Скорее всего сервер использует шифр rc4 который считается небезопасным: Не магу открыть сайт aviobilet.com Пишут: — Этот сайт не может обеспечить безопасное соединени — conspi.ru — Конспирология

Содержание

Набор обновлений UpdatePack-XPSP3-Rus Live 19.11.15 — simplix.info

UpdatePack Live для обновления установленной системы Windows XP SP3 Rus

Ключевой особенностью набора является наличие тех же обновлений, какие содержит UpdatePack-XPSP3-Rus. Дополнительно включены обновления тех продуктов, которые являются частью операционной системы: Windows Media Player 9-11 и Internet Explorer 6-8, а также исправления ошибок локализации. Возможна установка полных версий IE8 и WMP11, дополнительных программ и обновлений; все подробности в FAQ.

Mini-FAQ:

1. Q: Каким образом можно максимально автоматизировать процесс установки набора обновлений?
A: Для этого можно использовать следующие ключи или их комбинации:
• Ключ /reboot для автоматической перезагрузки, если она потребуется.
• Ключ /S для полностью тихой установки без окон и сообщений. Регистр имеет значение.
• Ключ

/silent для пассивной установки — видно прогресс, но установка полностью автоматическая.
• Ключ /noflash пропускает установку более новой версии Adobe Flash.

2. Q: Где можно найти журнал установки?
A: Протокол установки обновлений записывается в файл %WinDir%\UpdatePack.log. Также его можно просмотреть в диалоговом окне после установки.

3. Q: Каким образом можно выполнить свои программы или твики?
A: Для этого предназначены два пакетных файла, которыми можно выполнить любые внешние команды:
• Если рядом с набором есть UpdatePackStart.cmd — он будет выполнен перед установкой обновлений,

UpdatePackFinish.cmd — после.
• По умолчанию консольные окна будут показаны. Чтобы их скрыть, первая строка в cmd-файле должна начинаться с «:hide» (без кавычек).
• Набор обновлений отслеживает код выхода из cmd-файлов, на случай необходимости перезагрузки. Этот код равен 3010 (команда exit 3010).

4. Q: Можно ли автоматически установить Service Pack 3?
A: Если в той же папке есть файл WindowsXP-KB936929-SP3-x86-RUS.exe и в системе установлен SP1/SP2, то SP3 будет предложен к установке.

5. Q: А что если часть обновлений уже установлена в системе?

A: Все корректно установленные обновления будут пропущены, установятся только необходимые.

6. Q: Возможно ли установить IE8 и WMP11 средствами самого набора обновлений?
A: Для этого присутствуют следующие возможности:
• Чтобы установить IE8, запустите набор с ключом /ie8, или добавьте слово ie8 в любую часть имени файла набора (например UpdatePackLiveie8.exe).
• Чтобы установить WMP11, поместите в папку с набором файл wmp11-windowsxp-x86-ru-ru.exe.
• Если вы хотите применить свои твики после установки IE8 или WMP11, расположите в папке с набором файлы ie8.reg и wmp11.reg соответственно.

Что делать, если в браузере появляется ошибка «Этот сайт не может обеспечить безопасное соединение»

В связи с участившейся блокировкой веб-ресурсов всё большему числу пользователей приходится сталкиваться с ошибками доступа. Однако не всегда они могут быть связаны с блокировкой сайтов провайдерами, проблема может скрываться на самом компьютере. Таковой является ошибка «Этот сайт не может обеспечить безопасное соединение», причём не имеет значения какой браузер используется.

Ошибка может возникать вследствие отсутствия у сайта подтверждающего безопасную работу браузера с данным сайтом сертификата SSL, также причина её появления может быть связана с изменениями в настройках программного обеспечения, отвечающего за безопасность системы. Сегодня мы рассмотрим один из наиболее распространённых вариантов приведённой выше ошибки, при которой пользователь получает уведомление

«Сайт «URL» отправил недействительный ответ. ERR_SSL_PROTOCOL_ERROR».

С большей долей уверенности можно сказать, что с самим сайтом всё в порядке, впрочем, проверить его доступность с помощью какого-нибудь сервиса вроде ping-admin.ru тоже не помешает. Если ресурс доступен, искать причины ошибки следует на компьютере. Причин же может быть несколько. Если сайт использует соединение HTTPS для начала можно проверить, включены ли протоколы

SSL2 и SSL3 в свойствах браузера. Откройте классическую панель управления, запустите апплет «Свойства браузера».

Переключитесь на вкладку «Дополнительно» и убедитесь, что в чекбоксах SSL 2.0 и SSL 3.0 установлены галочки.

Заодно проверьте совпадает ли время на ПК с вашим часовым поясом. Если нет, выставьте правильное время и включите синхронизацию.

Как вариант, можно попробовать отключить фильтрацию протокола HTTPS, хотя делать это нежелательно, так как при этом снижается уровень безопасности. В Google Chrome

, к примеру, это можно сделать следующим образом. Перейдите по внутреннему адресу chrome://net-internals/#hsts, в меню слева выберите HSTS, в поле «Dеlеte Domain» вставьте адрес проблемного сайта без приставки HTTPS и нажмите «Dеlеte».

После этого вы сможете входить на сайт по обычному протоколу HTTP.

Примечание: перед внесением изменений в настройки обработки протоколов нужно полностью очистить кэш браузера и удалить сохранённые файлы cookies, а затем попытаться зайти на сайт. Если вход осуществится без ошибок, с отключением фильтрации HTTPS

можно не спешить.

Очень высока вероятность, что доступ к сайту блокирует установленное на компьютере антивирусное обеспечение. Иногда причина ошибки становится очевидной после включения в браузере приватного режима (инкогнито). Вот, к примеру, что показывает Google Chrome при переходе на заблокированный сайт в режиме инкогнито. В данном случае ошибку «Этот сайт не может обеспечить безопасное соединение» вызывает антивирус Malwarebytes.

Следовательно, нужно либо отключить в этой программе защиту в реальном времени, либо внести заблокированный сайт в список исключений.

Аналогичным образом проверяются настройки другого антивирусного ПО. В частности, с описанной ошибкой приходилось сталкиваться пользователям

Dr.Web (настройки брандмауэра) и ESET NOD32 (настройка «Фильтрация протоколов SSL/TLS»). Заодно необходимо проверить работу установленных в браузере расширений, так как некоторые из них, в частности, SaveFrom.net может препятствовать нормальной работе с сетевыми ресурсами. И последнее. Если при открытии сайта вы получаете ошибку доступа ERR_SSL_PROTOCOL_ERROR, воспользуйтесь самым обычным анонимайзером, а ещё лучше VPN-сервисом, в большинстве случаев эти инструменты позволяет обходить подобные ограничения.

Этот сайт не может обеспечить безопасное соединение. Как исправить в Opera, Chrome, Яндекс Браузер?

На днях столкнулся с ошибкой «Этот сайт не может обеспечить безопасное соединение» в браузере Opera. В процессе решения этой ошибки узнал много интересной информации. Путем пробы разных вариантов, мне все таки удалось убрать эту ошибку. Сразу хочу сказать, что эта проблема очень неоднозначная. В том плане, что она может появляться в разных браузерах (Яндекс Браузер, Opera, Google Chrome, Mozilla, Edge), при попытке открыть разные сайты (в том числе Вконтакте, Одноклассники и т. д.), и решения могут быть самыми разными.

В моем случае, ошибку «Этот сайт не может обеспечить безопасное соединение» я увидел при попытке зайти на один популярный и точно безопасный сайт. Так же в Опере было сообщение, что такой-то сайт отправил недействительный ответ.

Думаю, ну ладно. Открыл Google Chrome, набрал адрес этого же сайта. И Хром мне так же выдал сообщение, что сайт не может обеспечить безопасное соединение. И еще добавил код ошибки: «ERR_SSL_PROTOCOL_ERROR».

Открывают Яндекс Браузер, перехожу по этому же адресу, и снова ошибка:

В Mozilla ошибка выглядит немного иначе: «Ошибка при установлении защищённого соединения», «SSL_ERROR_ACCESS_DENIED_ALERT». Но суть та же.

Первое, что приходит на ум – проблем на стороне сайта. Но через некоторое время сайт по прежнему не открывался. А в том, что он работает и проблемы на моей стороне я был практически уверен. Тем более, что буквально несколько дней назад этот сайт открывался без каких-либо проблем.

Статьи по решению похожих проблем:
Не открываются некоторые сайты в браузере через роутер
Не удается найти DNS-адрес сервера. Решение ошибки

Часто бывают случаи, когда какой-то определенный сайт не открывается только в одном браузере, а в других работает нормально.

Как я исправил ошибку и отключил ее в Opera, Chrome и других браузерах

Сначала напишу о способе, который помог лично мне.

1 В моем случае был виновен антивирус Dr.Web (лицензия). Обычно, когда встроенный в Dr.Web брандмауэр (SpIDer Gate) блокирует какой-то сайт, то там появляется сообщение именно от самого антивируса, и все сразу понятно. В данном случае, ошибку о невозможности обеспечить безопасное соединение выдавал браузер. И я даже не мог подумать, что виновен именно Dr.Web.

Как только я отключил встроенный в антивирус брандмауэр, он же SpIDer Gate, ошибка в браузере пропала. Сайт без проблем открылся во всех браузерах.

Дальше я просто добавил сайт в исключения Dr.Web.

Вот такое решение в моем случае. Но все таки мне кажется, что проблема может быть на сайте. Что-то у них с SSL сертификатом. Но это мои догадки.

У вас, конечно же может быть установлен другой антивирус. Но там точно есть возможность временно отключить встроенный брандмауэр, или полностью отключить защиту.

2 Видел в интернете много советов, что нужно проверить дату на компьютере, планшете, смартфоне. На устройстве, где появляется ошибка. Да, действительно, данная проблема может возникнуть из-за неправильно установленной даты, или времени.

А еще эта ошибка так же может появляться на мобильных устройствах (Android, iOS), и в основном из-за настроек времени и даты.

3 Можно так же попробовать очистить кэш и куки в браузере. Особенно, если ошибка появляется в каком-то одном, конкретном браузере. Как сделать это в браузере Опера, я писал в статье: https://help-wifi.com/programmy-brauzery/kak-ochistit-istoriyu-kesh-kuki-brauzera-opera/. В других браузерах это можно без проблем сделать в настройках. Либо очистить все утилитой CCleaner. 4 Если есть возможность, попробуйте открыть этот же сайт с другого устройства. Так мы сможем понять в чем проблем: на стороне сайта, или на вашем устройстве.

А как вы отключили эту ошибку, какой способ помог вам? Если у вас есть полезная информация по этой теме – пишите в комментариях. Задавайте вопросы.

Private Bus Gov Ru Используется Неподдерживаемый Протокол – Telegraph

➡➡➡ ПОДРОБНЕЕ ЖМИ ЗДЕСЬ!

Private Bus Gov Ru Используется Неподдерживаемый Протокол

Xnxx Сом

Рэмо Tv Future Outdoor Dvb T2

Ретро Cfnm Шарлотта Гранвиль

Coding For Penetration Testers На Русском

Granny Игра Читы

Gay Teen Подростки
Sex Порно Мамки
Taboo Комиксы
Лесби Русские Mature Busty
Pornhub В Ванной
Young Kings Refúgio 320
Xxx Домашка Двойной
Новинки От Mayas Handjobs
Realitykings Com Русское
My Mother Prefers Young Men 2020 Смотреть
Sex Молодой Сестренка
Sex Девочки Подростки
Порно Перевод Brazzers Incest
Striptease Скачать Торрент
Double Cream Pie Гиф
Pornhub Гинеколог
Порно Vr Anal
Лучшее От Private 21 2000
Bdsm Секс Рабыня
Ladyboy Teen Маленький Член
Bbw Milf Порно Гифки
Sex Video Бесплатно Онлайн
Торрент Sex Sex Sex 2
Mature Xxx Бесплатно
Слушать Музыку Hot Girl Bummer
Pretty Woman Вязьма
Outdoor Скачать Торрент
Www Скачать Порнобосс Королева Xnxx
Порно Brazzers Kayla Kayden
Sexe Vidéo À Partir De Vêtements
Скачать Секс Xvideos
Моды German Truck
Anımal Sex
Стриптиз На Камеру Xxx
Фут Фетиш В Белых Носках Fucked Tube
Top Xxx Попка
Порно Задницы Ass
Спящая Сестра Xxx
Pornhub Бдсм
Порно Hotwife Cuckold
Brazzers Очень Красивая Девушка
Oldje Com Xxx 399 Скачать Торрент 2020
Sex Shop Мурманск
Hd Incest Mother Полнометражное Ретро
Чешское Порно Видео Xxx
Песня Xxx
Joi Субтитры Вк
Ebu Xxx Искать В Яндекс
Leona Mia Sex Video Скачать
Bikini Ifrit Порно

В последнее время, все больше пользователей испытывают на себе действие различных механизмов сетевой защиты . Так, при попытке открыть некоторые ресурсы, появляется уведомление . .
На сайте private .bus .gov .ru используется неподдерживаемый протокол . То либо не тот сертификат используете, либо сертификат не зарегистрирован УФК (необходимо писать заявление в свой отдел УФК о регистрации нового сертификата) .

В последнее время, все больше пользователей испытывают на себе действие различных механизмов сетевой защиты . Так, при попытке открыть некоторые ресурсы, появляется уведомление . .
На сайте используется неподдерживаемый протокол . При попытке открыть сайт ошибка: Невозможно установить безопасное соединение: сайт использует . .
При попытке зайти в личный кабинет на bus .gov .ru IE кидает ошибку: Не удается безопасно подключиться к этой странице Возможно, на сайте Этот сайт не может обеспечить безопасное соединение На сайте private .bus .gov .ru используется неподдерживаемый протокол .

На сайте eruz . zakupki .gov .ru используется неподдерживаемый протокол . 1 . 2020 · На сайте используется неподдерживаемый протокол . При попытке открыть сайт ошибка: Невозможно установить безопасное . .Продолжительность: 9:35 Опубликовано: 1 . 2020

На сайте sitename .ru используется неподдерживаемый протокол . Если на стороне сайта используется меньшая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения .

Здравствуйте . В этом кратком руководстве мы рассмотрим причины возникновения ошибки «На сайте используется неподдерживаемый протокол» и способы её решения . Ошибка ERR_SSL_VERSION_OR_CIPHER_MISMATCH может возникнуть из-за некорректных настроек . .
Этот сайт не может обеспечить безопасное соединение На сайте zakupki .gov .ru используется неподдерживаемый протокол . то я сейчас расскажу вам из-за чего это и как это исправить . Собственно, всё сводится к тому, что сайт Госзакупок использует шифрование по ГОСТу (что . .

ERR_SSL_VERSION_OR_CIPHER_MISMATCH Неподдерживаемый протокол Клиент и сервер поддерживают разные версии протокола SSL или набора Этот сайт не может обеспечить безопасное соединение На сайте zakupki .gov .ru используется неподдерживаемый протокол .

Неподдерживаемый протокол на nalog .ru и zakupki .gov .ru . Код ошибки ERR_SSL_VERSION_OR_CIPHER_MISMATCH появляется, когда браузер не может установить безопасное соединение с сервером (веб-страницей) из-за неподдерживаемого протокола . .

