¿Debo ignorar la vulnerabilidad de BEAST SSL y seguir prefiriendo AES?

Navega tus respuestas
4

Debido a la vulnerabilidad de BEAST, parece que todos están diciendo que debes dejar de usar AES y, en cambio, usar RC4.

Me pregunto si no sería mejor continuar usando AES por las siguientes razones:

  1. Para explotar BEAST, el atacante debe hacer que el cliente ejecute su código javascript. Si pueden hacer esto, entonces tiene una vulnerabilidad XSS en su sitio. Si este es el caso, ¿no sería mucho más fácil simplemente secuestrar la sesión del usuario o tomar los datos de la ventana del navegador y enviarlos de esa manera en lugar de tratar de usar BEAST?
  2. RC4, que es lo que todos recomiendan, me parece más vulnerable que AES. Es lo que se usa en WEP. ¿Es la implementación utilizada por los navegadores más segura?

EDIT

Miré el enlace en la respuesta de Jeff. Para hacer que este exploit funcione, el atacante debe poder hacer que el cliente se comunique con el sitio para el que desea descifrar el tráfico. SOP debería evitar que esto suceda. Se puede usar una vulnerabilidad XSS en el sitio o una vulnerabilidad en un complemento del navegador (como Java, Flash, Silverlight) para evitar la limitación de SOP. En el documento, usan una vulnerabilidad en Java para hacer esto.

En resumen: SOP debería protegerlo contra esto, pero puede que no. Si tiene una vulnerabilidad XSS en su sitio, este es el menor de sus problemas.

EDIT 2

La respuesta de Thomas se aplica aquí: ¿Qué cifrados debo usar en mi servidor web después de configurar mi certificado SSL?

    
pregunta Sarel Botha 29.09.2011 - 16:54
fuente

5 respuestas

4

1) Esto no se explota a través de XSS, sino a través de un cliente que visita un sitio malicioso. El sitio web de destino no necesita mostrar ningún defecto en absoluto. Detalles: enlace

2) RC4 en WEP era vulnerable debido a una falla de implementación. AES en modo TLS 1.0 / CBC ... exactamente el mismo tipo de problema. Siguen siendo algoritmos fuertes, solo tuvieron un error en la forma en que fueron utilizados.

Los navegadores se están adaptando al enviar paquetes de un byte al comienzo de las conexiones. Esto hace que el resto se rellene con un relleno aleatorio y, por lo tanto, niega la capacidad de utilizar el texto sin formato elegido en función de la inicialización de CBC.

¿Debes cambiar las cifras? Bueno, RC4 derrota el ataque, no presenta una nueva superficie de ataque conocida, y Google parece estar haciendo bastante bien con él. Por esas razones, yo personalmente lo cambiaría.

    
respondido por el Jeff Ferland 30.09.2011 - 06:18
fuente
2

No es realmente una respuesta a toda tu pregunta, pero RC4 no es intrínsecamente inseguro. Así fue como WEP lo usó.

De acuerdo con SecurityNow! episodio 11 :

  

Steve: Bueno, y, por ejemplo, utiliza una tecnología de cifrado extremadamente buena llamada RC4. Es un cifrado de propiedad RSA que es muy bueno para el cifrado siempre y cuando lo uses correctamente. Y esa es realmente la clave. La base del cifrado WEP, con este cifrado RC4, es extremadamente fuerte. Pero fue usado de una manera muy mala.

    
respondido por el Aeo 29.09.2011 - 17:46
fuente
2

Para una aplicación web, a menos que sepa que sus clientes van a usar IE, entonces probablemente debería atenerse a RC4.

Para una aplicación no web, solo obligue al cliente a usar TLS 1.1 o 1.2 y el problema desaparecerá.

Hay una solución del lado del cliente, y se implementa en SChannel (utilizado por IE), pero solo en la versión de desarrollo de NSS (utilizada por Firefox y Chrome). Lo último que supe es que no querían habilitar la solución para todos debido a que causaba problemas al conectarse a servidores web más antiguos. La única solución del lado del servidor es evitar todos los cifrados de bloque, lo que significa RC4. El cual, a pesar de ser un cifrado de flujo de 25 años, no tiene ataques demostrados, como se usa en TLS 1.0

    
respondido por el Jason 03.10.2012 - 23:14
fuente
1

RC4 como se usa en TLS es seguro. * -cbc es, de forma limitada pero no trivial, BEAST lo explota, no es seguro.

    
respondido por el Steve Dispensa 30.09.2011 - 03:38
fuente
0

solo una actualización,

A partir de 2013, se especula que algunas agencias criptológicas estatales pueden poseer la capacidad de romper RC4 incluso cuando se usan en el protocolo TLS. Microsoft recomienda deshabilitar RC4 siempre que sea posible.

fuente: enlace

así que prefiero AES-128

    
respondido por el VP. 02.01.2014 - 10:33
fuente

Lea otras preguntas en las etiquetas

¿Las copias de seguridad de volúmenes truecrypt con frases de acceso diferentes son un riesgo para la seguridad? SSL, SSH, OPENVPN, etc. ¿Cuál?