È sicuro usare la crittografia TLS_RSA_WITH_NULL_SHA?

3

Vedo che viene elencato il codice TLS_RSA_WITH_NULL_SHA quando eseguo un test di connessione TLS_1.2 utilizzando lo strumento TestSSLServer. Ricordo che alcuni strumenti di test di sicurezza hanno riportato che il cifrario NULL dovrebbe essere deprecato e che non è una buona pratica implementare per un'applicazione sicura.

La mia domanda qui è quanto rischioso sarebbe avere RSA_WITH_NULL_SHA nella mia applicazione in cui la sicurezza è una delle maggiori preoccupazioni.

Qualsiasi suggerimento / commento / pensiero sono i benvenuti.

    
posta Farooq Mohammad 20.01.2017 - 14:53
fonte

1 risposta

3

Questo dipende in gran parte dai tuoi obiettivi di sicurezza. I codici NULL forniscono controlli di autenticità e integrità, ma non offrono riservatezza. Cioè, quando viene usato tale codice un avversario con una capacità di cattura del traffico passiva sarà in grado di sapere cosa stai inviando sul canale TLS. Inoltre, un avversario in posizione MitM può causare il downgrade in questo codice. Quindi, se la riservatezza è assolutamente importante anche in alcune circostanze, questo codice non dovrebbe essere sulla lista.

Anche in questo caso, per essere sicuro di capire, le cipherità NULL non offrono alcuna crittografia .

    
risposta data 20.01.2017 - 15:20
fonte

Leggi altre domande sui tag