Уведомление, что на конкретном сайте используется неподдерживаемый протокол, указывает на возникшую проблему, но не дает информации по поводу путей для диагностики и ее быстрого устранения .
Чтобы исправить эту ошибку можно использовать несколько способов, но не факт, что они будут эффективными . Причин возникновения проблемы обычно несколько . Ошибка эта появляется в операционных системах Windows 7, 8 и 10 в самых разных браузерах .

Ошибка неподдерживаемого протокола . Чаще всего такое предупреждение выскакивает на сайтах государственных органов: gosuslugi .ru , zakupki .gov .ru , fzs .roskazna .ru и др . Что делать, если на сайте используется неподдерживаемый протокол .

На сайте *** используется неподдерживаемый протокол . Скорее всего, сервер использует шифр RC4, который считается небезопасным . Internet Explorer выдает это: Internet Explorer не может отобразить эту веб-страницу .

Как зайти, если на сайте используется неподдерживаемый протокол? Безопасность шифрования данных с сайта обеспечивается специальным SSL-протоколом . Больше всего эта проблема возникает при желании зайти на сайты zakupki .gov .ru , gosuslugi .ru или, нимер . .

Пободался на неделе с ссайтом zukupki .gov .ru . Давненько он не привлекал моего внимания . Еще со времен когда он был совсем старого дизайна и Этот сайт не может обеспечить безопасное соединение На сайте eruz .zakupki .gov .ru используется неподдерживаемый протокол .

Неподдерживаемый протокол . Клиент и сервер поддерживают разные версии протокола SSL или набора шифров . Этот сайт не может обеспечить безопасное соединение . На сайте 192 .168 .1 .1 используется неподдерживаемый протокол .

На сайте lkipgost .nalog .ru используется неподдерживаемый протокол . С ЛК ИП работал только под логином/паролем, без ЭЦП . Но зато доводилось налаживать работу с zakupki .gov .ru на компе с XP, где новый IE было не установить, а устаревший IE8 не поддерживался . .

В последнее время, все больше пользователей испытывают на себе действие различных механизмов сетевой защиты . Так, при попытке открыть некоторые ресурсы, появляется уведомление . .
На сайте используется неподдерживаемый протокол . При попытке открыть сайт ошибка: Невозможно установить безопасное соединение: сайт использует . .
При попытке зайти в личный кабинет на bus .gov .ru IE кидает ошибку: Не удается безопасно подключиться к этой странице Возможно, на сайте Этот сайт не может обеспечить безопасное соединение На сайте private .bus .gov .ru используется неподдерживаемый протокол .

Что такое Rivest Cipher 4 (RC4) и почему это уязвимость

Rivest Cipher 4 — это тип шифрования, который существует с 1980-х годов. Это один из самых распространенных и первых потоковых шифров. Он широко используется в протоколах Secure Socket Layer (SSL) и Transport Layer Security (TLS), Wireless Equivalent Protocol (WEP) и стандарте беспроводной локальной сети IEEE 802.11.

В то время как его использование было довольно широко распространенным на протяжении многих лет из-за его скорости и простоты использования, сегодня считается, что RC4 представляет множество рисков для безопасности.

Ниже вы можете найти подробный обзор того, что такое RC4 и его уязвимостей.

Оглавление

Оценка безопасности SSL RC4
Что такое RC4 и как работает его шифрование?
Различные типы RC4
Применение шифрования RC4
Уязвимость и атаки RC4

Оценка безопасности SSL RC4

CVSS Вектор: AV: N / AC: M / AU: N / C: P / I: N / A: N

В целом, RC4 сыграл свою роль в самых разных сферах применения, но в настоящее время его в основном избегают из-за различных уязвимостей, которым он подвержен.

Что такое RC4 и как работает его шифрование?

Сервер поддерживает RC4 (Rivest Cipher 4), рассматриваемый поток шифров.

RC4 — это сокращение от Rivest Cipher 4. Иногда его также называют ARC4 или ARCFOUR. В сочетании с файлом открытого текста его можно использовать для шифрования с помощью операции исключающее ИЛИ (X-OR).

RC4 — это поточный шифр, созданный Роном Ривестом для компании по сетевой безопасности RSA Security еще в 1987 году.Вот почему его также называют «Кодексом Рона».

Потоковые шифры работают побайтно с потоком данных. RC4, в частности, представляет собой потоковый шифр с переменным размером ключа, использующий 64-битные и 128-битные размеры. Шифр использует перестановку и два 8-битных указателя индекса для генерации потока ключей. Сама перестановка выполняется с помощью алгоритма планирования ключей (KSA), который затем вводится в алгоритм псевдослучайной генерации (PRG), который генерирует поток битов.

Длина псевдослучайного потока, генерируемого RC4, равна длине потока открытого текста.Затем с помощью операции Исключающее ИЛИ (X-OR) поток и открытый текст генерируют зашифрованный текст. В отличие от потоковых шифров, блочные шифры разделяют открытый текст на разные блоки. Затем он прикрепляет к блокам открытый текст и выполняет шифрование блоков.

Как выглядит процедура шифрования для RC4? Сначала пользователь вводит текстовый файл и ключ шифрования. Затем механизм шифрования RC4 генерирует байты потока ключей с помощью алгоритма планирования ключей и алгоритма псевдослучайной генерации.Операция X-OR выполняется побайтно, а на выходе получается зашифрованный текст, который получает получатель. После того, как они расшифруют его с помощью побайтовой операции X-OR, они могут получить доступ к потоку открытого текста.

Различные типы RC4

Несколько вариантов RC4 были разработаны для решения проблем безопасности.

Это:

Spritz — может создавать криптографические хэш-функции, алгоритм шифрования, поддерживающий аутентифицированное шифрование со связанными данными (AEAD) и детерминированный генератор случайных битов (DRBG).
RC4A — предлагается как более безопасный вариант RC4, но есть были проблемы с рандомизацией чисел в шифре
Variably Modified Permutation Composition (VMPC) — еще один вариант, стремящийся к большей безопасности, но также борющийся с рандомизацией чисел
RC4A + — более подробная, длинная и продвинутая версия RC4, и RC4A с трехфазным расписанием ключей и оказался более безопасным

Несмотря на преимущества этих вариантов, использование RC4 больше не считается безопасным.

Применение шифрования RC4

RC4 приобрел огромную популярность и на протяжении многих лет имел стандартные реализации в коммерческих приложениях. Он известен как быстрый, несложный и доступный метод шифрования.

Основные преимущества RC4 включают простоту реализации и использования, а также скорость работы и развертывания. Это позволяет эффективно и быстро работать с большими потоками данных. Потоковые шифры RC4 также легки с точки зрения использования памяти.

Однако со временем и в свете кибератак в последние годы есть рекомендации прекратить использование методов шифрования RC4 из-за очевидных недостатков. Были обнаружены и другие недостатки, такие как невозможность работы с небольшими потоками данных и необходимость дополнительного анализа перед внедрением новых систем.

В 2015 году Инженерная группа Интернета (IETF) запретила использование RC4 в протоколах TLS. Microsoft и Mozilla также опубликовали рекомендации по ограничению применения RC4 из-за наличия уязвимостей.

RC4 Уязвимость и атаки

Несмотря на широкий спектр преимуществ RC4, было обнаружено множество уязвимостей. В результате он теперь считается небезопасной формой шифрования и используется все реже и реже.

Например, поскольку RC4 не требует аутентификации, может быть выполнена атака «Манипулятор посередине» (MITM). Кроме того, поскольку RC4 является потоковым, а не блочным шифром, он более уязвим для атаки с переворачиванием битов. Наконец, было обнаружено, что RC4 подвержен атакам восстановления открытого текста и ряду других угроз безопасности.

Вот наиболее важные проблемы и атаки RC4, выявленные за последние годы:

Смещения Рооса: существуют корреляция ключевого потока и ключа и корреляции перестановок ключа, а также другие типы смещений
Смещенные выходы: RC4 создает ключевые потоки, которые могут быть смещены в разной степени, что делает их уязвимыми для различительных атак
Атака флурера Мантина Шамира: первые байты ключевых потоков RC4 не случайны и, таким образом, раскрывают информацию о ключе, которая открывает двери для атак WEP
Атака Андреаса Кляйна: как и в предыдущих атаках, еще больше корреляций между ключом и RC4 keystream обнаружено
Комбинаторные проблемы: обнаружены проблемы с количеством входов и выходов
Атака Royal Holloway: исследователи безопасности из группы информационной безопасности в Royal Holloway, Лондонский университет определили нарушения и сценарии атак, которые могут повлиять на протоколы TLS и SSL и реализации WPA / TKIP
Атака бар-мицвы: шифры RC4 могут использоваться для атаки на S Протоколы SL
Многочисленные атаки с использованием методов мониторинга и восстановления (NOMORE): были обнаружены уязвимости как для протоколов TLS, так и для WPA / TKIP, включая предубеждения Флюрера-МакГрю

Независимо от того, используете ли вы RC4 или нет, вы можете использовать Crashtest Сканер SSL / TLS безопасности для выявления и предотвращения потенциальных киберугроз для ваших систем.

Решение проблемы TLS 1.0 — Документация по безопасности

31.03.2021
11 минут на чтение

В этой статье

Эндрю Маршалл
Главный менеджер программы безопасности
Корпорация Microsoft

Краткое содержание

В этом документе представлены последние рекомендации по быстрому выявлению и удалению версии 1 протокола безопасности транспортного уровня (TLS).0 зависимостей в программном обеспечении, созданном на основе операционных систем Microsoft, с последующим сообщением подробностей об изменениях продуктов и новых функциях, предоставляемых Microsoft для защиты ваших клиентов и онлайн-сервисов. Он предназначен для использования в качестве отправной точки для построения плана миграции в сетевую среду TLS 1.2+. Хотя обсуждаемые здесь решения могут быть перенесены и помочь в устранении использования TLS 1.0 в операционных системах сторонних разработчиков или в криптографических библиотеках, они не являются предметом внимания в этом документе.

TLS 1.0 — это протокол безопасности, впервые определенный в 1999 году для установления каналов шифрования в компьютерных сетях. Microsoft поддерживает этот протокол с Windows XP / Server 2003. Хотя TLS 1.0 больше не является протоколом безопасности по умолчанию, используемым в современных операционных системах, он по-прежнему поддерживается для обеспечения обратной совместимости. Растущие нормативные требования, а также новые уязвимости безопасности в TLS 1.0 дают корпорациям стимул полностью отключить TLS 1.0.

Microsoft рекомендует клиентам опередить эту проблему, удалив TLS 1.0 в своих средах и отключение TLS 1.0 на уровне операционной системы, где это возможно. Учитывая длительность поддержки TLS 1.0 индустрией программного обеспечения, настоятельно рекомендуется, чтобы любой план прекращения поддержки TLS 1.0 включал следующее:

Анализ кода для поиска / исправления жестко запрограммированных экземпляров TLS 1.0 или более старых протоколов безопасности.
Сканирование конечных точек сети и анализ трафика для определения работоспособности системы, использующие протоколы TLS 1.0 или более старые.
Полное регрессионное тестирование всего стека приложений с TLS 1.0 отключен.
Миграция устаревших операционных систем и библиотек / фреймворков разработки на версии, по умолчанию поддерживающие согласование TLS 1.2.
Тестирование совместимости операционных систем, используемых в вашем бизнесе для выявления любых проблем с поддержкой TLS 1.2.
Координация с вашими бизнес-партнерами и клиентами для уведомления они вашего шага отказаться от TLS 1.0.
Понимание того, какие клиенты больше не смогут подключаться к вашим серверам после отключения TLS 1.0.

Цель этого документа — предоставить рекомендации, которые помогут удалить технические средства, блокирующие отключение TLS 1.0, и в то же время повысить прозрачность воздействия этого изменения на ваших клиентов. Завершение таких расследований может помочь снизить влияние следующей уязвимости системы безопасности в TLS 1.0 на бизнес. В этом документе ссылки на прекращение поддержки TLS 1.0 также включают TLS 1.1.

Разработчики программного обеспечения

Enterprise имеют стратегическую потребность во внедрении более безопасных и гибких решений (также известных как Crypto Agility), чтобы справиться с будущими нарушениями протокола безопасности. Хотя в этом документе предлагаются гибкие решения для устранения жесткого кодирования TLS, более широкие решения Crypto Agility выходят за рамки этого документа.

Текущее состояние реализации Microsoft TLS 1.0

Microsoft TLS 1.0 реализация бесплатна известных уязвимостей безопасности.В связи с потенциалом на будущее понижение версии протокола атаки и другие TLS 1.0 уязвимости, не относящиеся к реализации Microsoft, это рекомендуется, чтобы зависимости от всех протоколов безопасности старше TLS 1.2 следует удалить по возможности (TLS 1.1 / 1.0 / SSLv3 / SSLv2).

При планировании перехода на TLS 1.2+ разработчики и система администраторы должны знать о возможной версии протокола жесткое кодирование в приложениях, разработанных их сотрудниками и партнеры. Жесткое кодирование здесь означает, что версия TLS исправлена до версии, которая устарела и менее безопасна, чем более новые версии.Версии TLS, более новые, чем жестко запрограммированная, нельзя использовать без изменения рассматриваемой программы. Проблема этого класса не может быть решена без изменения исходного кода и развертывания обновлений программного обеспечения. Жесткое кодирование версии протокола было обычным делом в прошлом для в целях тестирования и поддержки, а также для множества различных браузеров и операционные системы имели разные уровни поддержки TLS.

Обеспечение поддержки TLS 1.2 во всех развернутых операционных системах

Многие операционные системы имеют устаревшие версии TLS по умолчанию или поддержку потолки, которые необходимо учитывать.Использование Windows 8 / Server 2012 или новее означает, что TLS 1.2 будет протоколом безопасности по умолчанию. версия:

Рисунок 1: Поддержка протокола безопасности версией ОС

ОС Windows	SSLv2	SSLv3	TLS 1.0	TLS 1.1	TLS 1,2
Windows Vista	Включено	Включено	По умолчанию	Не поддерживается	Не поддерживается
Windows Server 2008	Включено	Включено	По умолчанию	отключено *	отключено *
Windows 7 (WS2008 R2)	Включено	Включено	По умолчанию	отключено *	отключено *
Windows 8 (WS2012)	Инвалидов	Включено	Включено	Включено	По умолчанию
Windows 8.1 (WS2012 R2)	Инвалидов	Включено	Включено	Включено	По умолчанию
Windows 10	Инвалидов	Включено	Включено	Включено	По умолчанию
Windows Server 2016	Не поддерживается	Инвалидов	Включено	Включено	По умолчанию

* TLS 1.1 / 1.2 можно включить в Windows Server 2008 с помощью этого дополнительного пакета Windows Update.

Дополнительные сведения об устаревании TLS 1.0 / 1.1 в IE / Edge см. В разделах «Модернизация TLS-соединений в Microsoft Edge и Internet Explorer 11», «Изменения, влияющие на совместимость сайтов, поступающие в Microsoft Edge» и «Отключение TLS / 1.0 и TLS / 1.1 в новом браузере Edge».

