it-swarm-id.com

Bagaimana saya bisa menentukan kekuatan enkripsi koneksi SSL

Jika saya terhubung ke url https, bagaimana saya bisa menentukan kekuatan cipher koneksi? Pemahaman saya adalah bahwa setelah jabat tangan kunci publik asimetris informasi dienkripsi menggunakan kunci simetris dengan kekuatan yang diberikan tetapi saya tidak dapat menemukan nomor itu (128-bit dll).

Tolong beri tahu saya jika saya salah paham dengan prosesnya juga.

Edit: Alasan saya bertanya adalah saya memiliki templat untuk penafian keamanan yang berisi statment Situs web ini menggunakan enkripsi XX-bit dan saya ingin mengisinya dengan angka yang benar.

27
Flash

Enkripsi simetri SSL adalah hasil negosiasi antara klien dan server. Dimungkinkan untuk membatasi dari sisi server dengan menggunakan file konfigurasi. Misalnya, konfigurasi Apache SSL termasuk a

SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

Itu bisa disetel untuk hanya menerima enkripsi terkuat, misalnya Anda mungkin ingin hanya memerlukan:

SSLProtocol all -SSLv3 -SSLv2
SSLCipherSuite HIGH:MEDIUM

Variabel lain dapat digunakan untuk melakukan lebih banyak hal seperti otentikasi klien atau memerlukan sandi per-direktori.

Anda juga dapat memanipulasi negosiasi dari sisi klien. Sebagai contoh, silakan merujuk ke tautan ini yang berbicara sedikit tentang penyetelan pengaturan Firefox Firefox. Saya menganggap browser lain punya cara untuk melakukan ini juga.

Tampaknya halaman ini mengatakan bahwa:

Server memutuskan daftar kriptografi dan algoritma kompresi yang dikirim oleh klien apakah akan melanjutkan atau membatalkan sesi. Setidaknya harus ada satu kecocokan di kedua daftar, jika tidak sesi akan gagal. Kombinasi sandi yang mengambil tempat tertinggi dalam daftar klien akan digunakan untuk komunikasi di masa mendatang.

Saya mencari protokol resmi.

18
M'vy

Lab SSL memiliki alat ji Server SSL di situs mereka yang akan menguji situs yang mengaktifkan SSL dan memberikan informasi berharga tentang keamanannya (seperti panjang kunci), termasuk kerentanan yang diketahui khusus untuk konfigurasi.

13
lew

Hmm ada sejumlah alat yang bisa Anda gunakan. Di sistem Linux:

Memulai koneksi SSL tunggal ke situs web melalui browser dll ....

Masukkan perintah:

ssldump -i eth0 -p 80

Ini akan menjelaskan handshake SSL ke server web (dengan membuang lalu lintas SSL pada antarmuka tertentu). Tempat sampah menunjukkan paket sandi yang digunakan.

Lihat ini: cipherSuite TLS_RSA_WITH_RC4_128_SHA

Anda mungkin perlu mengganti eth0 dengan nama antarmuka ethernet default Anda.

10
user3645

SSL menyertakan fitur yang dikenal sebagai "negosiasi ciphersuite". Klien menyajikan daftar ciphersuites yang bersedia digunakan, dan server memilih favoritnya dari daftar itu. Meskipun Anda dapat menguji situs web Anda menggunakan salinan beberapa peramban, orang lain mungkin menggunakan peramban lain dengan konfigurasi yang berbeda dan situs web Anda mungkin menggunakan ciphersuite yang lebih lemah untuk orang tersebut.

Anda harus memeriksa dokumentasi untuk server web Anda untuk memahami cara mengkonfigurasi server web Anda untuk hanya menggunakan ciphersuites yang memenuhi kebutuhan Anda.

6
yfeldblum

Jika Anda menggunakan Chrome, dan mungkin Firefox, Anda dapat mengeklik hal-hal di sebelah kiri https: // xxx di bilah URL dan periksa. Ini akan memberi tahu Anda suite sandi mana yang dipilih (seperti RC4 atau AES), dan ukuran kunci yang digunakan.

