TLS_RSA_WITH_AES_128_CBC_SHA su Windows XP

2

Lasciami prima dire, so che XP è brutto e morto.

Detto questo, stavo vagando se un software scritto usando .NET poteva fare connessioni TLS 1.0 che usano TLS_RSA_WITH_AES_128_CBC_SHA quando si esegue su Windows XP?

O in alternativa, esiste un protocollo sicuro + cifrario che può essere utilizzato da un'app .NET in esecuzione su Windows XP per contattare un server Web tramite https e, in caso affermativo, cosa occorre fare per consentirlo?

Da dove provengono i codici quando si usa un'app .NET? Fa parte di .NET Framework? O il framework stesso utilizza le cifre fornite dal sistema operativo?

    
posta epeleg 31.05.2016 - 22:10
fonte

2 risposte

3

Per TLS, il framework .NET utilizza l'API TLS sottostante esposta dal sistema operativo. Non implementa nuovamente il protocollo TLS nel codice gestito.

Lo stack TLS del sistema operativo estrae il supporto crittografico dal provider crittografico locale. In XP, questo è CAPI (Cryptographic API) che non supporta AES. Nelle versioni successive di Windows, CAPI è stato sostituito con CNG (Cryptography Next Generation) che supporta AES.

Sfortunatamente non c'è niente che puoi fare a riguardo se vuoi usare il provider TLS nativo o le classi native native in .NET Framework. Dovrai passare a un'implementazione gestita che include tali funzionalità, anche se non sono a conoscenza di prodotti pronti per l'uso che potrebbero aiutarti.

    
risposta data 31.05.2016 - 22:25
fonte
1

Or alternatively, Is there any secure protocol+cipher that can be used by a .NET app running on Windows XP to contact a web server over https and if so what need to be done to allow that?

A quanto ho capito, l'opzione meno valida per lo stack Windows SSL / TLS su XP è tls_rsa_with_3des_ede_cbc_sha. Si ritiene che 3DES abbia una forza effettiva di ~ 112 bit che è generalmente considerata sufficiente.

Un problema più grande è che le crittografie CBC specialmente nelle versioni precedenti di tls sono considerate vulnerabili in alcune applicazioni (in particolare applicazioni come i browser web in cui un utente malintenzionato può esercitare una grande influenza sul traffico). link link link

    
risposta data 01.06.2016 - 02:38
fonte

Leggi altre domande sui tag