Быстрый способ определить, какая версия TLS будет запрашиваться различными клиентов при подключении к вашим онлайн-сервисам, обращаясь к Моделирование рукопожатия в Qualys SSL Labs.Это моделирование охватывает комбинации клиентской ОС / браузера в разных производители. Смотри Приложение А в конце этого документа для подробного примера, показывающего TLS версии протокола, согласованные различными смоделированными клиентскими ОС / браузерами комбинации при подключении к www.microsoft.com.

Если еще не завершено, настоятельно рекомендуется провести инвентаризация операционных систем, используемых вашим предприятием, клиентами и партнеры (последние два через аутрич / общение или, по крайней мере, HTTP Коллекция строк User-Agent).Этот инвентарь можно дальше дополняется анализом трафика на границе вашей корпоративной сети. В в такой ситуации анализ трафика даст версии TLS успешно согласованы клиентами / партнерами, подключающимися к вашему сервисов, но сам трафик останется зашифрованным.

Инженерные улучшения Microsoft для устранения зависимостей TLS 1.0

Начиная с версии v1 этого документа, Microsoft поставила ряд обновлений программного обеспечения и новых функций для поддержки TLS 1.0 устаревание. К ним относятся:

Пользовательское ведение журнала IIS для сопоставления строки IP клиента / пользовательского агента, URI службы, версии протокола TLS и набора шифров.
- С помощью этого журнала администраторы могут, наконец, количественно оценить подверженность своих клиентов слабому TLS.
SecureScore — чтобы помочь администраторам клиентов Office 365 определить собственное слабое использование TLS, был создан портал SecureScore для обмена этой информацией, поскольку TLS 1.0 прекратил поддержку в Office 365 в октябре 2018 года.
- Этот портал предоставляет администраторам клиентов Office 365 ценную информацию, необходимую им для связи со своими клиентами, которые могут не знать о своих собственных зависимостях TLS 1.0.
- Для получения дополнительной информации посетите https://securescore.microsoft.com/.
Обновления .Net Framework для устранения жесткого кодирования на уровне приложений и предотвращения унаследованных от платформы зависимостей TLS 1.0.
Руководство разработчика и обновления программного обеспечения были выпущены, чтобы помочь клиентам определить и устранить.Сетевые зависимости от слабого TLS: передовые методы безопасности транспортного уровня (TLS) с .NET Framework
- К сведению: все приложения, ориентированные на .NET 4.5 или ниже, вероятно, придется изменить для поддержки TLS 1.2.
TLS 1.2 был перенесен на Windows Server 2008 SP2 и XP POSReady 2009, чтобы помочь клиентам выполнять устаревшие обязательства.
Другие объявления будут сделаны в начале 2019 года и будут сообщены в последующих обновлениях этого документа.

Поиск и исправление зависимостей TLS 1.0 в коде

Для продуктов, использующих библиотеки шифрования, предоставляемые ОС Windows, и протоколы безопасности, следующие шаги должны помочь идентифицировать любые использование жестко запрограммированного TLS 1.0 в ваших приложениях:

Определите все экземпляры AcquireCredentialsHandle (). Это помогает рецензентам приблизиться к блокам кода, в которых TLS могут быть жестко запрограммированы.
Просмотрите все экземпляры SecPkgContext_SupportedProtocols а также SecPkgContext_ConnectionInfo структуры для жестко запрограммированного TLS.
В собственном коде установите любые ненулевые присвоения grbitEnabledProtocols до нуля. Это позволяет операционной системе использовать TLS по умолчанию. версия.
Отключить FIPS Режим если он включен из-за возможного конфликта с настройками требуется для явного отключения TLS 1.0 / 1.1 в этом документе. Видеть Приложение B для больше информации.
Обновите и перекомпилируйте любые приложения с использованием WinHTTP, размещенного на сервере 2012 или старше.
1. Управляемые приложения — перестройка и перенацеливание на новейшие версии.NET Framework версии
2. Приложения должны добавить код для поддержки TLS 1.2 через WinHttpSetOption
Чтобы охватить все базы, отсканируйте исходный код и онлайн-сервис файлы конфигурации для шаблонов ниже, соответствующих Значения перечислимого типа, обычно используемые в жестком кодировании TLS:
1. SecurityProtocolType
2. SSLv2, SSLv23, SSLv3, TLS1, TLS 10, TLS11
3. WINHTTP_FLAG_SECURE_PROTOCOL_
4. SP_PROT_
5. NSStreamSocketSecurityLevel
6. PROTOCOL_SSL или PROTOCOL_TLS

Рекомендуемое решение во всех вышеупомянутых случаях — удалить жестко запрограммированный выбор версии протокола и вернуться к значениям операционной системы по умолчанию.Если вы используете DevSkim, щелкните здесь, чтобы просмотреть правила, охватывающие вышеуказанные проверки, которые вы можете использовать со своим собственным кодом.

Windows PowerShell использует .NET Framework 4.5, который не включает TLS 1.2 в качестве доступного протокола. Чтобы обойти это, доступны два решения:

  1. Измените рассматриваемый сценарий, включив в него следующее:
    [System.Net.ServicePointManager] :: SecurityProtocol = [System.Net.SecurityProtocolType] :: Tls12;

2. Добавьте общесистемный раздел реестра (например,грамм. через групповую политику) на любой компьютер, которому необходимо установить соединения TLS 1.2 из приложения .NET. Это заставит .NET использовать версии TLS «по умолчанию», которые добавляют TLS 1.2 в качестве доступного протокола, И это позволит сценариям использовать будущие версии TLS, когда ОС их поддерживает. (например, TLS 1.3)

    reg add HKLM \ SOFTWARE \ Microsoft \ .NETFramework \ v4.0.30319 / v SystemDefaultTlsVersions / t REG_DWORD / d 1 / f / reg: 64

    reg add HKLM \ SOFTWARE \ Microsoft \ .NETFramework \ v4.0.30319 / v SystemDefaultTlsVersions / t REG_DWORD / d 1 / f / reg: 32

Решения (1) и (2) исключают друг друга, что означает, что их не нужно реализовывать вместе.

Перестройка / перенацеливание управляемых приложений с использованием последней версии .Net Framework

Приложения, использующие версии .NET framework до 4.7, могут иметь ограничения, фактически ограничивающие поддержку TLS 1.0, независимо от значений базовой ОС по умолчанию. См. Диаграмму ниже и https://docs.microsoft.com/dotnet/framework/network-programming/tls для получения дополнительной информации.

SystemDefaultTLSVersion имеет приоритет над таргетингом версий TLS на уровне приложения. Рекомендуется всегда использовать версию TLS по умолчанию для ОС.Это также единственное крипто-гибкое решение, которое позволяет вашим приложениям использовать будущую поддержку TLS 1.3.

Если вы ориентируетесь на более старые версии .NET Framework, такие как 4.5.2 или 3.5, то по умолчанию ваше приложение будет использовать более старые и не рекомендуемые протоколы, такие как SSL 3.0 или TLS 1.0. Настоятельно рекомендуется выполнить обновление до более новых версий .NET Framework, например .NET Framework 4.6, или установить соответствующие разделы реестра для UseStrongCrypto.

Тестирование с TLS 1.2+

После исправлений, рекомендованных в разделе выше, продукты должны быть прошел регрессионное тестирование на предмет ошибок согласования протокола и совместимости с другие операционные системы на вашем предприятии.

Наиболее частой проблемой в этом регрессионном тестировании будет TLS сбой согласования из-за попытки подключения клиента из операционная система или браузер, не поддерживающий TLS 1.2.
- Например, клиент Vista не сможет согласовать TLS с сервер настроен для TLS 1.2+ как максимально поддерживаемый TLS для Vista версия 1.0. Этот клиент должен быть либо обновлен, либо выведен из эксплуатации в среде TLS 1.2+.
Продукты, использующие взаимную аутентификацию TLS на основе сертификатов, могут требуется дополнительное регрессионное тестирование в качестве сертификата выбора код, связанный с TLS 1.0, был менее выразительным, чем код для TLS 1.2.
- Если продукт согласовывает MTLS с сертификатом от нестандартное расположение (вне стандартного именованного сертификата в Windows), то этот код может нуждаться в обновлении, чтобы гарантировать сертификат получен правильно.
Взаимозависимости сервисов должны быть проверены на наличие проблемных мест.
- Любые службы, которые взаимодействуют с 3 ^rd-стороной службы должны провести дополнительное тестирование взаимодействия с теми 3 ^рд партий.
- Любые используемые приложения, отличные от Windows, или серверные операционные системы. требуют расследования / подтверждения того, что они могут поддерживать TLS 1.2. Сканирование — самый простой способ определить это.

Простой план для тестирования этих изменений в онлайн-сервисе состоит из следующего:

Провести сканирование систем производственной среды для выявления операционные системы, не поддерживающие TLS 1.2.
Сканировать исходный код и файлы конфигурации онлайн-сервисов для жестко запрограммированный TLS, как описано в разделе «Поиск и исправление TLS 1.0. зависимости в код «
Обновите / перекомпилируйте приложения по мере необходимости:
1. Управляемые приложения
  1. Выполните повторную сборку до последней версии .NET Framework.
  2. Проверьте любое использование SSL-протоколы для перечисления установлено значение SSLProtocols.None, чтобы использовать ОС настройки по умолчанию.
2. приложений WinHTTP — перестройка с WinHttpSetOption для поддержки TLS 1.2
Начать тестирование в предпроизводственной или промежуточной среде со всеми протоколы безопасности старше TLS 1.2 отключены через реестр.
Исправьте все оставшиеся экземпляры жесткого кодирования TLS как есть встретился при тестировании. Повторно разверните программное обеспечение и выполните новое прогон регрессионного теста.

Уведомление партнеров о вашем TLS 1.0 планов прекращения поддержки

После обращения к жесткому кодированию TLS и операционной системы / разработки обновления фреймворка завершены, если вы решите отказаться от TLS 1.0, это необходимо будет согласовать с заказчиками и партнерами:

Раннее взаимодействие с партнерами / клиентами важно для успешного TLS 1.0 прекращение поддержки. Как минимум, он должен состоять из блога публикации, официальные документы или другой веб-контент.
Каждому партнеру необходимо оценить собственный TLS 1.2 готовность через Инициативы операционной системы / сканирования кода / регрессионного тестирования описано в разделах выше.

Заключение

Удаление зависимостей TLS 1.0 — сложная задача для решения конец. Корпорация Майкрософт и ее отраслевые партнеры сегодня принимают меры, чтобы гарантировать, что весь наш стек продуктов по умолчанию более безопасен, из нашей ОС компоненты и фреймворки разработки до приложений / сервисов построен на них. Следуя рекомендациям, изложенным в этом документ поможет вашему предприятию наметить правильный курс и узнать, что вызовы ожидать.Это также поможет вашим клиентам стать больше подготовлен к переход.

Приложение A: Имитация рукопожатия для различных клиентов, подключающихся к www.microsoft.com, любезно предоставлено SSLLabs.com

Приложение B: прекращение поддержки TLS 1.0 / 1.1 при сохранении режима FIPS

Выполните следующие действия, если для вашей сети требуется режим FIPS, но вы также хотите отказаться от TLS 1.0 / 1.1:

Настройте версии TLS через реестр установив значение «Включено» на ноль для нежелательных версий TLS.
Отключить кривую 25519 (только Server 2016) с помощью групповой политики.
Отключить любые наборы шифров, использующие алгоритмы, которые не разрешены соответствующее издание ФИПС. Для Server 2016 (при условии, что по умолчанию действуют настройки) это означает отключение RC4, PSK и NULL шифры.

Авторы / Благодарности

Марк Картрайт
Брайан Салливан
Патрик Джанглз
Майкл Сковетта
Тони Райс
Дэвид Леблан
Мортимер Кук
Дэниел Соммерфельд
Андрей Попов
Мичико Шорт
Джастин Бёрк
Сэдэйн Терн 9011 Гов Махарадж 9

Шифры, алгоритмы и согласование параметров безопасности

Наборы шифров

SSL / TLS определяют параметры HTTPS-соединения.А также они только что прошли косметическую реконструкцию.

Если вы долго взаимодействуете с шифрованием SSL / TLS и HTTPS достаточно, вы в конечном итоге встретите термин «набор шифров». А также хотя это звучит как причудливое прозвище для гостиничного номера Алана Тьюринга, шифр пакеты играют критически важную роль в каждом HTTPS-соединении, которое вы устанавливаете в Интернете.

Итак, что такое шифры шифрования? А что такое комплекты шифров?

Шифры — это алгоритмы, точнее говоря, они представляют собой набор шаги для выполнения криптографической функции — это может быть шифрование, дешифрование, хеширование или цифровые подписи.В наши дни шифры зависят от продвинутых возможности обработки компьютеров. Однако так было не всегда. Один из первых известных исторических шифров принадлежал Цезарю — самый первый император Рима и поставщик изысканных салатов для закусок, который использовал их для общаться со своими генералами во время боевых действий.

С годами шифры стали более сложными, но логика за ними осталась прежней. Был ли это Цезарь, пересекающий Рубикон, печально известный шифр Enigma времен Второй мировой войны или некоторые из алгоритмов сегодня — идея всегда заключалась в том, чтобы закодировать или зашифровать сообщение таким способом что только предполагаемая сторона может его прочитать.

Сегодня мы обсудим наборы шифров SSL / TLS — группы шифров, которые помогают защитить HTTPS-соединение — затем рассмотрите их различные части и закончите, посмотрев, что изменилось между TLS 1.2 и TLS 1.3.

Давайте разберемся.

Наборы шифров — немного предыстории

Как мы только что рассмотрели, шифр — это просто алгоритм, или набор шагов, которые используются для выполнения определенной математической функции — будь то шифрование, хеширование или цифровые подписи.Шифры всегда основывались на математике, даже примитивный шифр Цезаря требовал пересчета назначенного количество пробелов в алфавите, чтобы что-то зашифровать.

Я собираюсь использовать шифр Цезаря, чтобы объяснить некоторые основные концепции, которые будут полезны позже, когда мы перейдем к современным шифровальным комплектам. В данные или информация — сейчас они все в цифровом формате, хотя исторически обычно это были какие-то чернила и бумага / пергамент. Во всяком случае, этот оригинал незашифрованный фрагмент данных будет называться открытым текстом, поскольку его легко читается в необработанном виде.После завершения процесса шифрования он становится частью зашифрованного текста и в идеале должен быть нечитаемым для всех без закрытого ключа.

Ключи против алгоритмов

Шифрование выполняется с помощью ключей, но важно учитывать как ключи и алгоритмы / шифры сочетаются друг с другом.

Используемый алгоритм или шифр — это просто последовательность шагов, которые необходимо использовать для шифрования открытого текста.

В зависимости от криптосистемы, значения внутри этого алгоритм или значение, которое алгоритм получает сам, являются ключами.

Мы проясним этот момент через минуту, просто подумайте об этом способ: алгоритмы — это общие принципы / правила, используемые данной криптосистемой, клавиши — это то, что на самом деле выполняет функцию.

