Qui Suites de Chiffrement à activer pour Socket SSL?

Je suis à l'aide de Java SSLSocket pour sécuriser les communications entre un client et un serveur. Le programme serveur est également en place des requêtes HTTPS partir de navigateurs web.

Selon "Début de la Cryptographie avec Java", page 371, vous devriez toujours faire appel à setEnabledCipherSuites sur votre SSLSocket /SSLServerSocket pour s'assurer que la suite de chiffrement qui finit par être négocié est suffisamment fort pour vos besoins.

Cela étant dit, un appel à mon SSLSocketFactory's getDefaultCipherSuites méthode donne quelques 180 options. Ces options vont de TLS_RSA_WITH_AES_256_CBC_SHA (qui je pense est assez sécurisé) à SSL_RSA_WITH_RC4_128_MD5 (pas si sûr que c'est sûr, étant donné MD5 de l'état actuel) à SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA (pas tout à fait sûr de ce qui n').

Ce qui est raisonnable liste des suites de chiffrement pour limiter les prises de courant?

Notez que le client et le serveur ont accès à la Château Gonflable fournisseur de services, et qu'ils peuvent ou peuvent ne pas avoir illimitée de stratégie de chiffrement des fichiers installés.

  • TLS_RSA_WITH_AES_256_CBC_SHA ... - vous devriez probablement éviter la clé RSA de systèmes de transport (ou de les placer en bas de votre annoncé la liste). Au lieu de cela, en faveur de l'éphémère, les échanges de clé, comme DHE, pour forward secrecy). En fait, TLS 1.3 est en train de discuter de leur retrait parce qu'ils manquent de la propriété.
  • SSL_RSA_WITH_RC4_128_MD5 ... - RC4 est le problème de l'enfant maintenant. Voir Sur la Sécurité de la RC4 en TLS et WPA. Un attaquant ne peut probablement pas se forger une HMAC-MD5 signature dans le réseau de la 2MSL fenêtre de temps. Cependant, un attaquant peut statistiquement corrélés bits de la clef de chiffrement de flux. (Et MD5 est mort pour l'utilisation à long terme, comme les certificats et les signatures numériques).
  • SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA ... - le brûler. L'éviter comme la peste.
InformationsquelleAutor Zarkonnen | 2009-06-24
  1. 7

    Ne pas utiliser quoi que ce soit à l'exportation en elle. C'est crippleware en raison de restrictions sur l'exportation de la cryptographie forte.

    EDIT: Changé pour 2009 document.

    2009 NIST recommandation les listes suivantes, y compris TLS_RSA_WITH_AES_256_CBC_SHA (dont vous avez parlé):

    TLS_RSA_WITH_NULL_SHA (à ne pas l'utiliser sauf si vous êtes sûr que vous n'avez pas besoin de vie privée et de la confidentialité).

    TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA
TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DH_DSS_WITH_AES_128_CBC_SHA
TLS_DH_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DH_DSS_WITH_AES_256_CBC_SHA
TLS_DH_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_PSK_WITH_3DES_EDE_CBC_SHA
TLS_PSK_WITH_AES_128_CBC_SHA
TLS_PSK_WITH_AES_256_CBC_SHA
TLS_DHE_PSK_WITH_3DES_EDE_CBC_SHA
TLS_DHE_PSK_WITH_AES_128_CBC_SHA
TLS_DHE_PSK_WITH_AES_256_CBC_SHA
TLS_RSA_PSK_WITH_3DES_EDE_CBC_SHA
TLS_RSA_PSK_WITH_AES_128_CBC_SHA
TLS_RSA_PSK_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    • Je suis un peu confus au sujet de TLS_RSA_WITH_NULL_SHA - ne spécifiez pas de cryptage? Dans ce contexte, est-ce à dire aucun ou aucun de cryptage?
    • Zarkonnen, je pense que vous avez raison que TLS_RSA_WITH_NULL_SHA signifie pas de cryptage. p. 34 du projet de je lien dit chiffrement NULL est pour, "les cas où la protection de l'intégrité est nécessaire, mais pas de chiffrement."
    • Je doute qu'il a besoin de la Clé Prépartagée (PSK) les algorithmes comme TLS_PSK_WITH_3DES_EDE_CBC_SHA. TLS_RSA_WITH_AES_256_CBC_SHA utilise une clé RSA de transport. Il devrait probablement être à l'aide de DHE ou ECDHE pour forward secrecy).
    • Une bonne explication de la sous-parties de la suite de chiffrement de spécification et de ce que vous devez éviter, c'est ici: blog.eveoh.nl/2014/02/tls-ssl-ciphers-pfs-tomcat
    InformationsquelleAutor Matthew Flaschen
  2. 16

    Ci-dessous est la classe Java-je utiliser pour appliquer les suites de chiffrement et de protocoles. Avant SSLSocketFactoryEx, j'ai été en modifiant les propriétés de la SSLSocket lorsque j'ai eu accès à eux. La Java des gens sur un Débordement de Pile aidé avec elle, donc c'est agréable d'être en mesure de le poster ici.

