¿Los ataques de BESTIA y CRIMEN se aplican a un servicio IMAP?

Navega tus respuestas
3

Al configurar el servicio IMAP de Dovecot, noté que los parámetros predeterminados no son óptimos, por ejemplo, permite SSLv3. Usando el programa TestSSLServer.java de Thomas Pournin, vi lo siguiente: 

...
Minimal encryption strength:     strong encryption (96-bit or more)
Achievable encryption strength:  strong encryption (96-bit or more)
BEAST status: vulnerable
CRIME status: vulnerable

A modo de comparación, GMail parece no ser vulnerable a ninguno de los ataques: 

$ java TestSSLServer imap.gmail.com 993
Supported versions: SSLv3 TLSv1.0 TLSv1.1 TLSv1.2
Deflate compression: no
Supported cipher suites (ORDER IS NOT SIGNIFICANT):
  SSLv3
     RSA_WITH_RC4_128_MD5
     RSA_WITH_RC4_128_SHA
     RSA_WITH_3DES_EDE_CBC_SHA
     RSA_WITH_AES_128_CBC_SHA
     RSA_WITH_AES_256_CBC_SHA
     TLS_ECDHE_RSA_WITH_RC4_128_SHA
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  (TLSv1.0: idem)
  (TLSv1.1: idem)
  TLSv1.2
     RSA_WITH_RC4_128_MD5
     RSA_WITH_RC4_128_SHA
     RSA_WITH_3DES_EDE_CBC_SHA
     RSA_WITH_AES_128_CBC_SHA
     RSA_WITH_AES_256_CBC_SHA
     TLS_RSA_WITH_AES_128_GCM_SHA256
     TLS_ECDHE_RSA_WITH_RC4_128_SHA
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
----------------------
Server certificate(s):
  89091347184d41768bfc0da9fad94bfe882dd358: CN=imap.gmail.com, O=Google Inc, L=Mountain View, ST=California, C=US
----------------------
Minimal encryption strength:     strong encryption (96-bit or more)
Achievable encryption strength:  strong encryption (96-bit or more)
BEAST status: protected
CRIME status: protected

La vulnerabilidad para CRIME se prueba al verificar si la compresión está habilitada o no. Alguien de la lista de correo de Dovecot afirmó que BEAST no se aplica al correo, es cierto ? ¿Debería preocuparme por BEAST y / o CRIME en el contexto de un servicio IMAP?

Al permitir solo TLSv1.1 y superior, el estado de BESTIA se convierte en "protegido". Aunque no pude deshabilitar la compresión. ¿Cuáles son los parámetros recomendados para un servicio IMAP donde los clientes son lo suficientemente modernos?

    
pregunta Lekensteyn 15.02.2014 - 12:07
fuente

1 respuesta

3

CRIME y BEAST son ataques de texto cifrado elegidos. El atacante debe enviar decenas de miles de solicitudes en conexión con el usuario. Esto funciona bien para un navegador web. En teoría, es posible para IMAP enviando correos electrónicos a la víctima, sin embargo, el texto sin formato de destino (contraseña IMAP) debe estar en el mismo paquete que el texto cifrado elegido. Este no suele ser el caso para IMAP.

Sin embargo, es probable que sea bueno copiar las versiones SSL y los algoritmos de los servicios IMAP populares, como Google.

    
respondido por el fel1x 23.07.2014 - 21:34
fuente

Lea otras preguntas en las etiquetas

¿Cómo genero una lista de palabras a partir de una palabra semilla conocida? [duplicar] Tarjetas EMV (chip): ¿qué sentido tiene que la tarjeta chip se comunique directamente con el servidor de autorización? & Aclaración de CDA en EMV