Это просто математика

Иногда лучше проиллюстрировать примером, так что давай вернемся к шифру Цезаря и проиллюстрируем. В шифре Цезаря настоящая алгоритм:

Хорошо, теперь давайте подробнее рассмотрим каждый компонент.

Переменная	Описание
x	x представляет необработанный ввод, в этом случае x относится к любой букве, которую мы перемещаем
e (x)	e (x) представляет зашифрованное значение
k	k представляет ключ
mod	mod представляет модуль

В шифре Цезаря ключ — это просто число пространств вы решили переставить буквы.Итак, в приведенном ниже примере ключ будет 3. Мы сдвигаем все на три деления вперед.

Теперь добавим модуль. Модульные арифметические обертки примерно после того, как он достигнет модуля, который в основном является концом линии, колпачок номера — как бы вы ни думали об этом. С алфавитом модуль, очевидно, равен 26. В нем 26 букв, поэтому, если вы хотите переместить букву «Y» на три деления вперед вы должны обернуться и снова начать с 1 (или A).Итак, в этом случае уравнение будет B = (Y + 3) (mod 26).

Современные шифры и наборы шифров

На цифровом уровне ничего не изменилось. Математика намного больше сейчас сложно — ни один человек не мог бы сделать это эффективно — но концепция все еще такой же. Это все просто математика. Теперь давайте применим то, что мы узнали об алгоритмах. как правило, для соединений SSL / TLS и HTTPS.

HTTPS-соединение на самом деле довольно сложное процесс.На прошлой неделе мы подробно рассмотрели рукопожатие TLS. Это процесс где клиент и сервер согласовывают набор шифров для взаимной поддержки, а затем используют выбранный набор шифров для согласования безопасного соединения.

Отчасти сложность рукопожатия заключается в том, что оно использует несколько различных криптографических функций для достижения HTTPS-соединения. Во время рукопожатия клиент и сервер будут использовать:

Алгоритм обмена ключами
Шифр массового шифрования
Схема цифровой подписи
Функция хеширования / MAC

Все эти шифры работают вместе в различных точках для выполнения аутентификация, генерация и обмен ключами и контрольная сумма для обеспечения целостности.

Чтобы определить, какие конкретные алгоритмы использовать, клиент и сервер начинают с выбора набора шифров для использования. Наборы шифров наборы этих алгоритмов, которые могут работать вместе, чтобы выполнить рукопожатие и последующее шифрование / дешифрование. В начале подключения обе стороны разделяют список поддерживаемых наборов шифров, а затем выбирают самый безопасный, взаимно поддерживаемый пакет.

Математика теперь более сложная … но основные концепции остались прежними.Это все просто математика.

Имеется 37 шифров TLS 1.2 и пять шифров TLS 1.3. Понимание их различные части являются ключом к пониманию HTTPS-соединений и самого SSL / TLS. Начнем с обзора TLS 1.2 — это все еще наиболее распространенная версия. протокола — а затем мы поговорим о том, что улучшено в TLS 1.3.

Что такое набор шифров TLS 1.2?

Как мы уже говорили в предыдущем разделе, Cipher Suite — это комбинация алгоритмов, используемых для согласования настроек безопасности во время Подтверждение SSL / TLS.При обмене сообщениями ClientHello и ServerHello клиент отправляет список поддерживаемых им наборов шифров с указанием приоритетов. Сервер затем отвечает набором шифров, который он выбрал из списка.

Наборы шифров представляют собой именованные комбинации:

Алгоритмы обмена ключами (RSA, DH, ECDH, DHE, ECDHE, PSK)
Алгоритм аутентификации / цифровой подписи (RSA, ECDSA, DSA)
Алгоритмы массового шифрования (AES, CHACHA20, Camellia, ARIA)
Алгоритмы кода аутентификации сообщений (SHA-256, POLY1305)

Так, например, вот пример набора шифров:

Я покрасил его, чтобы помочь вам отличить шифры.

TLS — это протокол. Начиная с ECDHE, мы видим, что во время рукопожатия ключи будут меняться через эфемерную эллиптическую кривую Диффи Хеллман (ECDHE). RSA — это алгоритм аутентификации. AES_128_GCM — это алгоритм массового шифрования: AES работает в режиме счетчика Галуа со 128-битным ключом размер. Наконец, SHA-256 — это алгоритм хеширования.

К концу статьи все это обретет смысл.

Во время рукопожатия TLS 1.2 это будет выглядеть как это:

Клиент и Сервер определяют взаимно поддерживаемый набор шифров
Сервер отправляет свой сертификат и открытый ключ
Клиент аутентифицирует сертификат и цифровой подпись
Функции обмена ключами выполняются для генерации симметричные ключи сеанса
Начинается шифрование; HMAC используется для обеспечения рукопожатие не было изменено с помощью

Очевидно, это невероятно сжато, если вам интересно ознакомьтесь с полной статьей о TLS Handshake, но, надеюсь, вы увидите, где каждый шифр / алгоритм входит в картину.

Более пристальный взгляд на рукопожатие SSL / TLS

Во всем шифровании Патрик Ноэ

Когда вы подключаетесь к веб-сайту через HTTPS, под капотом происходит много всего. В первую очередь всем нужно… пожать руку ?!

Подробнее

К сожалению, TLS 1.2 имеет 37 различных наборов шифров для выберите из них, и не все из них по-прежнему считаются безопасными.Вы можете быть интересно, как у вас получается почти 40 различных наборов шифров. Его вдвое. Во-первых, TLS 1.2 существует около 10 лет, а это означает, что много раз для появления новых алгоритмов и постепенного отказа от старых. И, как что происходит, IANA, Управление по распределению номеров в Интернете, организация, которая управляет всем этим, должна постоянно создавать новые комбинации шифров — новые наборы шифров — благодаря тому, что четыре разных алгоритма необходимы, и существует множество возможных комбинаций.

Конечно, не все алгоритмы хорошо работают вместе, но Достаточно того, что сегодня используется 37 утвержденных наборов шифров TLS 1.2.

Давайте углубимся в четыре различных компонента набора шифров TLS 1.2. Но сначала давайте немного поговорим о двух разных типах шифрования, которые вы видите в SSL / TLS.

Два вида шифрования

Одна из самых больших путаниц, когда дело доходит до SSL / TLS, связана с используемыми типами шифрования.Это связано с тем, как рекламируются сертификаты SSL. И это не должно вызывать особого удивления, учитывая тот факт, что отрасль никогда не уделяла времени тому, чтобы поправить всех в том, что мы теперь используем сертификаты TLS.

2048-битный ключ, связанный с вашим сертификатом SSL, используется для согласования HTTPS-соединения, но на самом деле его роль намного уже чем большинство людей думают. И 2048-битные ключи — далеко не единственное вариант, когда речь идет о криптосистемах с открытым ключом.ECDSA использует гораздо меньшие ключи для выполнения аналогичной функции.

Кажется, мы зациклились на 2048-битном закрытом ключе, потому что он звучит более впечатляюще. И мы можем сказать: « современному компьютеру потребуется квадриллион лет, чтобы взломать этот ключ, и к тому времени мы все уже будем мертвы! ”

Но, возможно, объемный шифр и симметричный ключ вы заканчиваете до использования ВО ВРЕМЯ соединения одинаково, если не более важны, чем пара открытый / закрытый ключ.

Симметричное шифрование включает два одинаковых ключа, или как следует из названия, симметричны. Оба ключа могут выполнять оба функции: шифрование и дешифрование. Это тип шифрования, которым вы пользуетесь фактически используется для связи с сайтом, который вы посещаете.

И наоборот, с асимметричным шифрованием вы говорите про разные ключи с разными способностями. Когда шифрование асимметрично, один ключ шифрует, а другой — дешифрует.Асимметричное шифрование, которое обычно принимает форму RSA с TLS 1.2, отвечает за проверку цифровые подписи и, когда используется обмен ключами RSA, он предназначен для шифрования pre-master секрет, который будет использоваться для получения симметричного сеансового ключа. Но RSA — не единственный используемый механизм обмена ключами, поэтому 2048-битные ключи вообще-то странная вещь для рекламы.

Симметричные ключи шифрования, которые обычно представляют собой AES или Advanced Encryption Standard, имеют размер ключа от 128 до 256 бит.И это полностью эффективно и безопасно для симметричного шифрования, когда вычислительная сложность должна идти рука об руку с удобством использования / производительностью.

Насколько надежно 256-битное шифрование?

Во всем шифровании Патрик Ноэ

Надежность 256-битного шифрования постоянно обсуждается, но большинство людей понятия не имеют, что означают 256-битное шифрование и насколько надежна она на самом деле.Давай решим.

Подробнее

Эти 2048-битные асимметричные ключи RSA дороги в вычислениях и добавляют задержку при установлении связи. В некоторых реализациях они также уязвимы для атак заполнения.

Короче говоря, асимметричное шифрование и симметричное шифрование представлено здесь, но симметричное шифрование более актуально в контекст комплектов шифров.

Теперь давайте посмотрим на четыре различных компонента шифра. люкс.

Обмен ключами

Первое место в наборе шифров TLS 1.2 предназначено для механизма обмена ключами, который будет использоваться.

Обмен ключами относится к фактическому процессу, который используется для передачи этих симметричных сеансовых ключей (или общих ключей, из которых они получены), но это не единственный алгоритм, используемый в процессе генерации. Я знаю, это сбивает с толку. Часть обмена ключами рукопожатия определяет параметры для генерации ключа, но алгоритм хеширования также играет роль в генерации ключей, предоставляя псевдослучайные функции (PRF), обычно как криптографически безопасный генератор псевдослучайных чисел (CSPRNG).

Важно отметить, что выбранный механизм обмена ключами не несет исключительной ответственности за генерацию фактического ключа.

RSA

RSA названо в честь создателей его джентльменов: Ривеста, Шамира и Адлемана. Это наиболее распространенная асимметричная криптосистема. Он использует возведение в степень простых чисел и имеет широкий спектр приложений. С SSL / TLS вы обычно видите, что RSA используется в контексте обмена ключами. Опять же, отсюда берутся все эти 2048-битные (а также 3072- и 4096-битные) ключи.

Каждое рукопожатие, независимо от того, выбран ли RSA или нет, начинается с приветствия клиента и сервера, при котором происходит обмен случайными, случайными клиентскими и случайными серверами.

Принцип работы RSA довольно прост, если клиент и сервер решает использовать набор шифров, который включает обмен ключами RSA — и после клиент аутентифицировал сервер:

Клиент использует открытый ключ, отправленный сервером, для шифрования предварительного секрета и его передачи.
Сервер использует свой закрытый ключ для расшифровки предварительного секрета.
Обе стороны используют PRF, клиентский случайный, серверный случайный и предварительный секрет для получения главного секрета.
Обе стороны используют главный секрет и другие псевдослучайные функции для вычисления сеансового ключа.

Именно на последних двух этапах, 3 и 4, при смешивании мастер-секрет и получение сеансового ключа, где псевдослучайный алгоритм хеширования функции используются.

Обмен ключами

RSA был полезен уже давно, но это в конце своей жизни. TLS 1.3 покончил с обменом ключами RSA — в в дополнение ко всем прочим механизмам обмена статическими ключами — из-за известных уязвимостей.

Диффи-Хеллмана и эллиптическая кривая Диффи-Хеллмана

Названный в честь Уитфилда Диффи и Мартина Хеллмана, это протокол обмена ключами, это НЕ асимметричный протокол шифрования в том же жила как RSA хоть.Проблема, которую Диффи и Хеллман (используя работы, вдохновленные Ральф Меркл), намеревались решить, как обменять безопасный ключ через незащищенная сеть, за которой наблюдает злоумышленник.

Они придумали обмен ключами Диффи-Хеллмана, который в конечном итоге был заменен RSA, но теперь снова воспользовался этим преимуществом.

Обмен ключами Диффи-Хеллмана работает так:

После обмена случайными числами (g и p) оба клиент и сервер выбирают свой собственный предварительный секрет (a и b соответственно) и вычислим аналогичное уравнение — g ^a mod p = A , & g ^b мод p = B.
Каждое полученное значение (A и B) отправляется на другой, и обе стороны повторяют ту же операцию — B ^a mod p, & A ^b мод стр.

Каждая сторона предоставляет так называемую «долю ключа», и они каждый независимо приходит к общему ключу сеанса. Есть правило модульного возведение в степень, которое это диктует.

Если это было много математики, ключевой вывод таков: с Диффи-Хеллмана на самом деле не происходит асимметричного шифрования во время ключа. обмен, скорее, две стороны взаимно приходят к ценностям, которые могут быть использованы для получить сеансовый ключ.

Теперь давайте поговорим об эллиптической кривой Диффи-Хеллмана, которая, по сути, представляет собой просто современную итерацию Диффи-Хеллмана, подкрепленную криптографией на основе эллиптических кривых в отличие от какой-либо другой криптосистемы. По сути, в качестве основы для расчетов используются точки, нанесенные на эллиптическую кривую.

При работе с Диффи-Хеллманом следует иметь в виду следующее: в первую очередь — в нем отсутствует настоящий механизм аутентификации при эфемерном использовании. Эфемерные ключи являются временными и обычно не аутентифицируются.

Во-вторых, как мы только что упомянули, в TLS 1.3 все механизмы генерации / обмена статических ключей устарели. Это то, что в основном убило RSA, а также устраняет схемы ЦТ, которые тоже не являются эфемерными. ECDHE или Elliptic Curve Diffie-Hellman Ephemeral теперь является стандартом для обмена ключами.

Это потому, что полная прямая секретность обязательна в TLS. 1.3. Perfect Forward Secrecy защищает отдельные сеансы от расшифровки, даже в случае взлома закрытого ключа сертификата.Обмен статическим ключом схемы не могли этого поддержать. Эрго, они ушли.

ПСК

Обычно записывается как TLS-PSK, это шифр, который обеспечивает безопасная связь на основе предварительно разделенных симметричных ключей, которыми обмениваются стороны заранее. Мы не собираемся тратить много времени на PSK, так как это довольно редко за пределами строго регулируемых сетевых сред, и мы определенно не будем советуем его коммерческое использование. Он не был включен в TLS 1.3.

Цифровая подпись / аутентификация

Здесь начинается путаница — и вы можете также начинаем видеть, как эти комплекты шифров имеют несколько перестановок.Для Например, есть четыре распространенных итерации Диффи-Хеллмана:

Diffie-Hellman (DH) * не рекомендуется в TLS 1.3
Diffie-Hellman Ephemeral (DHE)
Elliptic Curve Diffie-Hellman (ECDH) * не рекомендуется в TLS 1.3
Elliptic-Curve ECDHE)

Но ни один из них не может обрабатывать аутентификацию, поэтому они должны быть в паре со схемой аутентификации — исторически это был либо DSA, RSA или ECDSA.

RSA может функционировать как ОБЕИМ механизм обмена ключами. поскольку обеспечивают аутентификацию с помощью цифровых подписей. Вы даже можете использовать Диффи-Хеллман и RSA вместе. Все эти комбинации, и мы даже не на полпути через набор шифров.

Алгоритм подписи — второй алгоритм в TLS. 1.2 набор шифров.

