Gli attacchi BEAST e CRIME si applicano a un servizio IMAP?

3

Durante l'impostazione del servizio DovAPot IMAP, ho notato che i parametri predefiniti non sono ottimali, ad esempio consente SSLv3. Utilizzando il programma TestSSLServer.java di Thomas Pournin , ho visto quanto segue:

...
Minimal encryption strength:     strong encryption (96-bit or more)
Achievable encryption strength:  strong encryption (96-bit or more)
BEAST status: vulnerable
CRIME status: vulnerable

Per confronto, GMail sembra non essere vulnerabile ad entrambi gli attacchi:

$ java TestSSLServer imap.gmail.com 993
Supported versions: SSLv3 TLSv1.0 TLSv1.1 TLSv1.2
Deflate compression: no
Supported cipher suites (ORDER IS NOT SIGNIFICANT):
  SSLv3
     RSA_WITH_RC4_128_MD5
     RSA_WITH_RC4_128_SHA
     RSA_WITH_3DES_EDE_CBC_SHA
     RSA_WITH_AES_128_CBC_SHA
     RSA_WITH_AES_256_CBC_SHA
     TLS_ECDHE_RSA_WITH_RC4_128_SHA
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  (TLSv1.0: idem)
  (TLSv1.1: idem)
  TLSv1.2
     RSA_WITH_RC4_128_MD5
     RSA_WITH_RC4_128_SHA
     RSA_WITH_3DES_EDE_CBC_SHA
     RSA_WITH_AES_128_CBC_SHA
     RSA_WITH_AES_256_CBC_SHA
     TLS_RSA_WITH_AES_128_GCM_SHA256
     TLS_ECDHE_RSA_WITH_RC4_128_SHA
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
----------------------
Server certificate(s):
  89091347184d41768bfc0da9fad94bfe882dd358: CN=imap.gmail.com, O=Google Inc, L=Mountain View, ST=California, C=US
----------------------
Minimal encryption strength:     strong encryption (96-bit or more)
Achievable encryption strength:  strong encryption (96-bit or more)
BEAST status: protected
CRIME status: protected

La vulnerabilità per CRIME viene verificata controllando se la compressione è abilitata o meno. Qualcuno della mailing list di Dovecot ha affermato che BEAST non si applica alla posta, è vero ? Dovrei essere preoccupato per BEAST e / o CRIME nel contesto di un servizio IMAP?

Consentendo solo TLSv1.1 e versioni successive, lo stato BEAST diventa "protetto". Non ero in grado di disabilitare la compressione però. Quali sono i parametri raccomandati per un servizio IMAP in cui i client sono sufficientemente moderni?

    
posta Lekensteyn 15.02.2014 - 12:07
fonte

1 risposta

3

CRIME e BEAST sono scelti come attacchi di testo cifrato. L'utente malintenzionato deve inviare decine di migliaia di richieste nella connessione dell'utente. Funziona bene per un browser web. In teoria, è possibile per IMAP inviando mail alla vittima, tuttavia il testo in chiaro di destinazione (password IMAP) deve essere nello stesso pacchetto del testo cifrato scelto. Questo di solito non è il caso di IMAP.

Tuttavia, probabilmente è bene copiare le versioni SSL e gli algoritmi offerti dai servizi IMAP più diffusi, come Google.

    
risposta data 23.07.2014 - 21:34
fonte

Leggi altre domande sui tag