보안 감사 보고서에 따르면 다수의 JBoss EAP 5.0 서버(RHEL 6.x)에서 약한 암호화가 활성화되어 있다고 합니다. 조사를 하다가 다음 .jar파일을 찾았습니다.https://access.redhat.com/solutions/18405) 이는 서버에서 실행될 때 기본 및 지원되는 암호화 제품군을 나열합니다. .jar기본 암호 제품군 섹션에서 다음 출력을 얻은 파일을 실행했습니다 .
DefaultCipherSuites:
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_EMPTY_RENEGOTIATION_INFO_SCSV
약한 암호는 키 길이가 128비트 미만인 암호라는 것을 알고 있습니다. 그리고 위에 나열된 모든 암호 중에서 다음이 포함됩니다.
- 이름에 '128'이 포함된 것은 키 길이가 128인 암호를 나타냅니다.
- '256'이 포함된 항목은 256비트 암호화를 제공합니다.
- 'DES'가 있는 것은 56비트 암호화를 사용하는 DES 키입니다.
- 'RC4_40'이 있는 것은 40비트 암호화를 의미합니다.
- 'DES40'이 있는 것은 다시 40비트 암호화를 의미합니다.
- '3DES'가 있는 것은 128/192 키 암호화를 갖춘 Triple-DES를 의미합니다.
server.xml일부 암호화 제품군만 활성화하기 위해 SSL/TLS 커넥터 블록을 편집하는 방법을 알고 있습니다 .
이제 내 질문은 다음과 같습니다.
암호 이름과 그들이 지원하는 비트 길이 사이의 관계에 대한 나의 이해가 정확합니까?
내 질문 # 1에 대한 대답이 '예'라면 '약한 모든 암호를 비활성화'한다는 것은 이름에 DES, RC4_40 및 DES40이 포함된 모든 암호를 제거/비활성화한다는 의미입니까?
TLS_EMPTY_RENEGOTIATION_INFO_SCSV의 키 길이는 얼마입니까?