我們的安全審計報告表明,我們的許多 JBoss EAP 5.0 伺服器(在 RHEL 6.x 上)啟用了弱密碼。經過一些研究,我發現了一個.jar文件(來自https://access.redhat.com/solutions/18405),當從伺服器執行時,會列出預設和支援的密碼套件。我運行該.jar文件,在預設密碼套件部分下獲得以下輸出:
DefaultCipherSuites:
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_EMPTY_RENEGOTIATION_INFO_SCSV
據我所知,弱密碼是指密鑰長度小於 128 位元的密碼。在上面列出的所有密碼中:
- 名稱中包含「128」的密碼表示密鑰長度為 128 的密碼。
- 包含「256」的提供 256 位元加密。
- 具有「DES」的金鑰是 56 位元加密的 DES 金鑰。
- 帶有“RC4_40”的表示 40 位元加密。
- 帶有“DES40”的又表示40位元加密。
- 帶有“3DES”的表示具有 128/192 密鑰加密的三重 DES。
我知道如何編輯 SSL/TLS 連接器區塊server.xml以僅啟用某些密碼套件。
現在我的問題是:
我對密碼名稱與其支援的位元長度之間關係的理解是否正確?
如果我的問題 #1 的答案是“是”,那麼“禁用所有弱密碼”是否意味著刪除/停用名稱中包含 DES、RC4_40 和 DES40 的所有密碼?
TLS_EMPTY_RENEGOTIATION_INFO_SCSV 的金鑰長度是多少?