Điểm:1

Làm cách nào để xác định độ dài khóa của một số mô-đun Diffie Hellman để chống lại lỗ hổng Log Jam?

lá cờ us

Tôi có các mật mã Diffie-Hellman sau trên một trong các máy chủ của mình

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256     
TLS_DHE_DSS_WITH_AES_256_CBC_SHA        
TLS_DHE_DSS_WITH_AES_128_CBC_SHA      
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Tôi đã được yêu cầu vô hiệu hóa bất kỳ mô đun Diffie-Hellman nào dưới 2048 bit

Tôi đã quản lý để tìm ra rằng đã phát hiện ra rằng:

TLS_DHE_RSA_WITH_AES_256_CBC_SHA 
TLS_DHE_RSA_WITH_AES_128_CBC_SHA 

có độ dài bit là 1024 nhưng tôi thực sự đang gặp khó khăn trong việc tìm độ dài bit thực tế của 4 mật mã đầu tiên mà tôi đã đề cập..Tôi đã tìm kiếm trên internet nhưng tôi không thể tìm thấy gì?

Tôi có thiếu thứ gì không? Mọi sự giúp đỡ đều nhận được sự biết ơn

dave_thompson_085 avatar
lá cờ cn
Để rõ ràng: bằng cách nào đó bạn đã kiểm tra 2 bộ DHE_RSA đó, nhóm DHE là 1024 bit (không phải chứng chỉ RSA)? Nếu vậy, rất có thể máy chủ sẽ sử dụng cùng một nhóm cho DHE_DSS nếu nó hoàn toàn hỗ trợ DHE_DSS (điều này sẽ chỉ như vậy nếu nó có cấu hình khóa và chứng chỉ DSA và các chứng chỉ DSA rất hiếm, ngoài các chứng chỉ tự ký được sử dụng trong Java cũ hơn -- và Java cũ hơn không bao giờ làm DHE trên 768). Trong mọi trường hợp, hãy xem cấu hình/phần mềm máy chủ hoặc kết nối với nó và xem những gì bạn nhận được, ví dụ:. với `openssl s_client`. Không đăng dưới dạng câu trả lời vì điều này không thực sự nằm trong chủ đề của Ngăn xếp này.
knaccc avatar
lá cờ es
Điều này phụ thuộc vào việc thực hiện của bạn. Ví dụ. nếu bạn có máy chủ Java, bạn muốn đặt tham số hệ thống `jdk.tls.ephemeralDHKeySize=2048`
Mick8695 avatar
lá cờ us
xin chào, tôi nên đăng nó vào ngăn xếp nào?
Điểm:1
lá cờ my

Tôi có thiếu thứ gì không?

Trên thực tế, trong giao thức TLS, nhóm DH được sử dụng không bị ràng buộc với bộ mật mã (ngay cả đối với bộ mật mã chỉ định việc sử dụng DH); thay vào đó, chúng được đàm phán riêng (đối với bộ mật mã DHE, máy chủ đề xuất nó trong quá trình bắt tay ServerKeyExchange).

Tôi không biết khả năng cấu hình mà triển khai của bạn có liên quan đến nhóm DH nào được đề xuất/chấp nhận - tuy nhiên, việc vô hiệu hóa các bộ mật mã cụ thể có thể không phải là phương pháp chính xác. Việc triển khai của bạn có thể có một giả định tích hợp sẵn rằng "đối với bộ mật mã cụ thể này, chúng tôi luôn sử dụng nhóm DH cụ thể đó" - đó không phải là phỏng đoán đầu tiên của tôi.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.