¿Cómo puede un certificado RSA-2048 ser vulnerable al ataque de logjam? [duplicar]

0

Lo más probable es que me falten algunos fundamentos: nuestros servidores web están protegidos con cifrado TLS. Utilizamos certificados RSA-2048 bit. El ataque logjam apunta al algoritmo DH. ¿Cómo pueden nuestros servidores web ser vulnerables al ataque de logjam? ¿Se utiliza una combinación de ambos algoritmos de cifrado? También Chrome declara para nuestra conexión:

  • Autenticación y cifrado con AES_128_GCM
  • ECDHE_RSA para intercambio de claves

Hemos eliminado el soporte para varias suites de cifrado hace un tiempo y weakdh.org confirmó que ya no somos vulnerables. Aún no entiendo por qué fuimos vulnerables en primer lugar con RSA-2048.

    
pregunta ReG-Mac 01.02.2016 - 06:37
fuente

1 respuesta

1

[EC] DHE_RSA significa que el secreto compartido entre el cliente y el servidor se calcula a través de Diffie-Hellman. En el caso de DHE, cada sesión tiene sus propios parámetros DH (DHE = curva elíptica Diffie-Hellman efímero ) que se realiza para proporcionar secreto de reenvío . Es algo como esto (simplificado):

  • El servidor genera algunos parámetros DH.
  • El servidor firma los parámetros DH con su clave a largo plazo (es decir, su clave RSA 2048) y envía los parámetros y la firma al cliente.
  • El cliente verifica la firma de los parámetros con la clave pública RSA 2048 contenida en el certificado de servidores.
  • Si la firma es buena, el cliente y el servidor usan DH con estos parámetros para establecer un secreto compartido del cual derivan claves para la sesión.

Entonces, si su servidor genera parámetros DH que son demasiado pequeños (por ejemplo, 512 bits) o si es compatible con DHE_EXPORT (o cualquier otra cosa mencionada en el documento de logjam), entonces todavía es vulnerable al ataque. Puede consultar esta respuesta para una buena discusión sobre la seguridad de los parámetros de DH. La idea clave es que la clave RSA a largo plazo se está utilizando para garantizar que los parámetros enviados al cliente no hayan sido manipulados y generados por el servidor. La generación / derivación de clave real se realiza a través de DH.

(Debe tenerse en cuenta que EC DHE no tiene este problema, por lo que cualquier conjunto de cifrado con ECDHE_RSA debería estar bien).

    
respondido por el puzzlepalace 01.02.2016 - 08:58
fuente

Lea otras preguntas en las etiquetas