当社のセキュリティ監査レポートによれば、多数のJBoss EAP 5.0サーバー(RHEL 6.x)には脆弱なパスワードが有効になっていることがわかりました。少し調査の最後にファイルを見つけました.jar。https://access.redhat.com/solutions/18405) は、サーバー上で実行されているときにデフォルトおよびサポートされている暗号スイートをリストします。ファイルを実行し.jar、デフォルトのパスワードスイートセクションで次の出力を取得します。
DefaultCipherSuites:
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_EMPTY_RENEGOTIATION_INFO_SCSV
私が知る限り、脆弱なパスワードは、キーの長さが128ビット未満のパスワードです。上記のすべてのパスワードのうち:
- 名前に「128」を含むパスワードは、キー長が128のパスワードを表します。
- 「256」を含めると、256ビット暗号化が提供されます。
- 「DES」を持つキーは、56ビット暗号化DESキーです。
- 「RC4_40」は40ビット暗号化を表します。
- 「DES40」は40ビット暗号化を意味します。
- 「3DES」は、128/192鍵暗号化を有する三重DESを意味する。
server.xml特定の暗号スイートのみを有効にするようにSSL / TLSコネクタブロックを編集する方法を知っています。
今私の質問は次のとおりです。
パスワード名とサポートされるビット長の関係を正しく理解していますか?
私の質問#1に対する答えが「はい」の場合、「すべての弱いパスワードを無効にする」は、名前にDES、RC4_40、およびDES40を含むすべてのパスワードを削除/無効にすることを意味しますか?
TLS_EMPTY_RENEGOTIATION_INFO_SCSVのキー長はどれくらいですか?