Saya menggunakan Safari saat ini (MacBook Air baru), dan saya tidak segera melihat bagaimana melakukan ini. Mengklik ikon kunci di kanan atas hanya menunjukkan kepada saya sertifikat, tetapi bukan kekuatan koneksi saat ini.

Cara lain untuk melakukan ini adalah dengan sniffer paket - hal yang seharusnya dilindungi oleh SSL. Beberapa paket pertama, di mana mereka menegosiasikan algoritma dan kekuatan enkripsi, tidak terenkripsi. Anda dapat melihat dari mereka kekuatan mana yang mereka pilih untuk koneksi.

3

Saya hanya ingin menambahkan jawaban di atas bahwa satu-satunya cara untuk mendapatkan hasil yang Anda butuhkan adalah membuat server tidak melakukan negosiasi atau melakukan tetapi hanya menggunakan beberapa sandi dengan panjang yang sama.

Misalnya, di Apache, Anda bisa menambahkan

SSLRequire %{SSL_CIPHER_USEKEYSIZE} = 256

hanya menerima 256 ukuran tombol.

Tapi hati-hati, karena ini mungkin akan menyebabkan klien tidak dapat terhubung jika mereka tidak menawarkan paket sandi yang diizinkan oleh server. Jika Anda melewati jalan ini, Anda harus memantau kesalahan negosiasi ssl di server selama beberapa waktu untuk membuat perkiraan.

2
john

Clientside:

Untuk Firefox ada ekstensi: https://addons.mozilla.org/en-US/firefox/addon/cipherfox/

Klik kanan dan pilih "Lihat Info Halaman" juga berfungsi.

Serverside:

lihat Bagaimana saya bisa menentukan kekuatan enkripsi koneksi SSL

2
Tie-fighter

Pada IE-8 setelah Anda meramban situs https, Anda dapat memilih File-> Properties dan itu akan menunjukkan jenis enkripsi yang digunakan. Untuk Firefow klik ikon kunci di sebelah kiri URL dan pilih Informasi Lainnya.

0
user76905

Untuk menambahkan @ Robert-David-Graham jawaban:

Di Chrome ketika Anda mengklik ikon kunci, Alat Pengembang> tab Keamanan muncul. Refresh halaman untuk mendapatkan info keamanan untuk halaman Asal. Kemudian gunakan nav kiri untuk beralih dari Ikhtisar ke Asal Utama (atau Asal lainnya) Di sana Anda akan melihat Protokol Sambungan, Pertukaran Kunci, dan Suite Sandi.

Sample LinkedIn home page security info

0
JohnC

Ciphersuite dipilih oleh klien dan server.

Klien mengirim daftar ciphersuites yang dapat diterima ke server yang dipesan berdasarkan preferensi. Server kemudian memilih satu dan memberi tahu klien. Server seharusnya menghormati preferensi klien tetapi mungkin sebenarnya tidak melakukannya (Di Apache pengaturan "SSLHonorCipherOrder" mengontrol ini).

Sebagian besar browser akan menyediakan cara untuk melihat ciphersuite apa yang digunakan, misalnya di firefox Anda mengklik ikon di sebelah bilah alamat. Kemudian klik panah ke samping, lalu klik informasi lainnya. Misalnya dari google saya dapatkan.

TLS_ECDHE_RSA_WITH_AES128_GCM_SHA256

Ada berbagai informasi dalam string itu (google jika Anda ingin penjelasan lengkap) tetapi yang penting untuk pertanyaan ini adalah "AES128-GCM". Ini memberitahu Anda bahwa algoritma enkripsi adalah AES 128 (jadi 128 bit enkripsi) dalam mode GCM.

Alasan saya bertanya adalah bahwa saya memiliki template untuk penafian keamanan yang berisi statment. Situs web ini menggunakan enkripsi XX-bit dan saya ingin mengisinya dengan nomor yang benar.

Bahaya dengan apa yang Anda usulkan adalah bahwa algoritma enkripsi yang dipilih akan tergantung pada klien. Misalnya algoritma enkripsi paling buruk yang didukung oleh SSL/TLS stack di windows XP (digunakan oleh IE, antara lain) adalah 3DES yang dianggap memiliki tingkat keamanan efektif 112 bit.

0
Peter Green