conjuntos de cifrado y deshabilitación de cifrados débiles en JBoss

tag-icon tag-icon ssl jboss
conjuntos de cifrado y deshabilitación de cifrados débiles en JBoss

Nuestro informe de auditoría de seguridad dice que varios de nuestros servidores JBoss EAP 5.0 (en RHEL 6.x) tienen habilitados cifrados débiles. Al investigar un poco, encontré un .jararchivo (dehttps://access.redhat.com/solutions/18405) que, cuando se ejecuta desde el servidor, enumera los conjuntos de cifrado predeterminados y compatibles. Ejecuté el .jararchivo y obtuve el siguiente resultado en la sección de conjuntos de cifrado predeterminados:

DefaultCipherSuites:

SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA 
SSL_RSA_WITH_3DES_EDE_CBC_SHA 
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_EMPTY_RENEGOTIATION_INFO_SCSV

Entiendo que los cifrados débiles son aquellos cuya longitud de clave es inferior a 128 bits. Y eso de todos los cifrados enumerados anteriormente:

  • Los que contienen '128' en su nombre indican cifrados con una longitud de clave de 128.
  • Los que contienen '256' proporcionan cifrado de 256 bits.
  • Las que tienen 'DES' son claves DES con cifrado de 56 bits.
  • Los que tienen 'RC4_40' significan cifrado de 40 bits.
  • Los que tienen 'DES40' significan nuevamente cifrado de 40 bits.
  • Los que tienen '3DES' significa triple-DES con cifrado de clave 128/192.

Sé cómo editar el bloque del conector SSL/TLS server.xmlpara habilitar solo algunos de los conjuntos de cifrado.

Ahora mis preguntas son:

  1. ¿Es correcto mi entendimiento sobre la relación entre los nombres de cifrado y las longitudes de bits que admiten?

  2. Si la respuesta a mi pregunta número 1 es "sí", entonces, ¿"deshabilitar todos los cifrados débiles" significa eliminar/deshabilitar todos los cifrados que tienen DES, RC4_40 y DES40 en sus nombres?

  3. ¿Cuál es la longitud de la clave de TLS_EMPTY_RENEGOTIATION_INFO_SCSV?

información relacionada