Под кодовым именем Logjam (https://weakdh.org/) представлена новая атака на TLS, которой подвержено большое число клиентских и серверных систем, использующих HTTPS, SSH, IPsec, SMTPS и другие протоколы на базе TLS. По своей сути Logjam напоминает представленную в марте атаку FREAK (http://www.opennet.me/opennews/art.shtml?num=41782) и отличается тем, что вместо инициирования смены шифров RSA на RSA_EXPORT в Logjam производится откат протокола Диффи-Хеллмана (https://ru.wikipedia.org/wiki/%D0%9F%D1%... (Diffie-Hellman), используемого для получения ключа для дальнейшего шифрования, до слабозащищённого уровня DHE_EXPORT, что в сочетании с использованием не уникальных начальных простых чисел (https://ru.wikipedia.org/wiki/%D0%9F%D1%... при обмене ключами позволяет применить методы подбора ключа.При успешном проведении MITM-атаки и наличии у атакующего достаточных вычислительных мощностей, возможно чтение и модификация данных, передаваемых в рамках защищённого канала связи. Для серверов поддерживающих DHE_EXPORT и использующих для генерации ключа не уникальные 512-разрядные группы начальных чисел Диффи-Хеллмана, успешность совершения атаки при использовании типового оборудования оценивается в 80%. Обладающие более мощным оборудованием исследователи могут успешно восстановить 768-разрядные числа, а спецслужбам по зубам может оказаться подбор 1024-разрядных чисел. Определение одного из начальных чисел, которые используются (https://ru.wikipedia.org/wiki/%D0%9F%D1%... для генерации секретного ключа, позволяет организовать пассивное прослушивания HTTPS-трафика. Определение второго ключа даёт возможность прослушивания VPN и SSH.
Проблеме подвержены все популярные web-браузеры и значительное число серверов, в настройках которых допускается использование 512-разрядных ключей Диффи-Хеллмана. Для администраторов серверных систем подготовлено специальное руководство (https://weakdh.org/sysadmin.html) по корректной настройке TLS в Apache httpd, nginx, Lighttpd, Postfix, Sendmail, Dovecot, Tomcat, HAProxy. На той же странице доступна форма для проверки своего сервера на подверженность атаке. Пользователям web-браузеров и клиентских систем рекомендуется дождаться выпуска обновлений программ.В процессе сканирования глобальной сети было выявлено, что из-за использования DHE_EXPORT атаке Logjam подвержено 8.4% доступных по HTTPS сайтов из миллиона самых популярных доменов, 3.4% HTTPS-сайтов, отображаемых в браузере как заслуживающих доверия, 14.8% почтовых серверов со StartTLS, 8.9% почтовых серверов с POP3S и 8.4% почтовых серверов с IMAPS. Для ресурсов, допускающих применение типовых совместно используемых 1024-разрядных групп начальных чисел Диффи-Хеллмана, цифры более внушительные: атаке по организации пассивного прослушивания потенциально подвержены 17.9% HTTPS-сайтов, 25.7% - SSH-серверов и 66.1% - IPsec VPN.
URL: https://isc.sans.edu/diary/Logjam+-+vulnerabilities+in+Diffi...
Новость: http://www.opennet.me/opennews/art.shtml?num=42270
Как я все-таки был прав по поводу SSL/TLS.
Ты дурак или притворяешься?Атака не на сам слой TLS!
На понижение протокола для совместимости со старым мусором.
> На понижение протокола для совместимости со старым мусором.При том уже далеко не первая атака такого плана. Что и делает протокол в целом мусором.
Больно дофига всего умеет и его конфигурирование в секурный вид - рокетсайнс. А поскольку далеко не все являются криптографами, "конец немного предсказуем".