И еще кое-что. Иногда вы относитесь к типу SSL-сертификат на основе алгоритма его подписи.Например, когда кто-то говорит, что у них есть сертификат RSA SSL или SSL с эллиптической кривой сертификат, они ссылаются на алгоритм подписи. Это потому, что это определяется во время генерации CSR. Имейте это в виду, потому что это часть того, почему комплекты шифров TLS 1.3 не включают схему подписи.

Цифровые подписи RSA

Цифровые подписи

— один из лучших способов аутентификации другая вечеринка. Используя цифровую подпись, клиент может проверить подлинность сертификата SSL / TLS, а в случае комплектов шифров, использующих Диффи-Хеллмана, подтвердить право собственности на пару открытый / закрытый ключ.

С RSA клиент (а иногда и сервер, если клиент SSL-сертификат уже используется) проверяет подлинность сертификата. представлены проведением серии проверок. Он смотрит на цепочку сертификатов после цифровых подписей, оставленных подписывающим центром сертификации, обратно в один из корни в своем магазине доверия. Он проверяет даты действия и статус отзыва. сертификата тоже. Затем он использует связанный открытый ключ для проверки подпись закрытого ключа.

Окончательная проверка того, что сервер владеет закрытым ключом, происходит во время обмена ключами, когда клиент шифрует предварительный секрет с помощью открытого ключа, а сервер расшифровывает его с помощью закрытого ключа.

Алгоритм цифровой подписи с эллиптической кривой

Как мы упоминали ранее, обмен ключами Диффи-Хеллмана не имеет механизм аутентификации в эфемерном режиме. Это означает, что его нужно спарить с механизмом аутентификации. Как мы только что рассмотрели, RSA — это вариант, другой популярный метод называется алгоритмом цифровой подписи с эллиптической кривой, который теперь заменил DSA.Принцип работы ECDSA очень похож на RSA в с самого начала, но с одним существенным отличием.

В то время как оба метода проверяют сертификат одинаково, когда используется Диффи Хеллман, фактическая часть обмена ключами не может использоваться для подтверждения владения закрытым ключом. Вместо этого сервер принимает два случайных параметра (клиент и сервер), а также выбранные параметры Диффи-Хеллмана (свой предварительный секрет) и шифрует их все своим закрытым ключом. Это фактически его цифровая подпись.Клиент будет использовать открытый ключ для проверки подписи и, следовательно, владения закрытым ключом.

А как насчет DSA?

Алгоритм цифровой подписи, который уже был Выход из положения был полностью удален из TLS 1.3. Пока идут споры О том, насколько все еще безопасен DSA, на самом деле мешал размер ключа. DSA использует ключи, сопоставимые по размеру с RSA: 1024-, 2048-, 3096-битные ключи, которые — как мы рассмотрели — они дороги в вычислениях.Для сравнения: эллиптический Аналог на основе кривых, ECDSA, использует ключи, которые обычно являются 224- или 256-битными.

Алгоритм цифровой подписи по кривой Эдвардса

EdDSA — это схема цифровой подписи, которая устраняет необходимость для генерации псевдослучайных чисел из уравнения. Мы коснулись PRF раньше они обычно генерировались с помощью специальной хеш-функции, но они не всегда случайны. Фактически, секретные ценности, которые производимые, которые иногда называются одноразовыми номерами, могут привести к утечке закрытых ключей, если ГСЧ когда-либо нарушается / становится предсказуемым.

Вместо этого EdDSA выбирает одноразовый номер на основе хэша частного ключ и сообщение, что означает, что после создания закрытого ключа нет больше нужны генераторы случайных чисел. EdDSA — один из трех цифровых схемы подписи, одобренные для использования в TLS 1.3.

Шифры массового шифрования

Хотя ни одна из двух предыдущих категорий не включена в Следующие два набора шифров TLS 1.3 — объемные шифры и алгоритмы хеширования — являются включены.

Ваш массовый шифр — это то, что будет использоваться для фактического симметричного шифрование, которое будет происходить во время HTTPS-соединения. Традиционно есть два вида массового шифра:

Блочный шифр, как следует из названия, шифрует данные в блоки заранее определенного размера. Однако, в отличие от асимметричного шифрования, это не обязательно связано с размером ключа. 256-битный ключ не всегда создает 256-битные блоки зашифрованного текста. Например, AES производит 128-битные блоки, независимо от размера ключа.

В любом случае, после того, как данные зашифрованы в блоки, они получателю расшифровать блоки и собрать их вместе так, чтобы информация внятная.

Итак, что происходит, если данные шифруются не совсем точно. правильный размер? Это очень часто. Это означает, что данные необходимо сегментировать. на куски подходящего размера, а любое незаполненное пространство необходимо заполнить выбрасывать данные, чтобы они подходили, которые могут раскрыть векторы атак и просто, в общем, неэффективно.

Другой тип шифра — это поточный шифр, который шифрует данные в длинных псевдослучайных потоках. Когда вы видите записанный шифр, объемный шифр — третий из перечисленных алгоритмов, который обычно включает модификатор это диктует, как следует запускать массовый шифр.

Например, в приведенном выше примере мы используем AES или Advanced Стандарт шифрования, работающий в режиме GCM или счетчика Галуа, с использованием 256-битных ключей. По замыслу AES является блочным шифром.Но его можно запустить как потоковый шифр в режим счетчика.

Мы займемся этим через секунду, но в TLS 1.3 массовый шифр теперь ожидается AEAD или аутентифицированное шифрование со связанными данными алгоритм, что означает, что он может не только зашифровать сообщение, но и аутентифицировать Это. Первоначально эти две функции выполнялись отдельно, но проблемы с ошибками, и просто трудности с его правильной реализацией в целом, мотивированы IETF, чтобы объединить две функции в TLS 1.3.

Мы перейдем к аутентификационной части AEAD, когда мы обсудим алгоритмы хеширования в следующем разделе.

AES

Advanced Encryption Standard, он же Rijndael, одобрен NIST. шифр шифрования с размером блока 128 бит и симметричные ключи с длиной 128, 192 или 256 бит. На самом деле это первый и единственный общедоступный шифр, одобренный АНБ для шифрования «Совершенно секретно» данные. AES был преемником стандарта шифрования данных, который был первым опубликовано в 1977 году.

Интересно работает

AES. Работает с массивами 4 x 4 укусов называется «состояние». Как мы только что сказали, AES, естественно, является блочным шифром и его блоки составляют 128 бит. Размер ключа на самом деле относится к количеству «раундов». что открытый текст будет передаваться в зашифрованном виде.

128-битный ключ = 10 раундов
192-битный ключ = 12 раундов
256-битный ключ = 14 раундов

Каждый раунд открытого текста включает замены из таблица поиска, циклическое смещение строк и линейная операция смешивания, которая объединяет четыре байта в каждом столбце.Для расшифровки набор обратных раундов используется.

AES — это наиболее часто поддерживаемый массовый шифр в TLS 1.2. И комплекты шифров TLS 1.3. При работе в режиме счетчика Галуа и CCM (счетчик с CBC_MAC), AES функционирует как потоковый шифр с аутентификацией сообщения возможности (AEAD).

CBC просто означает, что AES работает в режиме блочного шифрования. я понимаете, что это может сбивать с толку, потому что мы только что обсудили, как блочные шифры не поддерживается TLS 1.3. В CCM режим счетчика означает, что вы используете шифр в потоковом режиме, часть CBC_MAC предназначена для аутентификации сообщения часть AEAD.

CHACHA20_POLY1305

CHACHA20_POLY1305 — относительно новый вариант для SSL / TLS, был завершен в 2015 году. Это поточный шифр, который работает вместе с POLY1305, который работает как аутентификатор для выполнения AEAD. ЧАЧА — это много быстрее, чем AES в реализациях только программного обеспечения. Это примерно в 3 раза быстрее на платформы, на которых нет специализированного оборудования AES.И ЧАЧА, и ПОЛИ1305 считаются простыми в реализации и обеспечивают отличную производительность.

CHACHA20_POLY1305 использует 256-битный ключ и 96-битный одноразовый номер. В процессе шифрования / аутентификации используется одноразовый ключ POLY1305. генерируется из 256-битного ключа и одноразового номера. CHACHA20 затем выполняет свое шифрование с использованием того же ключа и одноразового номера. Наконец, POLY1305 аутентифицирует сообщение. На выходе получается фрагмент зашифрованного текста той же длины, что и открытый текст. который был введен, а также 128-битный тег MAC.

POLY1305 также может использоваться как собственный алгоритм хеширования.

Другие массовые шифры

Вот несколько опрометчивых шифров SSL из прошлых рукопожатий.

DES / тройной DES

Стандарт шифрования данных, первоначально называвшийся Люцифер, был первый общедоступный гражданский блочный шифр. Версия DES, которую мы знаем сегодня это доработанная версия оригинала. DES более примечателен тем, что вдохновлен, чем то, что он на самом деле делает.Шифрование по сегодняшним стандартам довольно заурядный с размером блока 64 бита и размером ключа 56 бит. Те размеры ключей уже считались вызывающими беспокойство еще в 1970-х годах, но к 1998 году EFF продемонстрировал машину специального назначения, предназначенную только для того, чтобы сломать DES и это был последний гвоздь в его гроб.

Triple DES — это расширение DES, обеспечивающее тройное шифрование каждого блок с двумя или тремя разными ключами. Этого все еще достаточно для хотя многие регулирующие органы.NIST, например, разрешает только Triple DES в его трехклавишная версия. И даже при этом, 3DES предоставляет только 112 бит безопасность.

RC4

Код Рона 4 или Rivest Cipher 4 — он известен под обоими названиями — изобретенный Роном Ривестом из RSA, впечатляет своей скоростью и простотой. это однако уже не впечатляет своей безопасностью, которая, как было показано, желая найти множество уязвимостей. Первоначально коммерческая тайна, это было просочилась в сентябре 1994 года в список рассылки, а затем была взломана в течение нескольких дней.

Хотя изначально он рекомендовался как обходной путь для Атаки BEAST еще в 2011 году, к 2013 году новые атаки продемонстрировали, что это возможно. для взлома TLS с шифрованием RC4. Улучшения атак в 2015 году сделали его еще более значительным. жизнеспособным, и в течение нескольких месяцев RC4 был прекращен. RC4 имеет двух преемников в RC5 & RC6, ни то, ни другое неприемлемо для TLS 1.3.

Камелия

Блочный шифр с симметричным ключом с аналогичными возможностями и размеры ключей для AES.Он был разработан в Японии компаниями NTT и Mitsubishi и является одобрено ISO / IEC, ЕС и японским проектом CRYPTREC. На данный момент в его полная реализация Камелия не сломалась. Пока были Камелии Комплекты шифров TLS 1.2, он не включен в TLS 1.3.

ARIA

Другой блочный шифр, похожий на AES, ARIA был разработан группой исследователей из Южной Кореи в 2003 году. Как и AES, его ключевой Размеры относятся к количеству раундов, которые происходят во время шифрования.Нравиться Камелия, она также не входит в TLS 1.3.

Целостность данных / Аутентификация

Не путать с аутентификацией сервера / клиента, алгоритм хеширования, который традиционно ассоциировался с SSL / TLS, исторически обрабатывает аутентификацию сообщений и псевдослучайные функции. Как мы обсудим в на мгновение, это было переосмыслено для TLS 1.3 с ключом на основе HKMF или HMAC деривационная функция.

Начнем с TLS 1.2 и хеш-код аутентификации сообщений, который традиционно фигурирует как четвертый алгоритм в наборе шифров.

Код аутентификации сообщений на основе хэша (HMAC)

Это тип аутентификации сообщений, который использует криптографические хэши как для аутентификации сообщения, так и для обеспечения целостности данных. Исторически это делалось двумя основными семействами шифров: MD5 и SHA.

MD5 сейчас полностью устарел. Когда-то это был очень популярный хеш функция, производящая 128-битные дайджесты или хеш-значения.Когда вы что-то хешируете, вы сопоставляете данные любой длины с выходными данными фиксированной длины. Для того, чтобы Чтобы алгоритм хеширования считался безопасным, он должен быть устойчивым к коллизиям. Конфликт возникает, когда два разных входа создают одно и то же значение. Этот делает алгоритм бесполезным. MD5 оказался поразительно небезопасным примерно в 2012 году. Столкновения можно легко обнаружить на домашнем компьютере в пределах секунд.

SHA заменил MD5 и с тех пор исправно работает.В 2016 вся индустрия SSL / TLS отказалась от SHA-1 как стандартного хеширования алгоритм и обновлен до SHA-2. Google удалось создать коллизию SHA-1 позже в том же году. SHA-2 по-прежнему считается безопасным алгоритмом хеширования. включен в TLS 1.3. Просто он играет другую роль.

AEAD против HMAC

В традиционном HMAC сообщение хешируется вместе с секретный ключ или код аутентификации сообщения, мы подробно рассмотрим HMAC в В будущем важный вывод заключается в том, что хеш-функция в основном служит контрольная сумма, поступающая вместе с зашифрованным текстом и указывающая, был подделан.Получатель будет использовать тот же ключ для запуска той же хеш-функции. и сравните значения.

Исторически существовало три разных подхода к это:

Encrypt-then-MAC
MAC-then-Encrypt
MAC-and-Encrypt

SSL / TLS, возможно, по глупости, всегда использовал Mac-then-Encrypt подход к аутентификации сообщений. Или, точнее, MAC-затем-Pad-then-Encrypt модель. Это было проблематично, потому что оно открывает себя для дополнения оракула. атаки.Это также несколько неэффективно, потому что клиент или сервер должны использовать ресурсы, чтобы сначала расшифровать сообщение, что будет расточительно, если его нельзя аутентифицирован. Злоумышленники могут отправить кучу неаутентифицированных запросов. к серверу и перегрузить его, заставив расшифровать кучу мусора.

TLS 1.3 идет в другом направлении с AEAD. Это MAC и Шифрует одновременно, закрывая окно для атак заполнения и сохраняя клиентов время и ресурсы серверов, упростив им удаление сообщения, не прошедшие проверку подлинности, без необходимости их расшифровывать.

Функции деривации ключей на основе HMAC

При использовании TLS 1.3 хеширование претерпело небольшие изменения. Мы только что говорили о массовых шифрах AEAD, аутентификации сообщений, которая изначально обрабатываться алгоритмом HMAC, теперь выгружен на массовый шифр.

Вместо этого сосредоточьтесь на последних трех словах в HKDF: Key Derivation Функция.

Давайте вернемся к разговору об обмене ключами, который у нас был ранее и псевдослучайные функции, которые использовались для смешивания ключей во время RSA key обменять и вычислить их во время Диффи-Хеллмана.HKDF предлагает гораздо больше безопасный, гораздо более случайный метод получения этих ключей.

Есть два основных этапа: извлечение и расширение.

Часть извлечения принимает ключевую входную информацию (ключевые доли, случайности, предварительные секреты) и, необязательно, соль, а затем извлекает достаточно безопасный псевдослучайный ключ.

