记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

针对TLS Logjam加密缺陷的加固方法

2015-05-22 17:10

分享到:

http://hackdig-h.stor.sinaapp.com/pictures/month_1505/201505221710121217.jpg

Logjam攻击利用了一个影响所有版本TLS协议的软点,它允许中间一层降级到512位出口加密级别限制。

我们建议使用超过1024位的Diffie-Hellman参数。一般的建议是尽可能使用4096位的参数,但是至少和RSA密钥长度相同。这就意味着当你使用2048位RSA密钥时,使用2048位或者更长的参数。

当你使用服务器守护程序,这个守护程序允许你从一个文件里指定DH-paramter,仔细检查你做的工作。大多数默认设置都是1024位。如果你的服务器守护程序不允许指定文件,检查是否有版本更新。请记住,一些客户端和服务器在DH-Parameter大于1024位时,不会正常工作。

与往常一样更新软件,不要依靠默认安全设置。

测试

如果你的服务器受到了影响,你想进行安全测试,你可以使用openssl(1) 1.0.2。OpenSSL 0.9.8/1.0.1不会输出DH-Parameter信息。

Webserver:

echo | openssl s_client -connect bettercrypto.org:443 -cipher "EDH" 2>/dev/null | grep -ie "Server .* key"

Mailserver:

Mail transport agent (MTA)

echo | openssl s_client -starttls smtp -connect smtp.example.com:25 -cipher "EDH" 2>/dev/null | grep -ie "Server .* key"

Mail submission agent (MSA)

echo | openssl s_client -starttls smtp -connect submission.example.com:587 -cipher "EDH" 2>/dev/null | grep -ie "Server .* key"

XMPP/Jabber

echo | openssl s_client -starttls xmpp -connect jabber.example.com:5222 -cipher "EDH" 2>/dev/null | grep -ie "Server .* key"

输出这两行:

这是RSA的长度。

Server public key is 4096 bit

 这是 DH-Parameter size。如果这个长度<1024,你就需要修改设置了。

Server Temp Key: DH, 4096 bits

延伸阅读

你可以从这里获得更多有关Logjam攻击的技术细节https://weakdh.org/.

Emilia Kasper贴出了一篇文章Logjam, FREAK and Upcoming Changes in OpenSSL (https://openssl.org/blog/blog/2015/05/20/logjam-freak-upcoming-changes/),会给你下一步OpenSSL更新做出提示。

技术文档Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice(https://weakdh.org/imperfect-forward-secrecy.pdf)。

Hanno Böck写了一篇长文。. Logjam-Angriff: Schwäche im TLS-Verfahren gefährdet zehntausende Webseiten(http://www.golem.de/news/logjam-angriff-schwaeche-im-tls-verfahren-gefaehrdet-zehtausende-webseiten-1505-114161.html)。

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:https://bettercrypto.org/blog/2015/05/20/tls-logjam/

知识来源: bobao.360.cn/learning/detail/413.html

阅读:75542 | 评论:0 | 标签:加密

想收藏或者和大家分享这篇好文章→复制链接地址

“针对TLS Logjam加密缺陷的加固方法”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词