Domanda sui report SSL Lab: è possibile eseguire una "rinegoziazione non sicura" se sul server non sono disponibili suite di crittografia deboli?

4

Su un server, abbiamo rimosso suite di crittografia deboli e protocolli non sicuri per provare a passare Labs SSLScan / SSL. Un problema in sospeso è la rinegoziazione insicura. Ho letto questo:

The Apache Software Foundation has reported an issue that may occur when the SSLCipherSuite directive is used to upgrade a cipher suite. Particular sequences of per-directory renegotiations may cause a weaker cipher suite being used in place of the upgraded one.

If this issue were to occur, flaws in weaker ciphersuites could be exposed. This could threaten the integrity of SSL transactions negotiated between a vulnerable server and the client. This could provide an opportunity for passive attackers in a position to observe such a transaction.

La mia domanda è se abbiamo rimosso le suite di cifratura deboli, non è vero che non ci sono pacchetti di crittografia deboli da rinegoziare e questo diventa un non-problema (eccetto il fatto che il grado è ancora un F e che ha un aspetto negativo )?

    
posta mcgyver5 26.01.2016 - 23:10
fonte

1 risposta

5

"Insecure Renegotiation" non riguarda la selezione della suite di cifratura; si tratta di una sorta di attacco Man-in-the-Middle che va così:

  1. L'attaccante si connette al server ed esegue un primo handshake.
  2. L'attaccante invia alcuni dati (ad esempio una richiesta POST HTTP).
  3. Il client si connette al malintenzionato e invia la sequenza iniziale di handshake.
  4. L'attaccante inoltra i messaggi di handshake del client al server e viceversa. Dal punto di vista del cliente, questa è l'iniziale stretta di mano; dal punto di vista del server, questa è una rinegoziazione all'interno del contesto stabilito inizialmente con l'autore dell'attacco.
  5. Da quel momento in poi, l'attaccante passa ciecamente avanti e indietro i dati. Il server avvia un meccanismo di autenticazione con il client.
  6. Il server considera erroneamente che il risultato dell'autenticazione copre il dialogo completo , inclusi i dati che l'utente malintenzionato ha spinto prima della rinegoziazione. Di conseguenza, il server può applicare la richiesta dell'attaccante come se provenisse dal client autenticato.

RFC 5746 è un meccanismo (un'estensione TLS) che mira a rendere distinta l'iniziale stretta di mano e la stretta di mano di rinegoziazione. Se supportato sia dal client che dal server, il server, nello scenario precedente, noterà che ClientHello nella seconda stretta di mano è contrassegnato come "iniziale", non come "rinegoziazione" e pertanto rifiuterà il tentativo. Quando alcuni report ti dicono che il tuo server fa "rinegoziazione insicura", ti dice veramente che il tuo server non supporta RFC 5746. Questo è completamente estraneo alla selezione della suite di crittografia, e non c'è alcun cambiamento nella tua lista di pacchetti di crittografia che farà qualsiasi cosa a favore o contro ciò; questa è un'impostazione ortogonale.

Si può notare che consentire una rinegoziazione insicura non implica necessariamente un buco sfruttabile. Dipende davvero da come il server gestisce l'autenticazione dell'utente, in particolare per quanto riguarda le rinegoziazioni. Concettualmente, un server che riceve una richiesta non autenticata può avviare una rinegoziazione (ad es. Con autenticazione client basata su certificato) e quindi, dopo la seconda stretta di mano, inviare un reindirizzamento HTTP in modo che il client risponda nuovamente alla richiesta. In tal caso, non ci sarebbe alcun problema con la mancanza di supporto di RFC 5746. Tuttavia, i server Web esistenti non operano in questo modo, quindi un bisogno comune di "rafforzare" le negoziazioni sistematiche a livello TLS.

(In termini generali, il problema con la rinegoziazione è che SSL / TLS fornisce sicurezza solo nella direzione cronologicamente avanzata, mentre gli utenti di SSL / TLS, cioè il server Web, comunemente ritengono che anche la sicurezza si estenda all'indietro, anche attraverso rinegoziazioni. La RFC 5746 corregge una modalità di attacco esplicita nota, ma non è chiaro - o almeno non documentato - se garantisce realmente l'autenticazione a ritroso fino all'handshake iniziale.)

    
risposta data 27.01.2016 - 17:26
fonte

Leggi altre domande sui tag