> Больно дофига всего умеет и его конфигурирование в секурный вид - рокетсайнс.Специально для вас:
https://mozilla.github.io/server-side-tls/ssl-config-generator/Ну и методичка:
https://wiki.mozilla.org/Security/Server_Side_TLS
> Специально для вас:
> https://mozilla.github.io/server-side-tls/ssl-config-generator/Во наглость! Опять это хомячье Xasd меня учит жизни, хотя я в криптографии получше этого ламака разбираюсь. Слышь, ламак, для меня - это http://nacl.cr.yp.to/index.html
А свое мегаценное мнение можешь засунуть туда где ему самое место. И не забудь перегенерить конфиг в очередной раз, когда через месяц в этом рeшeте SSL очередную дыру найдут. И так, на подумать: браузер в какой-нибудь убунте в два счета открывает тестовый сервак с этим урезком. Ну то-есть MITM-ы могут даунгрейдить соединения толпе народа и вскрывать их, не парясь особо. Иди, перегенери им всем конфиги, чудило на букву м.
> Как я все-таки был прав по поводу SSL/TLS.Речь не о SSL/TLS. Эти протоколы - только частный случай протоколов, использущих алгоритм Диффи-Хелмана. Автор новости не совсем адекватен.
> Речь не о SSL/TLS. Эти протоколы - только частный случай протоколов, использущих
> алгоритм Диффи-Хелмана. Автор новости не совсем адекватен.SSL/TLS виноваты тем что позволяют такой даунгрейд. Хотя мимикрируют под якобы секурное шифрование.
Ну вот, а то опубликованным Сноуденом данным про прослушивание SSH спецслужбами никто не верил.
> Ну вот, а то опубликованным Сноуденом данным про прослушивание SSH спецслужбами никто не верил.В ssh такго древнего трэша все-таки поменьше.
Гребанное мудачье после одной атаки экспорта не дадумалось проверить все остальные. Трукрипт додумался и его зажали
> Трукрипт додумался и его зажалиэто вы про тот самый Трукрипт в которым программисты додумались сделать PBKDF2 с нелепо-маленьким числом итераций? хахаха :) .. я смеюсь вам с лицо! :-D
вот программистом Cryptsetup (LUKS) хватило мозгов сделать автоматический подбор этого значения, в зависимости от мощности процессора. а за "AF stripes" и +дополнительное уважение!
а Трукрипт по сути просто предлагает "придумывайте 20-ти значный пароль!" -- то же мне выдумщики :-)
идите и покажите как вы сломаете контейнер трукрипта на публике.
Сразу мировое призание получите.
А пока - диванным войскам кулхацкеров сидеть жолой гопе ровно.
> вот программистом Cryptsetup (LUKS) хватило мозгов сделать автоматический подбор этого
> значения, в зависимости от мощности процессора.А ничего что если у тебя на машине маломощный проц, а у хаксора мощный, в выигрыше при этом получится хаксор?
>> вот программистом Cryptsetup (LUKS) хватило мозгов сделать автоматический подбор этого
>> значения, в зависимости от мощности процессора.
> А ничего что если у тебя на машине маломощный проц, а у хаксора мощный, в выигрыше при этом получится хаксор?да. именно так! об этом даже написано в официальном FAQ от Cryptsetup (чем слабее процессор, тем меньше безопасности).
можно вручную задавать число итераций.. но *поумолчанию* в выигрыше будет хакер-с-БОЛЕЕ-мощным-компом.
а вот в Трукрипте (в отличии от Cryptsetup\LUKS) -- *даже* если у тебя мощный комп -- всё равно характеристика шифрования пароля такая, будто бы комп у тебя совсем слабый :-) .
то есть хакер (с мощным компом) будет в выигрыше *всегда*, в случае Трукрипта, не зависимо от мощности твоего компьютера :-)
Мудачьё тут ты, а безопасники додумались и проверяют сейчас.
Вот дошли руки до этого Диффи.
совсем запутали эти криптографы.Diffie-Hellman обозначается в конфигах по ссылке на примеры как ECDHE, а Diffie-Hellman Export -- как ECDH.
нет, я в курсе, что E=Ephemeral, но это лишняя путаница на пустом месте.