Этап расширения — это механизм, при котором алгоритм расширяется. ключ к требуемому размеру без ущерба для его вычислительной сложности.RFC 5869, в котором указывается HKDF, предельно ясно дает понять, что две ступени должны нельзя объединять. Как мы уже много раз обсуждали, генераторы случайных чисел которые используются для псевдослучайных функций, гораздо более подвержены ошибкам, чем многие хотел бы признать. Особенно, если одни и те же семена повторно используются многими разными реализации. Следовательно, TLS 1.3 сосредоточен на повышении безопасности своих псевдослучайные функции, чтобы избежать некоторых обнаруженных уязвимостей недавно.

Очевидно, это неполный список, есть десятки других шифров. Но это должно по крайней мере дать вам больше контекста, когда вы увидите списки наборов шифров, которые у нас есть в следующий раздел.

Список шифров TLS 1.2

Вот список РЕКОМЕНДУЕМЫХ комплектов шифров для использовать с TLS 1.2. Мы не собираемся публиковать все 37 шифров, доступный. Вот те, которые рекомендуются:

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA9256

Опять же, вы должны использовать эфемерный метод Диффи-Хеллмана.Нет только это обязательно в TLS 1.3, это также способствует полной прямой секретности, который защищает от расшифровки отдельных сеансов даже в закрытый ключ сервера когда-либо был скомпрометирован.

Чем отличается TLS 1.3?

Мы постарались указать, когда что-то изменилось во время каждый раздел, но мы дадим более полный список здесь. Давайте начнем с создания самого набора шифров, а затем вернемся к способы обновления самих алгоритмов для TLS 1.3 шифр апартаменты.

Короткие наборы шифров

Самое главное, что вы заметите о наборах шифров TLS 1.3 в том, что они намного короче своих аналогов TLS 1.2. Это из-за две основные вещи:

Тип сертификата больше не указан (независимо от того, его RSA или ECDSA)
Механизм обмена ключами не указан (всегда DHE или ECDHE)

Это означает, что количество переговоров, которые должны быть при определении параметров шифрования уменьшено с четырех до двух.

Как видите, комплекты шифров TLS 1.3 включают только AEAD объемный шифр и HKDF.

Клиент начинает рукопожатие, зная, что Схема Diffie-Hellman Ephemeral будет использоваться для процесса обмена ключами. Этот означает, что он может отправить свою часть общего ключа во время Client Hello.

Это, в свою очередь, может сократить рукопожатие TLS 1.3 до в один конец, когда сервер отвечает со всей необходимой информацией для две стороны, чтобы получить сеансовый ключ и начать безопасную связь во время сообщение Server Hello.

Устарение старых шифров / функциональность

Но изменения выходят далеко за рамки длины шифра. комплекты и сокращенное количество переговоров во время рукопожатия. Вещи есть также стал намного безопаснее.

TLS 1.3 удалено:

Сжатие SSL
Функции обмена статическими ключами
Блочные шифры (CBC)
Шифры без AEAD (MAC-then-Encrypt)
Повторное согласование параметров шифрования

Также прекращена поддержка старых уязвимых шифров SSL нравится:

RC4
DSA
MD5
SHA1
Слабые эллиптические кривые
Обмен ключами RSA
Статический алгоритм Диффи-Хеллмана (DH, ECDH)

Поскольку структура 1.3 набора шифров отличается от комплекты шифров TLS 1.3 его предшественников не будут взаимозаменяемы со старыми Версии TLS. По сути, это означает, что вам понадобится два разных реализации, если вы планируете продолжать поддерживать TLS 1.2. И нет ничего неправильно продолжать поддерживать TLS 1.2.

Пока больше компаний в сообществе хостинга не сделают это указывает на переход на TLS 1.3, отключать TLS 1.2 было бы глупо.

Вы уже должны были отключить TLS 1.1, TLS 1.0, SSL 3.0 и SSL 2.0 хотя. Крайний срок PCI DSS для прекращения поддержки SSL 3.0 был последним. Лето. Крайний срок для TLS 1.0 и TLS 1.1 — январь 2020 г.

Список шифров TLS 1.3

Вот пять поддерживаемых наборов шифров TLS 1.3. OpenSSL прямо сейчас.

TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
TLS_AES_128_CCM_8_SHA256 900_10
3 продолжает набирать обороты, но сокращение количества возможных вариантов было также одно из самых важных соображений, когда IETF завершала работу над TLS 1.3, поэтому если будут добавлены дополнительные комплекты шифров, не ожидайте взрывного роста комбинации, которые мы видели с TLS 1.2.
What We Hashed Out (Для нефтесборщиков)
Для тех, кто любит снимать листы, вот основные выводы сегодняшний разговор:
- Шифры — это алгоритмы, наборы инструкций для выполнения криптографических функций, таких как шифрование, дешифрование, хеширование и подписание.Они могут быть симметричными или асимметричными, в зависимости от типа поддерживаемого шифрования.
- Cipher Suite — это комбинация шифров, используемая для согласования настроек безопасности во время установления связи SSL / TLS. Во время рукопожатия клиент и сервер обмениваются приоритетным списком наборов шифров и выбирают набор, который лучше всего поддерживается обоими.
- TLS 1.3 структура наборов шифров изменилась: количество шифров сократилось с четырех до двух, а количество согласований сократилось вдвое.
Как всегда, оставляйте комментарии или вопросы ниже…
Шифр
RC4 включен | docs.digicert.com
Шифр RC4 включен | docs.digicert.com Похоже, в вашем браузере отключен JavaScript. Некоторые функции сайта могут не работать, если вы не включите JavaScript.
«Этот сервер использует алгоритм шифрования RC4, который не является безопасным.Отключите набор шифров RC4 и обновите веб-сервер или устройство для поддержки алгоритма шифрования Advanced Encryption Standard (AES) ».
RC4 — это потоковый шифр, разработанный Роном Ривестом в 1987 году. Атака BEAST была обнаружена в 2011 году. Решением для смягчения этой атаки является включение TLS 1.1 и TLS 1.2 на серверах и в браузерах.
Однако, если вам не удалось включить TLS 1.1 и TLS 1.2, предоставляется обходной путь: настройте SSL для приоритета шифров RC4 над шифрованием на основе блоков.Этот обходной путь не устраняет подверженность атаке BEAST, но «ограничивает» подверженность атаке BEAST.
Поскольку RC4 прост в реализации и из-за обходного пути атаки BEAST, использование потокового шифра RC4 широко распространено.
Группа исследователей (Надхем АльФардан, Дэн Бернштейн, Кенни Патерсон, Бертрам Поеттеринг и Джейкоб Шульдт) обнаружила новую атаку на TLS, при которой злоумышленник использует браузер для создания множества подключений, наблюдая и записывая трафик этих подключений.
- Включите TLS 1.2 или TLS 1.3 на серверах, поддерживающих эти протоколы, и переключитесь на наборы шифров AEAD (AES-GCM).
- Включите TLS 1.2 или TLS 1.1 в браузерах, поддерживающих эти протоколы.
Отключите все наборы шифров на основе RC4 в конфигурации SSL вашего сервера. Используйте этот обходной путь, только если вы не можете включить TLS 1.2 или TLS 1.3 на серверах и в браузерах.
Этот сайт использует файлы cookie и другие технологии отслеживания, чтобы помочь с навигацией и вашей возможностью оставлять отзывы, анализировать использование вами наших продуктов и услуг, помогать в наших рекламных и маркетинговых усилиях и предоставлять контент от третьих лиц. Прочтите нашу Политику использования файлов cookie и Политику конфиденциальности, чтобы узнать больше.
×
Укрепление шифров SSL вашего веб-сервера
Существует множество многословных статей о настройке шифров TLS вашего веб-сервера. Это не один из них. Вместо этого я расскажу о конфигурации, которая получила пятерку в тесте Qualys SSL Server Test в 2020 году.
Отказ от ответственности: Я постоянно обновляю этот пост, чтобы представить то, что я считаю лучшей практикой на данный момент — уже существует слишком много опасно устаревших статей о развертывании TLS.
Таким образом, было бы неплохо время от времени возвращаться, потому что криптографический ландшафт в настоящий момент меняется довольно быстро. Вы можете подписаться на меня в Twitter, чтобы получать уведомления о важных изменениях.
Если вы обнаружите какие-либо фактические проблемы, свяжитесь со мной, и я исправлю их как можно скорее.
Если вы хотите сразу перейти к фрагментам конфигурации, вот якоря:
Обоснование
Лот изменился с тех пор, как я написал эту статью в 2013 году.Как ни странно, все становилось лучше и проще.
Чтобы запустить безопасный веб-сервер в 2020 году, все, что вам нужно сделать, это:
1. Включить TLS 1.2 и TLS 1.3 только .
2. Включите несколько современных шифров (в основном AES в режиме GCM для устройств с аппаратным ускорением и ChaCha20 для устройств без ^).
3. Поскольку все шифры достаточно безопасны, позвольте клиенту выбирать.
Вот и все на стороне веб-сервера. Со стороны приложения все стало сложнее, но это выходит за рамки данной статьи.
В настоящее время гораздо сложнее ослабить вашу безопасность в современных дистрибутивах, поэтому в конце есть раздел по этой теме.
Программное обеспечение и его версии
На стороне сервера вам следует обновить OpenSSL до версии 1.0.1c +, чтобы вы могли как можно скорее поддерживать TLS 1.2, GCM и ECDHE. К счастью, это уже произошло с Ubuntu 12.04 LTS. Для TLS 1.3 вам потребуется OpenSSL 1.1.1, который вы можете использовать в Ubuntu 18.04 LTS.
На стороне клиента поставщики браузеров наверстали упущенное много лет назад. На данный момент Chrome 30, Internet Explorer 11 в Windows 8, Safari 7 в OS X 10.9 и Firefox 26 все поддерживают TLS 1.2. Все современные браузеры также поддерживают TLS 1.3.
TLS 1.3
TLS 1.3 приносит несколько хороших улучшений в отношении производительности и безопасности, но несколько усложняет и требует специальной настройки на большинстве серверов.
Для ясности: если вы пока можете поддерживать только TLS 1.2, это прекрасно.
RC4
Раньше был пункт, предлагающий использовать RC4, чтобы избежать BEAST и Lucky Thirteen . По иронии судьбы, это было первоначальной причиной этой статьи: когда вышел Lucky Thirteen , на улицах было сказано: «используйте RC4 для смягчения последствий», и все спрашивали «как !?».
К сожалению, вскоре после этого было обнаружено, что RC4 сломан, что делает развертывание TLS с ним в настоящее время опасным.В то время как BEAST et al. требует активной атаки на браузер жертвы, пассивные атаки на шифротекст RC4 становятся все сильнее с каждым днем. Другими словами: вполне возможно, что в конечном итоге станет возможным расшифровать перехваченный трафик RC4, а АНБ, вероятно, уже это делает. Microsoft даже выпустила рекомендацию по безопасности, в которой рекомендуется отключить RC4. С 2015 года есть еще RFC.
Строка
```
  ECDH + AESGCM: ECDH + CHACHA20: ECDH + AES256: ECDH + AES128:! ANULL:! SHA1:! AESCCM
  
```
Вы можете протестировать его против вашей установки OpenSSL , используя
```
  openssl ciphers -v 'ECDH + AESGCM: ECDH + CHACHA20: ECDH + AES256: ECDH + AES128:! ANULL:! SHA1:! AESCCM'
  
```
, чтобы узнать, что поддерживается.
Две заметки:
- Строка запрашивает ECDH , который технически является статической версией ECDHE без идеальной прямой секретности. Это действительно плохо. Причина в том, что 1. Ни один сервер никогда их не поддерживал. 1. До OpenSSL 1.0.2 вы не могли запрашивать ECDHE , а именно ^{. Вы можете попробовать это с Docker в ubuntu: trusty : вы получите пустой список ^.}
  Я предполагаю, что у большинства из вас, дорогие читатели, есть последняя версия OpenSSL , однако, если оставить ее как есть, это не повлияет на безопасность и будет более совместимой / менее вероятно, что вызовет у меня запутанные вопросы в моем почтовом ящике.
- Qualys будет жаловаться на слабость двух шифров ^{, но они платят за сохранение Java 8, Internet Explorer 11 и более старых Safaris .}
Строка разрешает AES-256, но делает это в основном из соображений ответственности, потому что клиенты могут настаивать на этом по ложным причинам.
Однако шифровальщик сказал:
AES-128 на самом деле не хуже, чем AES-что-либо еще, по крайней мере, в том смысле, в котором вы заботитесь о
Очень упрощенная суть заключается в том, что единственной причиной наличия 256-битных ключей являются квантовые компьютеры, которые с меньшей вероятностью станут проблемой, чем проблемы с планированием ключей в AES-256.Но позвольте мне подчеркнуть, что и в порядке. Просто добавление шифров AES-256 на практике не улучшает вашу безопасность.
Итак, если вам подходит AES-128, не стесняйтесь добавлять «:! AES256 » в конец строки шифрования, и многие браузеры предпочтут AES-128.
Apache
```
  SSLProtocol -все + TLSv1.2 + TLSv1.3

SSLHonorCipherOrder Off
SSLCipherSuite ECDH + AESGCM: ECDH + CHACHA20: ECDH + AES256: ECDH + AES128:! ANULL:! SHA1:! AESCCM
SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384: TLS_AES_128_GCM_SHA256: TLS_CHACHA20_POLY1305_SHA256
  
```
nginx
nginx добавил поддержку TLS 1.2 в 1.0.12 (все поддерживаемые дистрибутивы LTS) и TLS 1.3 в 1.13.0 (Ubuntu 18.04 LTS и новее).
```
  ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers выключен;
ssl_ciphers ECDH + AESGCM: ECDH + CHACHA20: ECDH + AES256: ECDH + AES128:! aNULL:! SHA1:! AESCCM;
  
```
Начиная с версии nginx 1.19.4, вы также можете настроить TLS 1.3 цифры:
```
  ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384: TLS_AES_128_GCM_SHA256: TLS_CHACHA20_POLY1305_SHA256;
  
```
HAProxy
Самый старый поддерживаемый в настоящее время HAProxy — это версия 1.8, которая подходит как для TLS 1.2, так и для TLS 1.3.
```
  глобальный
  ssl-default-bind-options ssl-min-ver TLSv1.2 предпочитают-клиент-шифры
  ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256: TLS_AES_256_GCM_SHA384: TLS_CHACHA20_POLY1305_SHA256
  ssl-default-bind-ciphers ECDH + AESGCM: ECDH + CHACHA20: ECDH + AES256: ECDH + AES128:! aNULL:! SHA1:! AESCCM

  ssl-default-server-options ssl-min-ver TLSv1.2
  ssl-default-server-ciphersuites TLS_AES_128_GCM_SHA256: TLS_AES_256_GCM_SHA384: TLS_CHACHA20_POLY1305_SHA256
  ssl-default-server-ciphers ECDH + AESGCM: ECDH + CHACHA20: ECDH + AES256: ECDH + AES128:! aNULL:! SHA1:! AESCCM

  tune.ssl.default-dh-param 2048
  
