TLS v1 è veramente sicuro per VOIP e videochiamate?

3

Molte applicazioni stanno ancora utilizzando TLS v1 per le videoconferenze e le chiamate VOIP. TLS v1 è davvero sicuro per video e voce e amp; videochiamata? o qualcuno può facilmente curiosare le tue sessioni con Wireshark o qualsiasi software di snooping?

Qualcuno può facilmente decifrare le sessioni TLS v1 con questi strumenti?

Quanto tempo sarebbe necessario ad uno sniffer per hackerare o decifrare le mie sessioni TLS v1?

    
posta Burraq Khan 24.05.2015 - 23:03
fonte

2 risposte

1

Can someone easily decrypt TLS v1 sessions with these tools?

Facilmente , no. Mentre TLS 1.0 può essere sottoposto a downgrade a SSL 3.0, che è vulnerabile all'attacco di POODLE, lo sfruttamento richiede un attacco MITM e non è possibile solo attraverso lo snooping passivo. Non sono noti metodi non MITM per interrompere TLS 1.0, oltre ad attaccare le primitive sottostanti, che è ancora più difficile di facilmente , anche se la rottura di RC4, se usata, è stata definita come "fattibile". / p>

La cosa migliore da fare sarebbe l'aggiornamento all'ultimo TLS e configurare almeno un endpoint per rifiutare le primitive e le lunghezze delle chiavi deboli.

    
risposta data 25.05.2015 - 01:19
fonte
1

Il protocollo TLS1 stesso è ancora considerato sicuro. Tuttavia, esistono ancora attacchi di downgrade come FREAK e Logjam che possono rendere possibili attacchi specifici. Entrambi questi sono attacchi in cui l'attaccante può costringerti a utilizzare una "chiave di esportazione" legacy debole che è fragile. Un software client o server correttamente configurato può evitare questi attacchi.

Inoltre, entrambe le estremità devono verificare la chiave degli altri lati in qualche modo. Ciò significa che ogni chiave è firmata correttamente da una CA attendibile o utilizza un altro modo predefinito per scambiare le chiavi in modo sicuro.

Semplicemente sniffando i pacchetti che vanno tra le due estremità è improbabile che produca molto. La maggior parte degli attacchi a TLS richiede una partecipazione attiva sotto forma di un attacco Man in the middle.

    
risposta data 25.05.2015 - 01:22
fonte

Leggi altre domande sui tag