Perché Android / IE utilizza 3DES quando AES è disponibile?

Ho un'installazione di Zimbra e desidero indurire le suite di cifratura. Ho disabilitato alcuni e sono abbastanza bene con quello che resta.

Il problema è che il Qualys SSL tes t dimostra che molti clienti utilizzeranno 3DES, che rimarranno disponibili solo come ultima fallback da parte di me.

  • ApacheBenchmark ab - SSL letto non riuscito - connessione di chiusura
  • Un certificato SSL per più siti - CentOs 5 Apache 2.2
  • Trova la fonte di malware?
  • Come è stata codificata una hash password nella lima di password ombra?
  • Dovrei preoccuparmi di bloccare questi tentativi piuttosto zoppi ad hackare il mio server?
  • redirect a una pagina statica su un altro server web quando il server web principale è in discesa
  • Se esaminerò le cifre supportte di Android 5 e il mio server (ad esempio), ci sono più sovrapposizioni e la stessa suite di codici AES è disponibile a entrambi.

    Perché non è usata la cifra AES?

    Ecco l'intera test output: ssl test output

  • Quali sono le implicazioni dell'authorization SHOWPLAN su SQL Server 2005?
  • Recupero di un VHD dopo la ridimensionamento usando VBoxManage
  • ZFS - impostazione del punto fisico del pool fisso / file system
  • Qual è il miglior file system di stato solido (SSDFS) per Linux?
  • Come rendere più directory apparire come uno per un utente su linux?
  • Blocca gli indirizzi IP in attacco
  • 3 Solutions collect form web for “Perché Android / IE utilizza 3DES quando AES è disponibile?”

    Tipicamente each cliente ha la propria preferenza in cui le cifre supportno.

    Per attaccare il tuo esempio: Android 5.0.0 support un numero ragionevole ma ha alcune preferenze dispari, con alcune cifre oggettivamente più deboli preferite rispetto a quelle più forti.

    Secondo la scansione SSL Labs (la sezione "Cipher Suites (ordinata per forza, il server non ha alcuna preferenza" ), il tuo server supporterà solo un numero limitato di cifre e non visualizza una preferenza, lasciando la negoziazione di cifratura principalmente al client , che risulta in TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)

    Questo comportmento è determinato dall'elenco di cifratura passato dal client al server, where il client indica al server quali cifratori support e quale priorità ciascuna di tali cifre ha. Android, in particolare, ha fatto alcune scelte insicure circa l'ordine di preferenza delle sue suite di cifratura , preferendo cifre molto insicure rispetto a quelle sicure che support, senza spiegare perché.

    Il mio sospetto è che è una scelta di design. Scegliendo una cifra less computazionale, si utilizza less potenza e pertanto ottiene una maggiore durata della batteria, cosa che i consumatori notano e preoccupano per uno smartphone e, invece, quando si tratta di sicurezza, finché l'utente finale vede quel block icona, "è sicuro", e questo è tutto quello che si preoccupano (se ne hanno anche molto cura).

    Quindi, stanno usando 3DES perché hanno una preferenza più elevata per quella cifra più debole e ti permettono di essere utilizzata. L'unico modo per impedirlo di essere scelto da un cliente con preferenze dubbie è quello di rimuoverlo.

    Per risolvere il problema già spiegato da @HBrujin e @ HopelessN00b, è ansible impostare una cifra di elenco preferita per il server web, che può anche avere preferenze, non solo il client. Raccommand di utilizzare le impostazioni elaborate dal progetto Bettercrypto.org Applied Crypto Hardening .

    Ad esempio per Apache, è ansible utilizzare

     SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA' 

    nelle impostazioni per SSL / TLS. Per supportre 3DES, rimuovi 3DES dalla string, ma solo se è veramente necessario e devi sostenere il software del secolo scorso. Questo cipherstring può essere utilizzato in ambienti aziendali con vecchi software (che non è raccomandato, ma business, sai …).

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.