¿Hay una lista de cifrados SSH débiles?

5

¿Hay un sitio que proporcione una lista de conjuntos de cifrado débiles para (Open) SSH? Sé, por ejemplo, que no se recomienda arcfour, pero hay una lista completa de otras suites de cifrado ofrecidas, donde no estoy muy seguro.

    
pregunta skipper 26.02.2018 - 15:10
fuente

2 respuestas

6

En la mayoría de los sistemas, OpenSSH es compatible con AES, ChaCha20, Blowfish, CAST128, IDEA, RC4 y 3DES. Supongo que usted está hablando de los cifrados simétricos utilizados. Si también se está preguntando sobre el HMAC y el intercambio de claves, puedo editar mi respuesta para explicar cuáles de ellos son fuertes o débiles también.

El bien

AES y ChaCha20 son los mejores cifrados que se admiten actualmente. AES es el estándar de la industria, y todos los tamaños de clave (128, 192 y 256) actualmente son compatibles con una variedad de modos (CTR, CBC y GCM). ChaCha20 es un cifrado más moderno y está diseñado con un margen de seguridad muy alto. Es muy rápido. Si bien AES es seguro, el modo CBC conduce a algunas vulnerabilidades , por lo que ya no se recomienda. Se preferiría el modo CTR, o mejor GCM. ChaCha20, por otro lado, es un cifrado de flujo, por lo que no utiliza un modo de operación de bloqueo y, por lo tanto, no puede usar CBC de forma insegura. ChaCha20 además utiliza Poly1305 para la autenticación, lo que hace innecesario un HMAC. A diferencia de un HMAC, Poly1305 no se basa en la asunción de seguridad de ningún algoritmo de hash. Mientras el cifrado subyacente sea seguro, la autenticación será ininterrumpida.

Lo malo

Blowfish, IDEA y CAST128 no son cifrados malos per se, pero tienen un tamaño de bloque de 64 bits. Esto significa que la clave se debe volver a sembrar periódicamente. Además, debido a un ataque de encuentro en el medio , se redujo su seguridad efectiva de 168 bits a 112 bits. Esto no es horrible, pero no es lo ideal. El problema con los tamaños de bloque de 64 bits se describe bastante bien en el sitio web de Sweet32 , que describe los ataques posibles. Lo esencial es que el cifrado de una gran cantidad de datos con una sola clave puede filtrar información sobre el texto plano. Cuando se encriptan 32 GiB de datos, las cosas se ponen realmente mal. A menudo se recomienda cambiar las claves después de cada 4 GiB. Si bien los bloques pequeños no son grandes, OpenSSH reinicia automáticamente estos cifrados con más frecuencia que de otra manera para intentar mitigar este defecto. Los cifrados en sí no son particularmente malos. Estos cifrados, aunque antiguos, no están sujetos a ningún ataque conocido que permita una ruptura completa del cifrado. Simplemente hay mejores alternativas por ahí.

El feo

Arcfour, o RC4, es como usted dijo que no es particularmente seguro. Se sabe que existen sesgos estadísticos , y se siguen descubriendo nuevos ataques. Aunque OpenSSH elimina los primeros 1536 bytes problemáticos del cifrado, todavía está sujeto a una variedad de otros ataques. Evita utilizar RC4.

En general, debe usar ChaCha20 o AES y evitar RC4. Utilice 3DES solo cuando sea necesario para la compatibilidad con versiones anteriores. La configuración predeterminada de OpenSSH en cualquier instalación moderna debería estar bien en prácticamente todas las circunstancias. No puedes equivocarte usando los valores predeterminados.

    
respondido por el forest 26.02.2018 - 15:36
fuente
1

Para agregar a la respuesta del bosque, existen funciones criptográficas adicionales además del cifrado simétrico, como el hash (o HMAC), el cifrado de clave pública-privada y más.

NIST 140-2 cubre todo esto. enlace

    
respondido por el MikeP 25.04.2018 - 17:43
fuente

Lea otras preguntas en las etiquetas