelemeleri kabul etmek için ayarlanabilir, örneğin yalnızca gereksinim duyabilirsiniz:

SSLProtocol all -SSLv3 -SSLv2
SSLCipherSuite HIGH:MEDIUM

İstemci kimlik doğrulaması gibi daha fazla şey yapmak veya dizin başına şifreleme gerektirmek için diğer değişkenler kullanılabilir.

Müzakereyi istemci tarafından da değiştirebilirsiniz. Bir örnek olarak, lütfen Firefox SSL ayarlarının ayarlanmasıyla ilgili bu bağlantı konusuna bakın. Diğer tarayıcıların da bunu yapmanın yolları olduğunu düşünüyorum.

Görünüşe göre bu sayfa diyor ki:

Sunucu, istemcinin oturuma devam edip etmeyeceği veya iptal edileceği şifreleme ve sıkıştırma algoritmaları listesine karar verir. Her iki listede de en az bir eşleşme olması gerekir, aksi takdirde oturum başarısız olur. Müşteri listesinde en yüksek sırada yer alan şifre kombinasyonu, gelecekteki iletişim için kullanılacaktır.

Resmi protokolü arıyorum.

18
M'vy

SSL Labs , sitelerinde SSL etkin bir siteyi test edecek ve güvenliği hakkında (anahtar uzunluğu gibi) bilinen güvenlik açıkları dahil değerli bilgiler sağlayacak SSL Sunucu Testi aracına sahip yapılandırmaya özel.

13
lew

Hmm kullanabileceğiniz çok sayıda araç var. Bir Linux sisteminde:

Tarayıcı vb. Aracılığıyla web sitesine tek bir SSL bağlantısı başlatın.

Komutu girin:

ssldump -i eth0 -p 80

Bu, web sunucusuna SSL anlaşmasını açıklar (belirli bir arayüze SSL trafiğini dökerek). Döküm, kullanılan şifre paketini gösterir.

Şuna bakın: cipherSuite TLS_RSA_WITH_RC4_128_SHA

eth0 ile varsayılan ethernet arayüzünüzün adı.

10
user3645

SSL, "ciphersuite müzakere" olarak bilinen bir özellik içerir. İstemci kullanmak istediği bir şifre listesi sunar ve sunucu bu listeden favorisini seçer. Web sitenizi bazı tarayıcı kopyanızı kullanarak test edebilmenize rağmen, başka biri farklı bir yapılandırmaya sahip farklı bir tarayıcı kullanıyor olabilir ve web siteniz bu kişi için daha zayıf bir şifre kullanabilir.

Web sunucunuzu yalnızca gereksinimlerinizi karşılayan şifreleri kullanacak şekilde nasıl yapılandıracağınızı anlamak için web sunucunuzun belgelerine bakmanız gerekir.

6
yfeldblum

Chrome ve belki Firefox kullanıyorsanız, URL çubuğundaki https: // xxx öğesinin solundaki öğelere tıklayıp işaretleyebilirsiniz. Hangi şifre takımının seçildiğini (RC4 veya AES gibi) ve kullanılan anahtarın boyutunu söyleyecektir.

Şu anda Safari'yi kullanıyorum (yeni MacBook Air) ve bunu nasıl yapacağımı hemen göremiyorum. Sağ üstteki kilit simgesine tıklamak bana yalnızca sertifikayı gösterir, ancak geçerli bağlantının gücünü göstermez.

Bunu yapmanın diğer yolu bir paket dinleyicisi ile - SSL'nin koruyacağı şey. Şifreleme algoritması ve gücü üzerinde pazarlık yaptıkları ilk birkaç paket şifrelenmez. Bir bağlantı için hangi gücü seçtiklerini onlardan görebilirsiniz.

3

Sadece yukarıdaki cevapları eklemek için ihtiyacınız olan sonucu elde etmenin tek yolunun sunucuyu müzakere etmemesi veya yapması değil aynı uzunlukta sadece bazı şifreleri kullanmasıdır.

Örneğin, Apache'de,

SSLRequire %{SSL_CIPHER_USEKEYSIZE} = 256

sadece 256 anahtar boyutunu kabul etmek için.

Ancak dikkatli olun, çünkü bu muhtemelen sunucu tarafından izin verilen bir şifreleme paketi sunmuyorsa müşterilerin bağlanamamasına neden olacaktır. Bu yoldan giderseniz, tahminlerde bulunmak için sunucudaki ssl görüşme hatalarını bir süre izlemelisiniz.

2
john

Clientside:

Firefox için bir uzantı var: https://addons.mozilla.org/en-US/firefox/addon/cipherfox/

Sağ tıklayın ve "Sayfa Bilgilerini Görüntüle" seçimi de işe yarar.

olan sunucu:

bkz. SSL bağlantısının şifreleme gücünü nasıl belirleyebilirim

2
Tie-fighter

Bir https sitesine göz attıktan sonra IE-8'de Dosya-> Özellikler'i seçebilirsiniz ve kullanılan şifreleme türünü gösterir. Firefow için URL'nin solundaki kilit simgesini tıklayın ve Daha Fazla Bilgi'yi seçin.

0
user76905

@ Robert-David-Graham cevabına eklemek için:

Chrome içinde kilit simgesini tıkladığınızda Geliştirici Araçları> Güvenlik sekmesi görünür. Köken (ler) için güvenlik bilgilerini almak üzere sayfayı yenileyin. Ana Kökene Genel Bakış (veya başka bir Köken) Genel Bakış Burada Bağlantı Protokolü, Anahtar Değişimi ve Şifreleme Paketi'ni göreceksiniz.

Sample LinkedIn home page security info

0
JohnC

Ciphersuite istemci ve sunucu tarafından seçilir.

İstemci, tercihe göre sıralanan sunucuya kabul edilebilir şifreleme listelerini gönderir. Sunucu daha sonra birini seçer ve istemciyi bilgilendirir. Sunucunun istemcilerin tercihlerine uyması beklenir, ancak gerçekte böyle olmayabilir (Apache'de "SSLHonorCipherOrder" ayarı bunu kontrol eder).

Çoğu tarayıcı, hangi ciphersuite'ın kullanımda olduğunu görmek için bir yol sağlar, örneğin firefox'ta adres çubuğunun yanındaki simgeye tıklarsınız. Ardından yan okları, ardından daha fazla bilgi'yi tıklayın. Örneğin google'dan alıyorum.

TLS_ECDHE_RSA_WITH_AES128_GCM_SHA256

Bu dizede çeşitli bilgiler var (tam bir açıklama istiyorsanız google) ama bu sorunun önemli kısmı "AES128-GCM" dir. Bu size şifreleme algoritmasının GCM modunda AES 128 (yani 128 bit şifreleme) olduğunu söyler.

Sormamın nedeni, bir deyim içeren bir güvenlik feragatnamesi için bir şablonum olması. Bu web sitesinde XX bit şifreleme kullanılıyor ve bunu doğru numarayla doldurmak istiyorum.

Önerdiğiniz tehlike, seçilen şifreleme algoritmasının istemciye bağlı olmasıdır. Örneğin, Windows XP (IE tarafından diğer şeylerin yanı sıra) tarafından kullanılan SSL/TLS yığını tarafından desteklenen en az kötü şifreleme algoritması, etkin bir 112 bit güvenlik seviyesine sahip olduğu düşünülen 3DES'dir.

0
Peter Green