Registrar todas las claves criptográficas usadas para las conexiones SSL / TLS salientes en el servidor Linux

5

¿Existe alguna variable de entorno que funcione cómo funciona SSLKEYLOGFILE para programas que dependen de NSS pero que se aplicaría a todas las conexiones TLS / SSL salientes en un servidor Linux y no solo a las que usan NSS?

Específicamente quiero hacer un tcpdump del tráfico desde el demonio exim a todos los hosts extranjeros para tratar de depurar un problema y necesito poder descifrarlo después.

En caso de que sea útil, la ejecución de ldd /usr/sbin/exim enumera las siguientes bibliotecas (entre otras, por supuesto).

libssl.so.10
libcrypto.so.10
    
pregunta sa289 22.10.2015 - 17:07
fuente

1 respuesta

5

El archivo NSS SSL Keylog es una forma no intrusiva de extraer claves de sesión SSL de una aplicación que usa la biblioteca NSS para SSL / TLS, pero no hay una forma estándar de hacer lo mismo en todas las aplicaciones. (Un enfoque genérico involucraría a un hombre en el ataque central, pero esto no es realmente molesto).

Sin embargo, la idea de extraer claves de sesión directamente desde la aplicación es más aplicable. libssl.so sugiere que OpenSSL está en uso en una plataforma Linux (probablemente). Puede usar use LD_PRELOAD para interponer la biblioteca OpenSSL (puede que no funcione en todos los casos) o adjuntar un depurador con los puntos de interrupción apropiados. Ambos enfoques se documentan y exploran más detalladamente en Extraiga las claves pre-maestras de una aplicación OpenSSL .

Como una sugerencia adicional para la solución de problemas, mientras que Wireshark 1.12 puede descifrar los datos de la aplicación TLS (y la secuencia Seguir SSL se puede usar para ver la comunicación), no analiza el tráfico SMTP que se produce después de un protocolo de STARTTLS ( SMTPS no se ve afectado). En Wireshark 2.0 (fecha de lanzamiento provisional en noviembre de 2015, las versiones preliminares están disponibles ) el protocolo SMTP se reconoce correctamente después de STARTTLS.

    
respondido por el Lekensteyn 22.10.2015 - 22:51
fuente

Lea otras preguntas en las etiquetas