ровно так же, как и маньяки, которые в конфигах для openssl (как с ссылки на примеры) как одновременно вайтлистят и блэклистят шифры. как будто одного вайтлиста недостаточно.
ECDHE - Elliptic Curve Diffie-Hellman Exchange
> http://nginx.org/ru/docs/http/configuring_https_servers.html
> С помощью директив ssl_protocols и ssl_ciphers можно ограничить соединения использованием только “сильных” версий и шифров SSL/TLS. Начиная с версии 1.0.5 nginx по умолчанию использует “ssl_protocols SSLv3 TLSv1” и “ssl_ciphers HIGH:!aNULL:!MD5”, поэтому явная их настройка имеет смысл только для более ранних версий nginx.
После пудля настройка SSLv3 вообще не имеет смысла.
Для форвард секреси все равно ручками надо править.
> Для форвард секреси все равно ручками надо править.для НОРМАЛЬНО работающего FS - поддержку добавили лишь в TLS 1.3 стандартизация которого - закончится через месяц ~
там-же убрали антикварные и несекьюрные методы(не полностью. но самые жгучие а анекдотичные).
соотв - надо лоббировать ускорение отказа от TLS 1.0, TLS 1.1, TLS 1.2 и требовать от проиводителей интернет-софта и устройств - скорее внедрять поддержку TLS 1.3(и дропать прежние)
для nginx:
ssl_protocols TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:CAMELLIA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';Но что сделаешь со старыми клиентскими бровзерами? Посетителей сайты тереять то не хотят...
> ssl_protocols TLSv1.2;...который не 1.3 :)
> ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:CAMELLIA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
Ога, круто придумали.
1) Прикрутили малопопулярную CAMELLIA, которую никто из-за патентованости даже особо и не смотрел.
2) Заюзали NISTовские эллиптические кривые, которые предположительно могут быть сконструированы с бэкдором, стараниями NSA, т.к. NISTовские кривые как оказалось очень активно проталкивало АНБ.
3) Поюзали ECDSA который у многих криптографов вызывает сомнения.
4) AES работает не за постоянное время, если недруг может запускать процессы на том же проце - это залёт....а так все хорошо, прекрасная маркиза :)
Камелия - не хреновое крипто, просто афинно преобразование, несмотря на ЧУДОВИЩНЫЕ затраты для работы с ним - некие вопросы по стойкости вызывает. а в целом - очень органичное крипто.
хотя я бы что-нить поросшее мхом бы взял. вроде blowfish или serpent.
в EAX, IAPM, OCB режимах - довольно прикольно работают. правда с ними дружат - не все софтины, пока. но для анабиозного - хотя бы GCM режим обычно есть.
все хлеб.
> Камелия - не хреновое крипто,Оно патентованное и поэтому им никто в здравом уме не пользовался. Ну и аудит стойкости поэтому в районе плинтуса.
> хотя я бы что-нить поросшее мхом бы взял. вроде blowfish или serpent.
BF имеет проблемы как минимум в том что время выполнения зависит от ключа. Это плохо - если атакующий может доступиться к кэшу так или иначе, он потенциально может слямзить ключ. В хучшем случае - вражеский яваскрипт на вон той паге однажды таки угадает ваш ключ по флуктуациям времен выполнения, с чем не поздравляют. Т.к. целый класс малоочевидных но грабельных атак.
Поэтому сейчас криптографы забили на все эти s-box и изрядно напирают на схемы где все отрабатывает за фиксированное время, независимо от ключа и cache hit/cache miss. А это как правило означает что алгоритм не использует таблиц, только регистровая математика.
> все хлеб.
Больше похоже на грабли замаскированные в пшенице.
>[оверквотинг удален]
> Ога, круто придумали.
> 1) Прикрутили малопопулярную CAMELLIA, которую никто из-за патентованости даже особо и
> не смотрел.
> 2) Заюзали NISTовские эллиптические кривые, которые предположительно могут быть
> сконструированы с бэкдором, стараниями NSA, т.к. NISTовские кривые как оказалось очень
> активно проталкивало АНБ.
