Quanto conta la versione di TLS quando si utilizza la stessa suite di crittografia?

4

Recentemente ho osservato che Exchange Online è passato a una versione inferiore del protocollo TLS. Le e-mail da Exchange Online a Gmail e altri tenant di Office 365 vengono ora inviate su TLS 1.0 invece di TLS 1.2, anche se con le stesse suite di crittografia ("ECDHE-RSA-AES128-SHA" e "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384", rispettivamente).

Non sono un esperto in crittografia. Mi piacerebbe sapere quanto questo cambiamento sia importante in termini di sicurezza, sia teoricamente che praticamente. C'è una ragione per me per preoccuparmene?

Gli aggiornamenti di < Aggiornamento vengono ora distribuiti per risolvere questo problema. Vorrei ancora ottenere una risposta alla mia domanda.]

    
posta ȷ̇c 02.09.2016 - 02:16
fonte

1 risposta

3

Le versioni del protocollo sono importanti, anche se hanno la stessa suite di crittografia, perché la suite specifica i primitivi ma non necessariamente come devono essere utilizzati. Ad esempio, la differenza fondamentale tra SSLv3 e TLS1.0 che rende il primo vulnerabile a POODLE è che TLS richiede la convalida del padding e SSLv3 no. TLS 1.1 richiede un vettore di inizializzazione esplicito (piuttosto che l'IV implicito utilizzato nelle cifrature a blocchi TLS 1.0) e modifica la modalità di gestione degli errori di riempimento; nessuna di queste cose è particolare per ogni cifra cifrata.

Naturalmente, solo perché un protocollo richiede qualcosa non significa che l'implementatore lo farà correttamente. Alcuni dispositivi di rete (come i bilanciatori di carico) gestivano le connessioni TLS1.0 ma non riuscivano a convalidare il padding (in violazione delle specifiche TLS, ma non le specifiche SSL), rendendole anche vulnerabili a POODLE. Allo stesso modo, una delle cose che ha reso Heartbleed così grave è che OpenSSL ha permesso di inviare messaggi heartbeat prima che l'handshake fosse completato, permettendo ad un attaccante non fidato di man-in-the-middle una connessione e attaccando entrambi i lati durante l'handshake. (Naturalmente, il buffer sovrascritto nel nucleo di Heartbleed è stato anche un fallimento di implementazione, ma lo standard probabilmente non ha esplicitamente chiamato che si suppone che si restituiscano solo i dati che l'altra parte ha inviato al posto della memoria arbitraria specifica quando un messaggio heartbeat è legale, però.)

Le versioni di protocollo possono anche aggiungere il supporto per le suite di crittografia. TLS 1.2 ha aggiunto il supporto per crittografie autenticate, consentendo l'aggiunta di suite basate su AES-GCM e AES-CCM. Tuttavia, anche se stai utilizzando le stesse suite di crittografia, sei più a rischio quando il protocollo è più vecchio.

Per maggiori dettagli, potresti voler chiedere su Crypto SE. SSL / TLS è complicato e potresti trovare persone che possono spiegare i pezzi rilevanti in modo più chiaro.

    
risposta data 17.09.2016 - 20:32
fonte

Leggi altre domande sui tag