¿Cuánto importa la versión TLS cuando se utiliza el mismo conjunto de cifrado?

4

Hace poco observé que Exchange Online ha cambiado a una versión inferior del protocolo TLS. Los correos electrónicos de Exchange Online a Gmail y otros inquilinos de Office 365 ahora se envían a través de TLS 1.0 en lugar de TLS 1.2, aunque con las mismas suites de cifrado ("ECDHE-RSA-AES128-SHA" y "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384", respectivamente).

No soy un experto en criptografía. Me gustaría saber cuánto importa este cambio en términos de seguridad, tanto teóricamente como en la práctica. ¿Hay alguna razón para que me preocupe?

[ Actualizar Ahora se están implementando actualizaciones para solucionar este problema. Sin embargo, me gustaría obtener una respuesta a mi pregunta.]

    
pregunta ȷ̇c 02.09.2016 - 02:16
fuente

1 respuesta

3

Las versiones de protocolo son importantes, incluso teniendo en cuenta el mismo conjunto de cifrado, porque el conjunto especifica las primitivas, pero no necesariamente cómo deben usarse. Por ejemplo, la diferencia fundamental entre SSLv3 y TLS1.0 que hace que el primero sea vulnerable a POODLE es que TLS exige la validación del relleno, y SSLv3 no. TLS 1.1 requiere un vector de inicialización explícito (en lugar del IV implícito utilizado en cifrados de bloque TLS1.0), y cambia la forma en que se manejan los errores de relleno; ninguna de estas cosas es particular a ningún cifrado dado.

Por supuesto, solo porque un protocolo requiera algo no significa que el implementador lo hará correctamente. Algunos equipos de red (como los equilibradores de carga) manejaban conexiones TLS1.0 pero no validaban el relleno (en violación de la especificación TLS, pero no de la especificación SSL), lo que también los hace vulnerables a POODLE. De manera similar, una de las cosas que hizo que Heartbleed fuera tan malo fue que OpenSSL permitió que se enviaran mensajes de latido antes de que se completara el apretón de manos, permitiendo a un atacante no confiable confiar en una conexión de hombre en el medio y atacar a ambos lados durante el apretón de manos. (Por supuesto, la lectura excesiva del búfer en el núcleo de Heartbleed también fue un error de implementación, pero es probable que el estándar no indique explícitamente que se supone que solo debe devolver los datos que la otra parte le envió en lugar de la memoria arbitraria. Sin embargo, especifica cuándo un mensaje de latido es legal.)

Las versiones de protocolo también pueden agregar soporte para suites de cifrado. TLS 1.2 agregó soporte para cifrados autenticados, lo que permite agregar conjuntos basados en AES-GCM y AES-CCM. Sin embargo, incluso si está utilizando las mismas suites de cifrado, corre más riesgo cuando el protocolo es más antiguo.

Para más detalles, es posible que desee preguntar sobre el Crypto SE. SSL / TLS es complicado y puedes encontrar personas allí que pueden explicar las piezas relevantes con mayor claridad.

    
respondido por el CBHacking 17.09.2016 - 20:32
fuente

Lea otras preguntas en las etiquetas