TLS_RSA_WITH_3DES_EDE_CBC_SHA reportado como 112 bits

11

No soy un experto en esta área, pero después de algunas búsquedas no estoy muy seguro de la solución.

Un proveedor externo que realiza una prueba de concentración en nuestro servidor informó que tenemos TLS_RSA_WITH_3DES_EDE_CBC_SHA con 112 bits habilitados y lo reportamos como una amenaza. He leído que dichos cifrados se pueden desactivar en el sitio de Microsoft (estamos en Windows Server 2008) que es genial, pero después de leer un poco más sobre lo que esto significa en un forum veo que es una baja de 168 debido a una vulnerabilidad.

Extraer:

  

No soy un crypto-nerd pero si leo esta explicación correctamente, ese cifrado en particular tiene una seguridad efectiva de 112 bits, pero si el cifrado se logra mediante el uso de 3 claves de 56 bits (3 X 56 = 168)

Respuesta:

  

"Uno podría esperar que 3TDEA proporcione 56 × 3 = 168 bits de fuerza. Sin embargo, hay un ataque en 3TDEA que reduce la fuerza del trabajo que estaría involucrado en el agotamiento de una clave de 112 bits"

Puedo confirmar que SSLLabs califica de hecho que este cifrado sea 112 no 168, que supongo se debe a la vulnerabilidad.

en esta entrada se menciona que está relacionada con OpenSSL

  

Como actualización, a partir de la instantánea del 20 de junio de la base de código de OpenSSL, la fortaleza informada de las suites de cifrado 3DES ahora es de 112 bits en lugar de 168.

Ok. Si esto es correcto, ¿entonces esta rebaja solo puede aplicarse a los certificados emitidos con OpenSSL? No estoy seguro de cuál es la vulnerabilidad exacta que está causando la rebaja a 112.

De cualquier manera, ¿cuál es el enfoque real para deshabilitar esto? ¿Debo establecer la clave de registro (habilitada = 0x0) en las siguientes subclaves ?:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
Triple DES 112/112

o:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
Triple DES 168/168

o ambos, o algo más?

No puedo aplicar el cambio yo mismo, ya que no tengo permisos en estos servidores, pero necesito dar instrucciones a la persona que realizará el cambio.

    
pregunta aqwert 29.10.2015 - 00:33
fuente

2 respuestas

11

Debería deshabilitar todos los cifrados de DES triple porque las claves de DES triple de 192 bits solo tienen aproximadamente 112 bits de seguridad y las claves de DES triple de 128 bits tienen incluso menos de seguridad de 112 bits, en lugar de alrededor de 80 bits para los mejores ataques. Además, triple DES solo tiene un tamaño de bloque de 64 bits, lo que también es perjudicial para la seguridad.

Hay una diferencia entre el tamaño de la clave en la memoria, que incluye la sobrecarga como los bits de paridad (192 bits), los bits utilizados de la clave (168 bits), la seguridad prevista de la clave (112 bits) y la seguridad real dada Los posibles ataques en el cifrado (aún 112 bits). Las cifras entre paréntesis corresponden a las claves de DES triple (DES ABC). Para las claves dobles DES, llegará a 128 bits / 112 bits / 112 bits y 80 bits.

AES 128 tiene una seguridad real de más de 126 bits (128 bits codificados, 128 bits reales y 126 bits de seguridad), debería ser altamente preferido. También es mucho más rápido que 3DES y es ampliamente compatible, por lo que deshabilitar 3DES en conjunto debería ser la opción preferida, a menos que esté seguro de que los clientes fallarán.

En general, debe intentar lograr una seguridad de alrededor de 128 bits o más.

Notas:

respondido por el Maarten Bodewes 29.10.2015 - 00:55
fuente
7

La respuesta de Maarten es excelente, pero para ampliarla un poco, puede leer Meet Ataques en el medio . La idea es que, cuando tiene un cifrado criptográfico que consiste en realizar la misma operación con dos teclas diferentes en direcciones opuestas, puede buscar de manera efectiva el espacio clave desde ambas direcciones a la vez, almacenar resultados (requiere suficiente espacio para almacenar todos los valores clave posibles). ) y buscando coincidencias. Esto reduce en gran medida el tiempo de búsqueda (a costa de aumentar enormemente la cantidad de espacio de memoria necesaria para realizar la búsqueda).

Ambas formas de 3DES (ABA y ABC) usan este enfoque: "una tecla va en una dirección, otra tecla va en la otra dirección". El tercer paso proporciona algo de protección, incluso cuando solo se usa la primera tecla otra vez (modo ABA); sin el tercer pase, un atacante con una tabla de búsqueda de tamaño 2 ^ 56 puede interrumpir el "doble DES" en 2 ^ 57 operaciones (en el peor de los casos, cada clave posible en ambas direcciones), que es solo el doble de operaciones que la interrupción individual -DES (ahora posible en aproximadamente un día de trabajo para hardware dedicado). Sin embargo, se ha encontrado que este esquema ABA es más débil de lo que se esperaba originalmente. Según nuestro conocimiento, el modo ABC conserva la fuerza completa efectiva de dos veces la clave DES (aunque requiere tres claves DES).

También vale la pena señalar que 112 bits, o incluso 80 bits, son todavía espacios de búsqueda muy grandes (y 56 bits es una gran cantidad de memoria; necesitaría miles de discos duros de hoy para contenerla). Si bien es definitivamente una buena idea pasar a cifrados con una fuerza efectiva mínima de 128 bits, especialmente para cualquier cosa que desee mantener a salvo a largo plazo, hay muy pocas entidades en el mundo hoy en día (tal vez la NSA y su ilk) que puede romper un cifrado de 80 bits en un tiempo razonable, y ninguno * que pueda romper cifrados de 112 bits (que son aproximadamente 4 mil millones de veces más difíciles).

* Hasta donde sabemos, al menos ...

    
respondido por el CBHacking 29.10.2015 - 02:28
fuente

Lea otras preguntas en las etiquetas