> 3) Поюзали ECDSA который у многих криптографов вызывает сомнения.
> 4) AES работает не за постоянное время, если недруг может запускать процессы
> на том же проце - это залёт.
> ...а так все хорошо, прекрасная маркиза :)Давай тыкни мне пальцем в надёжные ключи:
openssl ciphers -v -V
0xC0,0x30 - ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
0xC0,0x2C - ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
0xC0,0x28 - ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384
0xC0,0x24 - ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384
0xC0,0x14 - ECDHE-RSA-AES256-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA1
0xC0,0x0A - ECDHE-ECDSA-AES256-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA1
0xC0,0x22 - SRP-DSS-AES-256-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=AES(256) Mac=SHA1
0xC0,0x21 - SRP-RSA-AES-256-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(256) Mac=SHA1
0xC0,0x20 - SRP-AES-256-CBC-SHA SSLv3 Kx=SRP Au=SRP Enc=AES(256) Mac=SHA1
0x00,0xA3 - DHE-DSS-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=DSS Enc=AESGCM(256) Mac=AEAD
0x00,0x9F - DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
0x00,0x6B - DHE-RSA-AES256-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256
0x00,0x6A - DHE-DSS-AES256-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AES(256) Mac=SHA256
0x00,0x39 - DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
0x00,0x38 - DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1
0x00,0x88 - DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH Au=RSA Enc=Camellia(256) Mac=SHA1
0x00,0x87 - DHE-DSS-CAMELLIA256-SHA SSLv3 Kx=DH Au=DSS Enc=Camellia(256) Mac=SHA1
0xC0,0x32 - ECDH-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
0xC0,0x2E - ECDH-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
0xC0,0x2A - ECDH-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AES(256) Mac=SHA384
0xC0,0x26 - ECDH-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(256) Mac=SHA384
0xC0,0x0F - ECDH-RSA-AES256-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=AES(256) Mac=SHA1
0xC0,0x05 - ECDH-ECDSA-AES256-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=AES(256) Mac=SHA1
0x00,0x9D - AES256-GCM-SHA384 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(256) Mac=AEAD
0x00,0x3D - AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256
0x00,0x35 - AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
0x00,0x84 - CAMELLIA256-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(256) Mac=SHA1
0x00,0x8D - PSK-AES256-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=AES(256) Mac=SHA1
0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
0xC0,0x2B - ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA256
0xC0,0x23 - ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA256
0xC0,0x13 - ECDHE-RSA-AES128-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA1
0xC0,0x09 - ECDHE-ECDSA-AES128-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA1
0xC0,0x1F - SRP-DSS-AES-128-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=AES(128) Mac=SHA1
0xC0,0x1E - SRP-RSA-AES-128-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(128) Mac=SHA1
0xC0,0x1D - SRP-AES-128-CBC-SHA SSLv3 Kx=SRP Au=SRP Enc=AES(128) Mac=SHA1
0x00,0xA2 - DHE-DSS-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AESGCM(128) Mac=AEAD
0x00,0x9E - DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(128) Mac=AEAD
0x00,0x67 - DHE-RSA-AES128-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(128) Mac=SHA256
0x00,0x40 - DHE-DSS-AES128-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AES(128) Mac=SHA256
0x00,0x33 - DHE-RSA-AES128-SHA SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1
0x00,0x32 - DHE-DSS-AES128-SHA SSLv3 Kx=DH Au=DSS Enc=AES(128) Mac=SHA1
0x00,0x9A - DHE-RSA-SEED-SHA SSLv3 Kx=DH Au=RSA Enc=SEED(128) Mac=SHA1
0x00,0x99 - DHE-DSS-SEED-SHA SSLv3 Kx=DH Au=DSS Enc=SEED(128) Mac=SHA1