    SSLSocketFactoryEx préfère plus les suites de chiffrement (comme ECDHE et DHE), et qu'il omet des faibles et blessés des suites de chiffrement (comme RC4 et MD5). Il doit permettre aux quatre clés RSA transport algorithmes pour l'interopérabilité avec Google et Microsoft lorsque TLS 1.2 est pas disponibles. Ils sont TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA et deux de ses amis. Si possible, vous devez supprimer le TLS_RSA_* principaux systèmes de transport de l'.

    Garder de la suite de chiffrement liste aussi petite que possible. Si vous faites de la publicité tous disponible algorithmes (similaire à Flaschen de la liste), puis votre liste sera de 80+. Qui prend en hausse de 160 octets dans le ClientHello, et il peut causer certains appareils à l'échec parce qu'ils ont une petite, fixe la taille de la mémoire tampon pour le traitement de la ClientHello. Les appareils cassés inclure F5 et Ironport.

    Dans la pratique, la liste dans le code ci-dessous est couplé à 10 ou 15 suites de chiffrement, une fois que la liste est en intersection avec Java pris en charge les suites de chiffrement. Par exemple, voici la liste je reçois lors de la préparation de la connexion ou microsoft.com ou google.com avec un nombre illimité de JCE politique en place:

    • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
    • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
    • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
    • TLS_RSA_WITH_AES_256_CBC_SHA256
    • TLS_RSA_WITH_AES_256_CBC_SHA
    • TLS_RSA_WITH_AES_128_CBC_SHA256
    • TLS_RSA_WITH_AES_128_CBC_SHA

    La liste omet faibles ou blessés algorithmes, comme RC4 et MD5. Si elles sont activées, alors vous obtiendrez probablement un Obsolète cryptographie avertissement du Navigateur à l'occasion.

    La liste sera plus petit avec la valeur par défaut de la JCE de la politique parce que la politique supprime AES-256 et quelques autres. Je pense que c'est environ 7 suites de chiffrement avec la limité de la politique.

    La SSLSocketFactoryEx classe assure également les protocoles TLS 1.0 et supérieures sont utilisés. Les clients Java avant Java 8 désactiver TLS 1.1 et 1.2. SSLContext.getInstance("TLS") permettra également de se faufiler dans SSLv3 (même en Java 8), de sorte que des mesures doivent être prises pour l'enlever.

    Enfin, la classe ci-dessous est TLS 1.3 conscient, donc, il faut travailler lorsque le fournisseur met à la disposition des. Le *_CHACHA20_POLY1305 suites de chiffrement sont préférables, si disponibles, car elles sont beaucoup plus rapide que celle de certaines suites et ils ont de meilleures propriétés de sécurité. Google a déjà roulé sur ses serveurs. Je ne suis pas sûr si Oracle fournira. OpenSSL va leur donner OpenSSL 1.0.2 1.1.0.

    Vous pouvez l'utiliser comme ceci:

    URL url = new URL("https://www.google.com:443");
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();

SSLSocketFactoryEx factory = new SSLSocketFactoryEx();
connection.setSSLSocketFactory(factory);
connection.setRequestProperty("charset", "utf-8");

