Cipher Suites und Deaktivieren schwacher Cipher in JBoss

tag-icon tag-icon ssl jboss
Cipher Suites und Deaktivieren schwacher Cipher in JBoss

In unserem Sicherheitsauditbericht heißt es, dass auf einigen unserer JBoss EAP 5.0-Server (auf RHEL 6.x) schwache Verschlüsselungen aktiviert sind. Bei einigen Recherchen fand ich eine .jarDatei (vonhttps://access.redhat.com/solutions/18405), das, wenn es vom Server ausgeführt wird, die standardmäßigen und unterstützten Cipher Suites auflistet. Ich habe die .jarDatei ausgeführt und im Abschnitt „Standard-Cipher Suites“ die folgende Ausgabe erhalten:

DefaultCipherSuites:

SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA 
SSL_RSA_WITH_3DES_EDE_CBC_SHA 
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_EMPTY_RENEGOTIATION_INFO_SCSV

Ich verstehe, dass schwache Chiffren diejenigen sind, deren Schlüssellänge weniger als 128 Bit beträgt. Und dass von allen oben aufgeführten Chiffren:

  • Diejenigen, die „128“ im Namen enthalten, weisen auf Chiffren mit einer Schlüssellänge von 128 hin.
  • Diejenigen, die „256“ enthalten, bieten eine 256-Bit-Verschlüsselung.
  • Diejenigen mit „DES“ sind DES-Schlüssel mit 56-Bit-Verschlüsselung.
  • Die mit „RC4_40“ bedeuten 40-Bit-Verschlüsselung.
  • Die mit „DES40“ bedeuten wieder 40-Bit-Verschlüsselung.
  • Diejenigen mit „3DES“ stehen für Triple-DES mit 128/192-Schlüsselverschlüsselung.

Ich weiß, wie ich den SSL/TLS-Connector-Block bearbeiten muss, server.xmlum nur einige der Verschlüsselungssammlungen zu aktivieren.

Nun sind meine Fragen:

  1. Habe ich die Beziehung zwischen den Chiffrenamen und den von ihnen unterstützten Bitlängen richtig verstanden?

  2. Wenn die Antwort auf meine Frage Nr. 1 „Ja“ lautet, bedeutet „Deaktivieren aller schwachen Chiffren“, dass alle Chiffren entfernt/deaktiviert werden, deren Namen DES, RC4_40 und DES40 enthalten?

  3. Wie lang ist der Schlüssel von TLS_EMPTY_RENEGOTIATION_INFO_SCSV?

verwandte Informationen