0x00,0x45 - DHE-RSA-CAMELLIA128-SHA SSLv3 Kx=DH Au=RSA Enc=Camellia(128) Mac=SHA1
0x00,0x44 - DHE-DSS-CAMELLIA128-SHA SSLv3 Kx=DH Au=DSS Enc=Camellia(128) Mac=SHA1
0xC0,0x31 - ECDH-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AESGCM(128) Mac=AEAD
0xC0,0x2D - ECDH-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(128) Mac=AEAD
0xC0,0x29 - ECDH-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AES(128) Mac=SHA256
0xC0,0x25 - ECDH-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(128) Mac=SHA256
0xC0,0x0E - ECDH-RSA-AES128-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=AES(128) Mac=SHA1
0xC0,0x04 - ECDH-ECDSA-AES128-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=AES(128) Mac=SHA1
0x00,0x9C - AES128-GCM-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(128) Mac=AEAD
0x00,0x3C - AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
0x00,0x2F - AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1
0x00,0x96 - SEED-SHA SSLv3 Kx=RSA Au=RSA Enc=SEED(128) Mac=SHA1
0x00,0x41 - CAMELLIA128-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(128) Mac=SHA1
0x00,0x07 - IDEA-CBC-SHA SSLv3 Kx=RSA Au=RSA Enc=IDEA(128) Mac=SHA1
0x00,0x8C - PSK-AES128-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=AES(128) Mac=SHA1
0xC0,0x11 - ECDHE-RSA-RC4-SHA SSLv3 Kx=ECDH Au=RSA Enc=RC4(128) Mac=SHA1
0xC0,0x07 - ECDHE-ECDSA-RC4-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=RC4(128) Mac=SHA1
0xC0,0x0C - ECDH-RSA-RC4-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128) Mac=SHA1
0xC0,0x02 - ECDH-ECDSA-RC4-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128) Mac=SHA1
0x00,0x05 - RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
0x00,0x04 - RC4-MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5
0x00,0x8A - PSK-RC4-SHA SSLv3 Kx=PSK Au=PSK Enc=RC4(128) Mac=SHA1
0xC0,0x12 - ECDHE-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=RSA Enc=3DES(168) Mac=SHA1
0xC0,0x08 - ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=3DES(168) Mac=SHA1
0xC0,0x1C - SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=3DES(168) Mac=SHA1
0xC0,0x1B - SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=3DES(168) Mac=SHA1
0xC0,0x1A - SRP-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=SRP Enc=3DES(168) Mac=SHA1
0x00,0x16 - EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
0x00,0x13 - EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
0xC0,0x0D - ECDH-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
0xC0,0x03 - ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
0x00,0x0A - DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
0x00,0x8B - PSK-3DES-EDE-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=3DES(168) Mac=SHA1
0x00,0x15 - EDH-RSA-DES-CBC-SHA SSLv3 Kx=DH Au=RSA Enc=DES(56) Mac=SHA1
0x00,0x12 - EDH-DSS-DES-CBC-SHA SSLv3 Kx=DH Au=DSS Enc=DES(56) Mac=SHA1
0x00,0x09 - DES-CBC-SHA SSLv3 Kx=RSA Au=RSA Enc=DES(56) Mac=SHA1
0x00,0x14 - EXP-EDH-RSA-DES-CBC-SHA SSLv3 Kx=DH(512) Au=RSA Enc=DES(40) Mac=SHA1 export
0x00,0x11 - EXP-EDH-DSS-DES-CBC-SHA SSLv3 Kx=DH(512) Au=DSS Enc=DES(40) Mac=SHA1 export
0x00,0x08 - EXP-DES-CBC-SHA SSLv3 Kx=RSA(512) Au=RSA Enc=DES(40) Mac=SHA1 export
0x00,0x06 - EXP-RC2-CBC-MD5 SSLv3 Kx=RSA(512) Au=RSA Enc=RC2(40) Mac=MD5 export
0x00,0x03 - EXP-RC4-MD5 SSLv3 Kx=RSA(512) Au=RSA Enc=RC4(40) Mac=MD5 export
$ openssl ciphers -v -V | grep TLSv1.2 |grep -v \(128\) |grep -v RSA |grep -v 'DSS'0xC0,0x2C - ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
0xC0,0x24 - ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384
0xC0,0x2E - ECDH-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
0xC0,0x26 - ECDH-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(256) Mac=SHA384
> Давай тыкни мне пальцем в надёжные ключи:Тыкаю: http://nacl.cr.yp.to/index.html - там алгоритмы надежные. Без 200 вариантов экспортного булшита, 150 вариантов легаси и еще over 9000 турбограбель с автоматическим приводом рукояти. Облажаться становится намного сложнее.
