JBoss での暗号スイートと弱い暗号の無効化

JBoss での暗号スイートと弱い暗号の無効化

セキュリティ監査レポートによると、JBoss EAP 5.0サーバー(RHEL 6.x)の一部で弱い暗号が有効になっているとのことです。調査したところ、あるファイル.jarhttps://access.redhat.com/solutions/18405) をサーバーから実行すると、デフォルトおよびサポートされている暗号スイートが一覧表示されます。.jarファイルを実行すると、デフォルトの暗号スイート セクションで次の出力が得られました。

DefaultCipherSuites:

SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA 
SSL_RSA_WITH_3DES_EDE_CBC_SHA 
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_EMPTY_RENEGOTIATION_INFO_SCSV

弱い暗号とは、鍵の長さが 128 ビット未満の暗号のことであると私は理解しています。そして、上記のすべての暗号の中で、

  • 名前に「128」が含まれるものは、キーの長さが 128 の暗号を示します。
  • 「256」を含むものは 256 ビットの暗号化を提供します。
  • 「DES」が付いているものは、56 ビット暗号化の DES キーです。
  • 「RC4_40」のものは40ビット暗号化を意味します。
  • 「DES40」が付いているものは、やはり 40 ビット暗号化を意味します。
  • 「3DES」と付いているものは、128/192 キー暗号化のトリプル DES を意味します。

server.xml一部の暗号スイートのみを有効にするためにSSL/TLS コネクタ ブロックを編集する方法を知っています。

私の質問は次のとおりです。

  1. 暗号名とそれがサポートするビット長の関係についての私の理解は正しいでしょうか?

  2. 私の質問 1 の答えが「はい」である場合、「すべての弱い暗号を無効にする」とは、名前に DES、RC4_40、および DES40 が含まれるすべての暗号を削除/無効にすることを意味しますか?

  3. TLS_EMPTY_RENEGOTIATION_INFO_SCSV のキーの長さはどれくらいですか?

関連情報