```
Как вы могли заметить по названиям наборов шифров, параметры ssl-default-XXX-ciphersuites предназначены для TLS 1.3, а ssl-default-XXX-ciphers — для TLS 1.2 (и старше).
предпочитают шифры клиента — это , всегда подразумевается с OpenSSL 1.1.1, а клиент предпочитает ChaCha20-Poly1305 (это, вероятно, телефон с медленным AES).
Возобновление нулевого времени приема-передачи в TLS 1.3
TLS 1.3 также представил оптимизацию, называемую возобновлением нулевого времени приема-передачи (0-RTT). Это ускоряет рукопожатие TLS для возвращающихся клиентов, но влечет за собой определенные риски атак повторного воспроизведения. Я лично не разрешаю это извне, но если бэкэнды готовы к TLS 1.3, я использую параметры сервера force-tls13 allow-0rtt .
Бонусных баллов
- Если у вас OpenSSL 1.1.0 или более поздней версии также стоит добавить : @ SECLEVEL = 2 в строку шифрования в качестве защиты от слабых ключей (другие ограничения уровней безопасности уже обрабатываются строкой шифрования).
- В апреле 2014 года Qualys обновили свои требования, и комплекты шифров здесь по-прежнему являются «A» -материалом. Если вы хотите получить оценку «A +», вам также нужно будет настроить заголовки HTTP. Это выходит далеко за рамки данной статьи, для начала ознакомьтесь с securityheaders.io.
Устаревшие клиенты с современными дистрибутивами
В отличие от 2013, вы должны приложить усилия, чтобы сделать ваш сервер менее безопасным . Это может быть необходимо, если конечная точка обслуживает не браузеры, а (потенциально устаревшие) устройства Интернета вещей, маршрутизаторы и другие встроенные системы. Это также вызывает головную боль для проектов с открытым исходным кодом, которым необходимо поддерживать обратную совместимость.
Итак, если вам нужно предоставить TLS 1.0 в современном Ubuntu 20.04 LTS, вам придется либо повозиться с / etc / ssl / openssl.cnf или создайте новый, создав копию, внесите следующие изменения и передайте имя файла вашей новой конфигурации на сервер, используя переменную среды OPENSSL_CONF ^.
В любом случае вам нужно добавить openssl_conf = default_conf в верхнюю часть файла конфигурации, а затем добавить
```
  [default_conf]

ssl_conf = ssl_sect

[ssl_sect]

system_default = ssl_default_sect

[ssl_default_sect]
MinProtocol = Нет
  
```
до конца ^.
После этого вы можете использовать мою старую строку шифрования, которая все еще достаточно безопасна:
```
  ECDH + AESGCM: ECDH + CHACHA20: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS:! AESCCM;
  
```
Убедитесь, что перезапустили сервер, на который вы пытаетесь воздействовать.
К сожалению, сервер не может сказать вам, работает ли он. Например, я часами пытался понять, почему ssl-min-ver TLSv1.0 ничего не делал на моем HAProxy 2.2, в то время как мои журналы переполнялись с ошибкой установления связи SSL .
Вы можете проверить, что все работает должным образом, установив клиентское соединение TLS 1.0 с вашим хостом:
```
  openssl s_client -tls1 -connect your-host: 443
  
```
Если это сработало, вы увидите информацию о подключении. В противном случае вы получите сообщение об ошибке.
Наконец
Не забудьте потом протестировать свой сервер! По-прежнему распространенной проблемой являются слабые параметры DH.Пожалуйста, обратитесь к этому руководству, чтобы узнать, как это исправить, если вам все еще нужно использовать DHE. К сожалению, за исключением HAProxy, это немного сложнее, чем просто установка параметра.
Также проверьте заголовки HTTP . Лот здесь изменился за последние 7 лет, и вы не получите A + на Qualys , если не приложите хотя бы или усилие.
Если вы хотите узнать больше о развертывании SSL / TLS, превосходная книга Bulletproof SSL и TLS только что (ноябрь 2020 г.) опубликовали предварительную версию своего второго издания, и я не могу рекомендовать его достаточно (это не партнерская ссылка).
Для исследования поведения SSL / TLS вашего браузера , Qualys также имеет страницу для этого.
История
Я обновляю это руководство с 2013 года на протяжении очень бурного развития современного TLS (как показывает следующая история). Было бы здорово, если бы вы подумали о небольшом знаке признательности — аккаунт не требуется!
- 2021-02-11 : Добавлены детали конфигурации TLS 1.3 для nginx 1.19.4 и новее.
- 21.11.2020 : Переписан и обновлен для TLS 1.3.
- ‌2020-03-23 : Добавлено, что вам нужно использовать лучший шифр на странице, чтобы получить A. Я сделаю больше обновлений, когда найду время.
- ‌2019-06-23 : отключено AESCCM , что безопасно, но редко и медленно.
- 04.10.2018 : Небольшое исправление для HAProxy Конфигурация следующих шагов: Prefer-client-ciphers не требуется и не допускается в ssl-default-server-options .
- 09.08.2018 : Добавлены следующие шаги для отказа от RSA и перехода только на ECDHE. Добавлен ChaCha20 в строку по умолчанию для случая, когда клиент поддерживает ChaCha20, но не поддерживает AES-GCM (хотя я ничего не знаю).
- 12.06.2017 : Добавлен размер параметра DHE в HAProxy.
- 24.08.2016 : Удален 3DES из-за SWEET32 . Это исключает поддержку IE 8 в Windows XP, что не должно вызывать беспокойства в 2016 году.
- 2015-05-20 : Новая атака weakdh / Logjam не повлияет на вас, если вы следовали этим инструкциям.Тем не менее, возможно, стоит создать свои собственные группы DH с минимум 2048 битами, как описано в этом руководстве.
- 16.01.2015 : Добавил примечание по ECDSA, потому что, похоже, возникла некоторая путаница.
- 25.11.2014 : Добавлен HAProxy , любезно предоставлен Сандером Кляйном.
- 24.10.2014 : Обновлена часть сжатия TLS для Red Hat / CentOS. TL; DR: теперь это безопасно по умолчанию.
- 21.10.2014 : Уточнено, что Internet Explorer 8 на Windows XP отлично работает только с TLSv1.Первоначальное неправильное утверждение проистекает из того факта, что я дважды проверил с помощью SauceLabs, и оказалось, что они используют не Windows XP, когда вы об этом просите, а Windows Server 2003 R2. С тех пор я повторно протестировал на реальных Windows XP рабочих станциях с Internet Explorer 8, и он работает нормально.
- 15.10.2014 : SSLv3 отключен из-за POODLE .
- 11.04.2014 : Добавлено примечание о CentOS / RHEL 6 и nginx + ECDHE.
- 17.01.2014 : RSA + AES был разделен на RSA + AESGCM: RSA + AES . Это очень незначительное обновление, которое имеет значение только в том случае, если у вас есть TLS 1.2, но нет ни ECDHE, ни DHE (что довольно редко). Он гарантирует, что RSA-AES-128-GCM предпочтительнее RSA-AES-256-CBC в этих случаях. Поскольку оба являются лишь запасными вариантами и вам следует использовать шифры PFS, это всего лишь мелочи.
Источники: Первоначальная версия и большое обновление этой статьи в ноябре 2020 года были любезно вычитаны Кристианом Хеймсом.Старая строка шифра была основана на строке Зуко Уилкокса-О’Хирна, который, в отличие от меня, является настоящим криптографом. Ошибки все еще мои.
Протоколы и шифры шифрования — Приятные решения
Узнайте, как Pleasant Password Server улучшит KeePass для бизнеса
Один из лучших приемов для Pleasant Password Server — отключить методы шифрования SSL / TLS, которые оказались небезопасными.
Pleasant Password Server устанавливает наилучшее возможное соединение между вашим сервером и клиентом, чтобы общаться с использованием наиболее безопасного протокола и шифрования, доступных на вашем браузере / машине / устройстве.Однако важно убедиться, что самые лучшие и самые безопасные линии связи доступны, а небезопасные — нет.
Наилучшим образом достигается:
1. Keep Machine, ОС и браузеры регулярно обновляются: помогает автоматически идти в ногу с постоянно меняющимися улучшениями алгоритмов безопасности / протоколов, поскольку они часто пересматриваются и обновляются
2. Отключить небезопасные протоколы: гарантировать, что незащищенные клиенты не будут связываться с нами через уязвимые протоколы / алгоритмы
3. Поддерживайте актуальность сервера паролей: Обеспечьте применение последних исправлений, исправлений и конфигураций безопасности
4. Используйте сертификаты безопасности: поможет гарантировать, что соединение использует наилучшую возможную стойкость шифрования
Тематические разделы:
Самые безопасные версии SSL / TLS
- TLS 1.3 быстрее, безопаснее , по умолчанию в браузерах
- TLS 1.2 давно является стандартом
- TLS 1.1 достиг конца срока службы в 2018 году
- TLS 1.0 протоколы небезопасны
- SSL 1.0, 2.0, 3.0; Все PCT 1.0 устарели и не должны использоваться
Также:
- QUIC (в HTTP / 3) находится в черновом формате: предназначен для замены TLS
Проверьте шифрование
Вы можете проверить соединение с вашим браузером, мобильным устройством или внешним веб-сайтом и увидеть используемые протоколы и шифры:
Для внутреннего сервера: см. Следующие разделы (ниже).
Вы также можете увидеть конкретные согласованные протоколы подключения для текущего веб-сайта, который вы просматриваете:
- Chrome: Тип F12 -> Щелкните вкладку Безопасность -> Просмотр сведений о подключении
- FireFox: Щелкните значок замка рядом с URL-адресом -> щелкните Показать сведения о подключении -> Просмотреть технические сведения
Используйте самое надежное шифрование
Сервер паролей согласовывает самое надежное шифрование, поддерживаемое как сервером, так и клиентом.Внесение изменений в настройки реестра включает определенные версии TLS на компьютере, например TLS 1.3 или TLS 1.2:
В то же время вы не хотите оставлять старые устаревшие протоколы шифрования или шифры включенными. Продолжайте читать ниже.
Как отключить небезопасные серверные шифры
Если вы заметили, что они все еще доступны, можно отключить небезопасные протоколы, например:
Во-первых, постоянное обновление операционной системы машины помогает поддерживать правильные протоколы шифрования для ваших подключений.
Вот несколько методов защиты для отключения серверных протоколов, вплоть до конкретных шифров, если хотите. Самый простой способ — это хороший инструмент IISCrypto (только для компьютеров с Windows Server).

По параметрам реестра компьютера
Сервер Windows
- Даже в Windows Server 2012 R2 некоторые старые протоколы по-прежнему включены по умолчанию и должны быть отключены.
Все версии Windows
- Можно просмотреть / изменить определенные алгоритмы шифрования, которые использует ваша машина:
- Windows 7 — 10 :
  - «Чтобы добавить наборы шифров, используйте параметр групповой политики Порядок набора шифров SSL в разделе Конфигурация компьютера> Административные шаблоны> Сеть> Параметры конфигурации SSL , чтобы настроить список приоритетов для всех наборов шифров, которые вы хотите включить.»
По групповой политике
С помощью PowerShell
В Internet Explorer
- Откройте IE> нажмите «Настройки»> «Свойства обозревателя»> вкладка «Дополнительно»:
  Выберите Использовать TLS 1.2, TLS 1.3 (экспериментальный)
  Отменить выбор SSL 3.0, TLS 1.0, TLS 1.1
- Перезагрузите машину
В IIS
- Windows Server 2019: добавьте привязку к своему сайту, установите флажок «Отключить устаревший TLS», затем нажмите «ОК».
Браузер
- Отключить SSL 3.0 и TLS 1.0 в вашем браузере
Рекомендуемые алгоритмы и шифры
Mozilla публикует обновленный список рекомендаций:
SSL Labs публикует обновленный список рекомендаций и является широко известным авторитетным сайтом.
Их предложения включают: сначала внести изменения в тестовую среду и убедиться, что совместимость поддерживается для всех ваших необходимых приложений на машине.
Они также включают общее объяснение и обсуждение теории.
Небезопасные алгоритмы и шифры
Legacy TLS ( — настройка от Microsoft ):
Протоколы:
SSL2, SSL3, TLS1.0 и TLS1.1
Шифры шифрования:
DES, 3DES и RC4 (поэтому следует использовать только AES)
AES с режимом цепочки CBC (поэтому следует использовать только AES GCM)
Ключевые биржи:
RSA
ключей DH <2048
Размер ключа ECDH <224
Безопасность транспортного уровня (TLS) — Википедия :
Повышение безопасности SSL-шифров вашего веб-сервера ( Обоснование, раздел )
Дополнительная литература
Краткое техническое руководство для сетевых администраторов, касающееся шифрования / протокола, можно найти здесь:
Артикул:
Устранение неполадок
Браузер указывает, что URL-адрес сайта небезопасен
Это может указывать на проблему с сертификатом
Это может указывать на проблему с использованием старых протоколов на сервере.
Ошибка подключения: ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY
Эта ошибка означает, что браузер обнаружил, что ваш компьютер / сайт согласовали протокол с TLS 1.2 Cipher Suite Черный список
Чтобы решить эту проблему, используйте один из вышеперечисленных методов для установки хороших шифров / отключения этих шифров.
Важность TLS 1.3: уязвимости SSL и TLS
Почти все серверы имеют слабые конфигурации криптографических протоколов. Они поддерживают устаревшие версии SSL / TLS и слабые комплекты шифров, предоставляя злоумышленникам возможность расшифровать обмен данными между клиентом и сервером.

В течение двенадцати лет стандартным шифрованием в Интернете была безопасность транспортного уровня (TLS) 1.2.
Следуя своим корням, мы возвращаемся к первой версии протокола Secure Sockets Layer (SSL). Он был разработан в 1995 году Тахером Эльгамалом, главным научным сотрудником Netscape.
SSL 2.0 и 3.0 быстро последовали, но также имели проблемы.
TLS — это криптографический протокол, обеспечивающий безопасную связь по компьютерным сетям.
TLS обеспечивает безопасную связь между веб-браузерами, приложениями, предназначенными для конечных пользователей, и серверами путем шифрования передаваемой информации, предотвращая атаки подслушивания или взлома.
Асимметричное шифрование используется во время «рукопожатия», которое происходит перед отправкой любых данных.
Протокол TLS 1.2 выполнял несколько циклов обмена между клиентом и сервером, в то время как TLS 1.3 — это гораздо более плавный процесс, требующий всего одного обхода. TLS 1.3 существует с 2018 года.
Выпущенный инженерной группой Интернета и предлагающий более высокий уровень безопасности, он остается фактическим стандартом безопасности для всего обмена данными через Интернет.
Удаляет многие из проблемных опций предыдущих версий TLS.
Концептуальные недостатки Уязвимости
POODLE ATTACK
POODLE (Padding Oracle On Downgraded Legacy Encryption) — вполне функциональное, но ужасное имя. POODLE начинался как эксплойт SSL 3.0 и также представлял угрозу для протоколов TLS, если версии TLS сохраняли обратную совместимость с 3.0.