ага. а для совсем ленивых tweetnacl сделали.
Сайты, которые не хотят терять посетителей, в https не умеют до сих пор.
IPSec не основан на TLS. Кривой перевод. Вероятно, что и оригинальная статья так себе тоже.
Только перевод кривой. Два первых предложения оригинала можно было и осилить:"Diffie-Hellman key exchange is a popular cryptographic algorithm that allows Internet protocols to agree on a shared key and negotiate a secure connection. It is fundamental to many protocols including HTTPS, SSH, IPsec, SMTPS, and protocols that rely on TLS."
Так чего с IPSEC-ом? С strongswan-ом к примеру?
> Так чего с IPSEC-ом? С strongswan-ом к примеру?А ничего, переусложненная буита, надизайненая по заявкам NSA. Чтобы не дай боже секурно и без багов не получилось. Кушайте, не обляпайтесь. "Зато стандарт!!!1111"
> IPSec не основан на TLS. Кривой перевод. Вероятно, что и оригинальная статья
> так себе тоже.вы статью-то вообще - читали?
вртяли, ибо заметили бы что там сразу под "uncovered several weaknesses in how Diffie-Hellman key exchange has been deployed..."
двух основных реализаций атаки на DHE описано:
1. Logjam Attack against the TLS Protocol
2. Threats from state-level adversaries
и вторая - затрагивает IPSEC тоже(помимо SSH, VPN-ов и тп)
https://isc.sans.edu/diary/Logjam+-+vulnerabilities+in+Diffi...
Фигня все это.
В дефолтных конфигурациях libreswan, strongswan и openswan, что для IKEv1, что для IKEv2 не применяется MODP ниже 1536.
Только как клиент позволяется MODP1024 в IKEv1 и MODP1536 в IKEv2.
http://www.opennet.me/tips/2877_ssh_crypt_setup_security_nsa...
> http://www.opennet.me/tips/2877_ssh_crypt_setup_security_nsa...В SSL/TLS нет 25519. Небольшая такая фига в рыло то NSA. Почему-то творчество Бернштейна и его шайки криптографов - стандартизируют с большим скрипом. Наверное NSA не одобряет такие стандарты.
>> http://www.opennet.me/tips/2877_ssh_crypt_setup_security_nsa...
> В SSL/TLS нет 25519. Небольшая такая фига в рыло то NSA. Почему-то
> творчество Бернштейна и его шайки криптографов - стандартизируют с большим скрипом.
> Наверное NSA не одобряет такие стандарты.ну вестимо, Бернштейн - забыл "занести" бабла АНБ, старый идеалист =)
за что ему - отдельный респект и уважуха :)
> ну вестимо, Бернштейн - забыл "занести" бабла АНБ, старый идеалист =)
> за что ему - отдельный респект и уважуха :)У NSA с баблом все в порядке.
Бернштейн забыл занести "волшебный ключик".
я протестую! logjam — это весьма удобный минималистичный клиент для движка livejournal!
А как насчёт этого?
http://www.urbandictionary.com/define.php?term=logjam
да без разницы. брать названия, которые до тебя уже взяли, и далеко не самые неизвестные проекты — моветон.
> да без разницы. брать названия, которые до тебя уже взяли, и далеко
> не самые неизвестные проекты — моветон.Хм... уязвимость как проект... "treason uncloaked!"
> Хм... уязвимость как проект...уязвимость как уязвимость. а её описание и демонстрашка — проект.