Disabilita la migliore pratica di cifrari RC4

6

Per essere conformi alle best practice sulla sicurezza, abbiamo il requisito di disabilitare i cifrari RC4.

Ho studiato un modo per raggiungere questo obiettivo e ho scoperto che posso disabilitarlo modificando le chiavi del Registro di sistema.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
“Enabled”=dword:00000000

Inoltre ho scoperto che posso rimuovere le suite di crittografia che contiene RC4 modificando l'oggetto Criteri di gruppo, Configurazione computer > Modelli amministrativi > Rete > Impostazioni di configurazione SSL ,

La mia domanda è: qual è il modo migliore per rimuovere il supporto per una cifratura. Eliminando tutte le suite di crittografia che contengono il codice nell'oggetto Criteri di gruppo o l'unico modo per rimuovere il supporto per un codice è tramite la modifica delle chiavi in regedit.

    
posta kimo pryvt 09.09.2016 - 23:11
fonte

1 risposta

8

RC4 è un algoritmo, non un pezzo di software. È la stessa differenza tra un'idea e un libro: puoi tentare di sopprimere un libro che porta un'idea specifica ma non puoi sopprimere l'idea stessa.

Allo stesso modo, non è possibile disattivare globalmente RC4 con una modifica del registro. Nella migliore delle ipotesi, istruirai il software che legge la chiave del Registro di sistema per non utilizzare RC4.

In particolare, ciò che si sta facendo con questa voce di registro (l'oggetto Criteri di gruppo è solo un modo per propagare una modifica del Registro di sistema a un dominio) indica al software che utilizza Windows canale sicuro API per stabilire una connessione TLS / SSL dal suo utilizzo per impostazione predefinita . Il software che non utilizza SChannel o il software che non consente al sottosistema SChannel di auto-negoziare una connessione SSL non sarà interessato.

Ad esempio, l'impostazione di queste voci di registro impedirà ad un IIS web server di utilizzare il codice RC4 ma non farà nulla per un Tomcat server.

Conclusione : impossibile impedire globalmente l'uso di RC4. Dovresti riorientare la tua domanda specificando esattamente quale software vuoi limitare. Tale domanda sarebbe più adatta, tuttavia, a serverfault.com o superuser.com

    
risposta data 12.09.2016 - 11:01
fonte

Leggi altre domande sui tag