Крейг Янг, исследователь компьютерной безопасности, обнаружил уязвимости в TLS 1.2, которые допускают атаки, подобные POODLE, из-за постоянной поддержки устаревшего метода шифрования: цепочки блоков шифрования (CBC).
Недостатки вызывают атаки типа «человек посередине» (MITM) на зашифрованные сеансы Интернета и VPN пользователя. Это был так называемый эксплойт Zombie POODLE.
GOLDENDOODLE — это вариант POODLE с гораздо более быстрым и мощным механизмом крипто-взлома.
Как избежать Zombie POODLE и GOLDENDOODLE
Лучшее решение для Zombie POODLE и всех других оракулов заполнения TLS CBC — отключить использование шифров TLS CBC.
Снижение уровня приоритета этих шифров также может помочь предотвратить реальные атаки.
Злоумышленник обычно не может принудительно выбрать конкретный шифр, и атака оракула с заполнением CBC происходит только в том случае, если клиент / сервер обычно согласовывает уязвимый шифр.
FREAK ATTACK
FREAK («Факторинг ключей экспорта RSA») — это атака с использованием SSL / TLS, когда обмен ключами RSA используется для безопасного согласования предварительного главного секрета.
В настоящее время известная как «FREAK», эта уязвимость (CVE-2015-0204) позволяет злоумышленникам перехватывать HTTPS-соединения между уязвимыми клиентами и серверами и заставлять их использовать шифрование «экспортного уровня».
Эта криптография экспортного уровня включает ключи шифрования устаревшей длины, которые затем можно легко расшифровать.
В течение 90-х годов правительство США установило правила для экспорта систем шифрования, используя «сильную» стойкость шифрования ключей шифрования RSA до максимум 512 бит в любых реализациях Secure Socket Layer (SSL), предназначенных для экспорта.

Со временем правила изменились.
«Экспортные» наборы шифров перестали использоваться, и к 2000 году браузеры смогли использовать SSL с более высокой степенью защиты.
Исследователи безопасности обнаружили, что все еще используются старые экспортные криптографические пакеты.
Они обнаружили, что серверы, поддерживающие комплекты экспортных шифров RSA, могут позволить среднему человеку (MITM) обмануть клиента и сервер, заставив его использовать старые и слабые 40- и / или 56-битные комплекты экспортных шифров для понижения их версии. связь.
Тогда этот MITM мог бы использовать сегодняшние вычислительные мощности для взлома ключей всего за несколько часов.
Чтобы попасть в эту атаку: Сервер должен поддерживать наборы экспортных шифров RSA (например,g: TLS_RSA_EXPORT_WITH_DES40_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA и т. д.), и клиент должен выполнить одно из следующих действий:
должен предлагать пакет для экспорта RSA или
0
9109
должен использовать версию Apple Transport
должен быть
с использованием протокола Apple Transport. OpenSSL или
должен использовать безопасный канал (Schannel)
После взлома шифрования сеанса MITM может украсть любую «защищенную» личную информацию из сеанса.
Как избежать FREAK Attack
На стороне сервера: Отключите поддержку всех наборов шифров экспортного уровня на серверах. Мы также рекомендуем отключить поддержку всех известных небезопасных шифров (не только экспортных шифров RSA), поддержку шифров с 40- и 56-битным шифрованием и включить прямую секретность.
Клиентская сторона: Уязвимые клиенты включают программное обеспечение, использующее OpenSSL или безопасный транспорт Apple (например, стандартные браузеры Chrome, Safari, Opera, Android и BlackBerry) или Windows Secure Channel / Schannel (i.е. Internet Explorer). Старые версии OpenSSL следует немедленно обновить до последних выпусков.
Слабые криптографические примитивы — уязвимости TLS
SWEET32: АТАКА НА ДЕНЬ РОЖДЕНИЯ
Атака на День рождения Sweet32 не влияет на сертификаты SSL; он влияет на блочный шифр тройного DES.
Безопасность блочного шифра зависит от размера ключа (k). Таким образом, лучшая атака на блочный шифр — это атака с интегральным поиском по ключу, сложность которой составляет 2k.
Даже если блочные шифры используются для шифрования большого количества данных с использованием таких режимов шифрования, как CBC, размер блока (n) также играет большую роль в определении его безопасности.

Существует высокая вероятность простой атаки дня рождения, когда используется режим шифрования CBC, в котором после того, как 2n / 2 блоков данных зашифрованы одним и тем же ключом, ожидается конфликт между двумя блоками шифров.
Коллизия — это когда разные входы дают одинаковый результат. Эти данные сочетаются с несколькими условиями и могут использоваться для извлечения простого текста из зашифрованных данных.
Sweet32 влияет на шифр Triple DES, который также уязвим как шифр RC4.
Шифры DES (и тройной DES) представляют собой 64-битные блочные шифры.Это позволяет злоумышленнику отправлять большие объемы трафика во время одного и того же TLS-соединения, создавая конфликт.
При этой коллизии злоумышленник может получить информацию из файла cookie сеанса.
Как избежать атаки SWEET32 Birthday
Веб-сайты, поддерживающие 3DES, уязвимы для атаки SWEET32 Birthday. Поэтому проверьте, поддерживает ли веб-сайт 3DES, и проверьте комплекты шифров для 3DES.
Примите во внимание следующее, чтобы уменьшить влияние SWEET32:
Предпочитайте минимальные 128-битные наборы шифров
Ограничьте длину сеансов TLS с помощью 64-битного шифра, что может быть выполнено с помощью повторного согласования TLS или закрытия и запуска нового connection
Отключить наборы шифров с использованием 3DES
Исследователи заявили, что SWEET32 сравним с атаками на RC4.
Надеюсь, это означает, что веб-браузеры должны предлагать 3DES в качестве резервного шифра, чтобы избежать его использования на серверах, которые поддерживают AES, но предпочитают 3DES.
БЛЕЙХЕНБАХЕР С АТАКОЙ РОБОТОВ
В 1998 году Даниэль Блейхенбахер обнаружил сообщения об ошибках заполнения PKCS # 1 v1.5, отправляемые стеком безопасности транспортного уровня (TLS), работающим на сервере.
Это может позволить атаку с адаптивным выбором шифротекста, которая полностью нарушает конфиденциальность TLS при использовании с шифрованием RSA.
ROBOT — это возвращение уязвимости 19-летней давности, которая позволяет выполнять операции RSA-дешифрования и подписи с закрытым ключом TLS-сервера.

По оценке Блейхенбахера, для расшифровки произвольного зашифрованного текста требуется около миллиона запросов. Поэтому атаку также назвали «атакой миллиона сообщений» — оригинальной атакой оракула заполнения для TLS.
Сервер TLS пытается расшифровать каждый из них и отправляет обратно один из двух кодов ошибок: либо расшифровка не удалась, либо заполнение было испорчено.
Пробуя тысячи вариантов сообщения, содержащего сеанс TLS третьей стороны, и различая два кода ошибки, злоумышленник может в конечном итоге восстановить сеанс по одному бит за раз.
В рамках этого сеанса TLS злоумышленник может узнать конфиденциальную информацию, такую как учетные данные пользователя.
Блейхенбахер был с тех пор доработан до такой степени, что для этой версии требуются всего десятки тысяч попыток.
Векторы угроз:
Атака Блейхенбахера затрагивает только сеансы RSA, не защищенные эфемерными ключами, обеспечиваемыми прямой секретностью.
Как уменьшить риск BLEICHENBACHER с помощью атаки ROBOT
Обновите сервер в соответствии с патчем, предоставленным поставщиками.
Отключить шифры обмена ключами RSA (рекомендуется). Если вы не предпочитаете отключать шифры обмена ключами RSA, сервер должен как минимум поддерживать прямую секретность в современных браузерах. (держите шифры RSA последними)
Уязвимости реализации TLS
BEAST ATTACK
BEAST означает (использование браузера против SSL / TLS).Атака BEAST была обнаружена Филипом Рогэуэем в 2002 году, но ее использование было сочтено непрактичным, поскольку требовалось огромное количество попыток для обнаружения какой-либо полезной информации.
Первый POC уязвимости был опубликован в 2011 году. В то время большинство веб-сайтов по-прежнему использовали TLS 1.0 или более раннюю версию SSL, которая считалась уязвимой.

Злоумышленник, перехватывающий трафик TLS 1.0, может ввести в него данные.
Если злоумышленник знает о типе отправляемых данных и их местонахождении в сообщении, он может ввести специально созданный блок данных и проверить, совпадает ли полученный зашифрованный блок с соответствующим блоком в фактическом потоке сообщений.
Если да, то злоумышленник обнаружил блок открытого текста. Если нет, они могут пробовать снова и снова с разными вероятными значениями.
Как избежать атаки BEAST
Убедитесь, что разрешены только TLS 1.1 или TLS 1.2, поскольку они устраняют основную уязвимость TLS 1.0.
Фактически смягчено в 2006 году в спецификации TLS 1.1. К сожалению, почти все веб-сайты и основные браузеры по-прежнему поддерживают TLS 1.0. В Windows Server 2008 R2 TLS 1.0 был отключен по умолчанию, но его можно включить.
По общему соглашению, Google Chrome, Microsoft Internet Explorer (IE) и Edge и Mozilla Firefox решили отключить поддержку TLS 1.0 и 1.1 в начале 2020 года.
CRIME ATTACK
CRIME-атака используется для извлечения токенов сеанса, защищенных протокол SSL / TLS.
CRIME использует функцию сжатия данных SSL и TLS. Сжатие осуществляется на уровне SSL / TLS, поэтому сжатию подвергаются как заголовок, так и тело.
SSL / TLS и SPDY используют алгоритм сжатия DEFLATE, наиболее распространенный алгоритм сжатия, который сжимает HTTP-запросы, удаляя повторяющиеся строки.
CRIME использует метод исключения повторяющихся строк, чтобы угадать токены сеанса путем их систематического перебора.

Каждый экземпляр повторяющейся строки заменяется указателем на первое вхождение строки.
Таким образом, для большей избыточности данных требуется большее сжатие, и поэтому длина HTTP-запроса будет меньшей. Злоумышленник использует эту логику.
Как избежать CRIME-атаки
Все основные веб-браузеры были исправлены или вообще не поддерживают сжатие SSL / TLS / SPDY.
Таким образом, сжатие на уровне клиента должно быть отключено в соответствии с отраслевым стандартом. Убедитесь, что для подключения к веб-странице хоста используются эти версии браузера или выше:
Internet Explorer: никакие версии IE не поддерживают сжатие SSL / TLS
Chrome: 21.0.1180.89
Firefox: 15.0.1
Opera: 12.01
Safari: 5.1.7
BREACH ATTACK
BREACH атакует HTTP-ответы, сжатые с использованием обычного HTTP-сжатия, также известного как кодирование содержимого, которое гораздо более распространено, чем сжатие на уровне TLS.
Чтобы быть уязвимым для атаки BREACH, веб-приложение должно:
Размещаться на сервере, который использует сжатие на уровне HTTP
Отражать ввод пользователя в телах ответов HTTP
Отражать секрет ( например, токен CSRF) в телах HTTP-ответа

Злоумышленник, имеющий возможность вводить частично выбранный открытый текст в запросы жертвы и измерять размер зашифрованного трафика, может воспользоваться утечкой информации при сжатии для восстановления целевых частей открытый текст.
Внедряя открытый текст в запрос HTTPS и наблюдая за длиной сжатых ответов HTTPS, злоумышленник может итеративно вычислять и извлекать секреты открытого текста из потока SSL.
Как предотвратить атаку BREACH
Отключение сжатия HTTP
Отделение секретов от пользовательского ввода
Рандомизация секретов по запросу
Маскировка секретов (эффективная рандомизация с помощью XORing) с
случайным секретом на каждый запрос
Защита уязвимых страниц с помощью CSRF
Скрытие длины (путем добавления случайного числа байтов к ответам)
Ограничение скорости запросов
Заключение
Короче говоря, для защиты от всего известного и неизвестные атаки на более раннюю версию TLS, лучше всего обновить свои системы до последней версии TLS.
Таким образом, обратная совместимость не будет поддерживаться.
Становится возможным безопасно отключить поддержку сервером всех протоколов TLS кроме TLS 1.

conspi.ru - Конспирология - Теория заговора

Набор обновлений UpdatePack-XPSP3-Rus Live 19.11.15 — simplix.info

Что делать, если в браузере появляется ошибка «Этот сайт не может обеспечить безопасное соединение»

Этот сайт не может обеспечить безопасное соединение. Как исправить в Opera, Chrome, Яндекс Браузер?

Как я исправил ошибку и отключил ее в Opera, Chrome и других браузерах

Private Bus Gov Ru Используется Неподдерживаемый Протокол – Telegraph

Что такое Rivest Cipher 4 (RC4) и почему это уязвимость

Оценка безопасности SSL RC4

Что такое RC4 и как работает его шифрование?

Различные типы RC4

Применение шифрования RC4

RC4 Уязвимость и атаки

Решение проблемы TLS 1.0 — Документация по безопасности

В этой статье

Краткое содержание

Текущее состояние реализации Microsoft TLS 1.0

Обеспечение поддержки TLS 1.2 во всех развернутых операционных системах

Рисунок 1: Поддержка протокола безопасности версией ОС

Инженерные улучшения Microsoft для устранения зависимостей TLS 1.0

Поиск и исправление зависимостей TLS 1.0 в коде

Перестройка / перенацеливание управляемых приложений с использованием последней версии .Net Framework

Тестирование с TLS 1.2+

Уведомление партнеров о вашем TLS 1.0 планов прекращения поддержки

Заключение

Приложение A: Имитация рукопожатия для различных клиентов, подключающихся к www.microsoft.com, любезно предоставлено SSLLabs.com

Приложение B: прекращение поддержки TLS 1.0 / 1.1 при сохранении режима FIPS

Авторы / Благодарности

Шифры, алгоритмы и согласование параметров безопасности

SSL / TLS определяют параметры HTTPS-соединения.А также они только что прошли косметическую реконструкцию.

Наборы шифров — немного предыстории

Ключи против алгоритмов

Это просто математика

Современные шифры и наборы шифров

Что такое набор шифров TLS 1.2?

Два вида шифрования

Обмен ключами

RSA

Диффи-Хеллмана и эллиптическая кривая Диффи-Хеллмана

ПСК

Цифровая подпись / аутентификация

Цифровые подписи RSA

Алгоритм цифровой подписи с эллиптической кривой

А как насчет DSA?

Алгоритм цифровой подписи по кривой Эдвардса

Шифры массового шифрования

AES

CHACHA20_POLY1305

Другие массовые шифры

DES / тройной DES

RC4

Камелия

ARIA

Целостность данных / Аутентификация

Код аутентификации сообщений на основе хэша (HMAC)

AEAD против HMAC

Функции деривации ключей на основе HMAC

Список шифров TLS 1.2

Чем отличается TLS 1.3?

Короткие наборы шифров

Устарение старых шифров / функциональность

Список шифров TLS 1.3

What We Hashed Out (Для нефтесборщиков)

RC4 включен | docs.digicert.com

Укрепление шифров SSL вашего веб-сервера

Обоснование

Программное обеспечение и его версии

TLS 1.3

RC4

Строка

Apache

nginx

HAProxy

Возобновление нулевого времени приема-передачи в TLS 1.3

Бонусных баллов

Устаревшие клиенты с современными дистрибутивами

Наконец

История

Протоколы и шифры шифрования — Приятные решения

Самые безопасные версии SSL / TLS

Проверьте шифрование