Come disabilitare le cifrature in modalità CBC

3

Esiste un modo semplice in stile lista nera per disattivare le suite di crittografia in modalità CBC in app che utilizzano un elenco di suite di crittografia openssl? Spero che qualcosa sia nello stile !RC4 , tuttavia !CBC non ha alcun effetto e consente ancora suite come TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 .

L'unica soluzione che ho trovato finora è utilizzare una whitelist molto più dettagliata che include solo crittografie non CBC. C'è un'alternativa più semplice?

    
posta Synchro 01.08.2017 - 08:34
fonte

2 risposte

1

Secondo l'elenco delle stringhe di cifratura fornite in la documentazione (codice utente) non esiste una stringa che descriva tutti i cifrari CBC. Ciò significa che non esiste un modo semplice per disattivare tutti questi (e solo questi) con un !CBC o simile.

    
risposta data 01.08.2017 - 09:37
fonte
0

Non c'è modo di farlo direttamente, comunque puoi scriverlo un po '.

Diciamo che la stringa iniziale delle suite di codici è !3DES:HIGH . (Dovresti probabilmente avere una stringa di suite di cifratura migliore per cominciare, ma questo è un buon punto di partenza e non ingombra troppo questa risposta.)

Ora fai questo:

$ openssl ciphers '!3DES:HIGH' \
    | sed -e 's/:/\n/g' \
    | grep -v GCM \
    | sed -e ':a' -e 'N' -e '$!ba' -e 's/\n/:!/g' -e 's/^/!/'

Spiegazione, per riga:

  1. Inizia con il set di codici che "vuoi" veramente
  2. Dividi l'elenco : -separato in una suite di crittografia one-line
  3. Rimuovi tutto ciò che non dice esplicitamente GCM
  4. Leggi l'intero file in una volta, sostituisci le nuove righe con :! , quindi aggiungi un ! all'inizio

Ora prendi questo output e posizionalo nella parte anteriore della stringa della suite di crittografia. Non buttare via il tuo originale, perché potresti voler rieseguire questo processo in un secondo momento quando la stringa iniziale delle suite di crittografia cambia, o se vengono aggiunti nuovi codici a OpenSSL o persino alla loro lista predefinita HIGH .

    
risposta data 05.10.2017 - 15:56
fonte

Leggi altre domande sui tag