Làm cách nào để xác định độ dài khóa của một số mô-đun Diffie Hellman để chống lại lỗ hổng Log Jam?

Mick8695

10:59, 30/07/2023

Tôi có các mật mã Diffie-Hellman sau trên một trong các máy chủ của mình

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256     
TLS_DHE_DSS_WITH_AES_256_CBC_SHA        
TLS_DHE_DSS_WITH_AES_128_CBC_SHA      
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Tôi đã được yêu cầu vô hiệu hóa bất kỳ mô đun Diffie-Hellman nào dưới 2048 bit

Tôi đã quản lý để tìm ra rằng đã phát hiện ra rằng:

TLS_DHE_RSA_WITH_AES_256_CBC_SHA 
TLS_DHE_RSA_WITH_AES_128_CBC_SHA

có độ dài bit là 1024 nhưng tôi thực sự đang gặp khó khăn trong việc tìm độ dài bit thực tế của 4 mật mã đầu tiên mà tôi đã đề cập..Tôi đã tìm kiếm trên internet nhưng tôi không thể tìm thấy gì?

Tôi có thiếu thứ gì không? Mọi sự giúp đỡ đều nhận được sự biết ơn

0 + 0

diffie-hellman

dave_thompson_085

00:52, 31/07/2023

Để rõ ràng: bằng cách nào đó bạn đã kiểm tra 2 bộ DHE_RSA đó, nhóm DHE là 1024 bit (không phải chứng chỉ RSA)? Nếu vậy, rất có thể máy chủ sẽ sử dụng cùng một nhóm cho DHE_DSS nếu nó hoàn toàn hỗ trợ DHE_DSS (điều này sẽ chỉ như vậy nếu nó có cấu hình khóa và chứng chỉ DSA và các chứng chỉ DSA rất hiếm, ngoài các chứng chỉ tự ký được sử dụng trong Java cũ hơn -- và Java cũ hơn không bao giờ làm DHE trên 768). Trong mọi trường hợp, hãy xem cấu hình/phần mềm máy chủ hoặc kết nối với nó và xem những gì bạn nhận được, ví dụ:. với `openssl s_client`. Không đăng dưới dạng câu trả lời vì điều này không thực sự nằm trong chủ đề của Ngăn xếp này.

Hồi đáp

knaccc

15:47, 31/07/2023

Điều này phụ thuộc vào việc thực hiện của bạn. Ví dụ. nếu bạn có máy chủ Java, bạn muốn đặt tham số hệ thống `jdk.tls.ephemeralDHKeySize=2048`

Hồi đáp

Mick8695

17:44, 05/09/2023

xin chào, tôi nên đăng nó vào ngăn xếp nào?

Hồi đáp

Điểm:1

Crypto

poncho

14:21, 31/07/2023

Tôi có thiếu thứ gì không?

Trên thực tế, trong giao thức TLS, nhóm DH được sử dụng không bị ràng buộc với bộ mật mã (ngay cả đối với bộ mật mã chỉ định việc sử dụng DH); thay vào đó, chúng được đàm phán riêng (đối với bộ mật mã DHE, máy chủ đề xuất nó trong quá trình bắt tay ServerKeyExchange).

Tôi không biết khả năng cấu hình mà triển khai của bạn có liên quan đến nhóm DH nào được đề xuất/chấp nhận - tuy nhiên, việc vô hiệu hóa các bộ mật mã cụ thể có thể không phải là phương pháp chính xác. Việc triển khai của bạn có thể có một giả định tích hợp sẵn rằng "đối với bộ mật mã cụ thể này, chúng tôi luôn sử dụng nhóm DH cụ thể đó" - đó không phải là phỏng đoán đầu tiên của tôi.

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How do I ascertain the key length of some Diffie Hellman moduli to counteract the Log Jam vulnerability?

TH: ฉันจะทราบความยาวของคีย์ของโมดูล Diffie Hellman บางตัวเพื่อป้องกันช่องโหว่ Log Jam ได้อย่างไร

RO: Cum aflu lungimea cheii unor module Diffie Hellman pentru a contracara vulnerabilitatea Log Jam?

RU: Как определить длину ключа некоторых модулей Диффи-Хеллмана, чтобы противодействовать уязвимости Log Jam?

VI: Làm cách nào để xác định độ dài khóa của một số mô-đun Diffie Hellman để chống lại lỗ hổng Log Jam?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.