TLS_RSA_WITH_AES_128_CBC_SHA en Windows XP

Navega tus respuestas
2

Primero déjame decirte que sé que XP está mal y muerto.

Dicho esto, estaba vagando si un software escrito utilizando .NET podría hacer conexiones TLS 1.0 que usan el TLS_RSA_WITH_AES_128_CBC_SHA cuando se ejecuta en Windows XP?

O, alternativamente, ¿existe algún cifrado de protocolo seguro que pueda ser utilizado por una aplicación .NET que se ejecute en Windows XP para comunicarse con un servidor web a través de https y, de ser así, qué se debe hacer para permitir eso?

¿De dónde provienen los cifrados cuando se usa una aplicación .NET? ¿Es parte de .NET Framework? ¿O el marco en sí utiliza los cifrados proporcionados por el sistema operativo?

    
pregunta epeleg 31.05.2016 - 22:10
fuente

2 respuestas

3

Para TLS, el marco .NET utiliza la API TLS subyacente expuesta por el sistema operativo. No vuelve a implementar el protocolo TLS en el código administrado.

La pila TLS del sistema operativo obtiene el soporte de cifrado del proveedor criptográfico local. En XP, esto es CAPI (API criptográfica) que no es compatible con AES. En versiones posteriores de Windows, el CAPI se reemplazó con CNG (Cryptography Next Generation) que sí es compatible con AES.

Lamentablemente, no hay nada que pueda hacer al respecto si desea utilizar el proveedor TLS nativo o las clases HTTP nativas en .NET Framework. Tendrá que cambiarse a una implementación administrada que incluya dichas funciones, aunque no conozco ningún producto comercial que lo ayude aquí.

    
respondido por el Polynomial 31.05.2016 - 22:25
fuente
1
  

O, alternativamente, ¿existe algún cifrado de protocolo seguro que pueda ser utilizado por una aplicación .NET que se ejecute en Windows XP para comunicarse con un servidor web a través de https y, de ser así, qué se debe hacer para permitir eso?

Según entiendo, la opción menos mala para la pila de Windows SSL / TLS en XP es tls_rsa_with_3des_ede_cbc_sha. Se considera que 3DES tiene una resistencia efectiva de ~ 112 bits que generalmente se considera suficiente.

Un problema mayor es que los conjuntos de cifrados CBC, especialmente en versiones anteriores de tls, se consideran vulnerables en algunas aplicaciones (en particular aplicaciones como navegadores web donde un atacante puede ejercer mucha influencia en el tráfico). enlace enlace enlace

    
respondido por el Peter Green 01.06.2016 - 02:38
fuente

Lea otras preguntas en las etiquetas

Programa no seguro C que acepta entradas de cadena maliciosas ¿Puede el servidor detectar cuándo un cliente ha deshabilitado la fijación de certificados?