InputStream input = connection.getInputStream();
InputStreamReader reader = new InputStreamReader(input, "utf-8");
BufferedReader buffer = new BufferedReader(reader);
...
    class SSLSocketFactoryEx extends SSLSocketFactory
{
public SSLSocketFactoryEx() throws NoSuchAlgorithmException, KeyManagementException
{
initSSLSocketFactoryEx(null,null,null);
}
public SSLSocketFactoryEx(KeyManager[] km, TrustManager[] tm, SecureRandom random) throws NoSuchAlgorithmException, KeyManagementException
{
initSSLSocketFactoryEx(km, tm, random);
}
public SSLSocketFactoryEx(SSLContext ctx) throws NoSuchAlgorithmException, KeyManagementException
{
initSSLSocketFactoryEx(ctx);
}
public String[] getDefaultCipherSuites()
{
return m_ciphers;
}
public String[] getSupportedCipherSuites()
{
return m_ciphers;
}
public String[] getDefaultProtocols()
{
return m_protocols;
}
public String[] getSupportedProtocols()
{
return m_protocols;
}
public Socket createSocket(Socket s, String host, int port, boolean autoClose) throws IOException
{
SSLSocketFactory factory = m_ctx.getSocketFactory();
SSLSocket ss = (SSLSocket)factory.createSocket(s, host, port, autoClose);
ss.setEnabledProtocols(m_protocols);
ss.setEnabledCipherSuites(m_ciphers);
return ss;
}
public Socket createSocket(InetAddress address, int port, InetAddress localAddress, int localPort) throws IOException
{
SSLSocketFactory factory = m_ctx.getSocketFactory();
SSLSocket ss = (SSLSocket)factory.createSocket(address, port, localAddress, localPort);
ss.setEnabledProtocols(m_protocols);
ss.setEnabledCipherSuites(m_ciphers);
return ss;
}
public Socket createSocket(String host, int port, InetAddress localHost, int localPort) throws IOException
{
SSLSocketFactory factory = m_ctx.getSocketFactory();
SSLSocket ss = (SSLSocket)factory.createSocket(host, port, localHost, localPort);
ss.setEnabledProtocols(m_protocols);
ss.setEnabledCipherSuites(m_ciphers);
return ss;
}
public Socket createSocket(InetAddress host, int port) throws IOException
{
SSLSocketFactory factory = m_ctx.getSocketFactory();
SSLSocket ss = (SSLSocket)factory.createSocket(host, port);
ss.setEnabledProtocols(m_protocols);
ss.setEnabledCipherSuites(m_ciphers);
return ss;
}
public Socket createSocket(String host, int port) throws IOException
{
SSLSocketFactory factory = m_ctx.getSocketFactory();
SSLSocket ss = (SSLSocket)factory.createSocket(host, port);
ss.setEnabledProtocols(m_protocols);
ss.setEnabledCipherSuites(m_ciphers);
return ss;
}
private void initSSLSocketFactoryEx(KeyManager[] km, TrustManager[] tm, SecureRandom random)
throws NoSuchAlgorithmException, KeyManagementException
{
m_ctx = SSLContext.getInstance("TLS");
m_ctx.init(km, tm, random);
m_protocols = GetProtocolList();
m_ciphers = GetCipherList();
}
private void initSSLSocketFactoryEx(SSLContext ctx)
throws NoSuchAlgorithmException, KeyManagementException
{
m_ctx = ctx;
m_protocols = GetProtocolList();
m_ciphers = GetCipherList();
}
protected String[] GetProtocolList()
{
String[] preferredProtocols = { "TLSv1", "TLSv1.1", "TLSv1.2", "TLSv1.3" };
String[] availableProtocols = null;
SSLSocket socket = null;
try
{
SSLSocketFactory factory = m_ctx.getSocketFactory();
socket = (SSLSocket)factory.createSocket();
availableProtocols = socket.getSupportedProtocols();
Arrays.sort(availableProtocols);
}
catch(Exception e)
{
return new String[]{ "TLSv1" };
}
finally
{
if(socket != null)
socket.close();
}
List<String> aa = new ArrayList<String>();
for(int i = 0; i < preferredProtocols.length; i++)
{
int idx = Arrays.binarySearch(availableProtocols, preferredProtocols[i]);
if(idx >= 0)
aa.add(preferredProtocols[i]);
}
return aa.toArray(new String[0]);
}
protected String[] GetCipherList()
{
String[] preferredCiphers = {
//*_CHACHA20_POLY1305 are 3x to 4x faster than existing cipher suites.
//  http://googleonlinesecurity.blogspot.com/2014/04/speeding-up-and-strengthening-https.html
//Use them if available. Normative names can be found at (TLS spec depends on IPSec spec):
//  http://tools.ietf.org/html/draft-nir-ipsecme-chacha20-poly1305-01
//  http://tools.ietf.org/html/draft-mavrogiannopoulos-chacha-tls-02
"TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305",
"TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305",
"TLS_ECDHE_ECDSA_WITH_CHACHA20_SHA",
"TLS_ECDHE_RSA_WITH_CHACHA20_SHA",
"TLS_DHE_RSA_WITH_CHACHA20_POLY1305",
"TLS_RSA_WITH_CHACHA20_POLY1305",
"TLS_DHE_RSA_WITH_CHACHA20_SHA",
"TLS_RSA_WITH_CHACHA20_SHA",
//Done with bleeding edge, back to TLS v1.2 and below
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_DHE_DSS_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_DHE_DSS_WITH_AES_128_GCM_SHA256",
//TLS v1.0 (with some SSLv3 interop)
"TLS_DHE_RSA_WITH_AES_256_CBC_SHA384",
"TLS_DHE_DSS_WITH_AES_256_CBC_SHA256",
"TLS_DHE_RSA_WITH_AES_128_CBC_SHA",
"TLS_DHE_DSS_WITH_AES_128_CBC_SHA",
"TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA",
"TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA",
"SSL_DH_RSA_WITH_3DES_EDE_CBC_SHA",
"SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA",
//RSA key transport sucks, but they are needed as a fallback.
//For example, microsoft.com fails under all versions of TLS
//if they are not included. If only TLS 1.0 is available at
//the client, then google.com will fail too. TLS v1.3 is
//trying to deprecate them, so it will be interesteng to see
//what happens.
"TLS_RSA_WITH_AES_256_CBC_SHA256",
"TLS_RSA_WITH_AES_256_CBC_SHA",
"TLS_RSA_WITH_AES_128_CBC_SHA256",
"TLS_RSA_WITH_AES_128_CBC_SHA"
};
String[] availableCiphers = null;
try
{
SSLSocketFactory factory = m_ctx.getSocketFactory();
availableCiphers = factory.getSupportedCipherSuites();
Arrays.sort(availableCiphers);
}
catch(Exception e)
{
return new String[] {
"TLS_DHE_DSS_WITH_AES_128_CBC_SHA",
"TLS_DHE_DSS_WITH_AES_256_CBC_SHA",
"TLS_DHE_RSA_WITH_AES_128_CBC_SHA",
"TLS_DHE_RSA_WITH_AES_256_CBC_SHA",
"TLS_RSA_WITH_AES_256_CBC_SHA256",
"TLS_RSA_WITH_AES_256_CBC_SHA",
"TLS_RSA_WITH_AES_128_CBC_SHA256",
"TLS_RSA_WITH_AES_128_CBC_SHA",
"TLS_EMPTY_RENEGOTIATION_INFO_SCSV"
};
}
List<String> aa = new ArrayList<String>();
for(int i = 0; i < preferredCiphers.length; i++)
{
int idx = Arrays.binarySearch(availableCiphers, preferredCiphers[i]);
if(idx >= 0)
aa.add(preferredCiphers[i]);
}
aa.add("TLS_EMPTY_RENEGOTIATION_INFO_SCSV");
return aa.toArray(new String[0]);
}
private SSLContext m_ctx;
private String[] m_ciphers;
private String[] m_protocols;
}
    • Merci pour le partage du code. J'ai deux questions. Tout d'abord, ce que je ne comprends pas c'est pourquoi le code contient 2 createSocket de fonctions avec des arguments différents? J'ai eu une erreur becaus eof cette. Si j'ai changé le nom de l'un, je ne sais pas le code d'appel est fait pour lequel l'un d'entre eux. Deuxièmement, j'obtiens une erreur dans List<String> aa = new ArrayList<String>(); en disant: "le type de Liste n'est pas générique; il ne peut pas être parametarized avec des arguments <String>.
    • Aussi, est-ce code à l'aide de Château Gonflable fournisseur? Parce que la Java des bibliothèques de Chiffrement ne contient pas d'algorithmes tels que: CHACHA20 je ne vois pas où je dois appeler le Château Gonflable fournisseur dans mon code. Une autre question, je vois dans le code des algorithmes de chiffrement comme: "TLS_ECDHE_ECDSA_WITH_CHACHA20_SHA", et "TLS_ECDHE_RSA_WITH_CHACHA20_SHA", est-ce SHA256? parce que ce que je acyually besoin est CHACHA256.
    • le code contient 2 createSocket de fonctions avec des arguments différents?" - il y a en fait 4 ou 5 d'entre eux. Parce que la classe est un remplacement de Java SSLSocketFactory, il devait fournir toutes les méthodes de l'original n'.
    • Je ne vois pas où je dois appeler le Château Gonflable fournisseur dans mon code..." - vous devriez changer de fournisseur ou de poser une autre question. Remarque: la bibliothèque sous-jacente (comme le Soleil ou Château Gonflable) doit fournir à l'algorithme. Le SSLSocketFactorEx ne pas les fournir.
    • belle explication, @user2192774 : " je ne vois pas où je dois appeler le Château Gonflable fournisseur dans mon code...", j'ai importé import org.bouncycastle.jce.provider.BouncyCastleProvider; dans mon fichier de classe avec le pot dans le projet et l'avant du bâtiment personnalisé sslContext inclus cette ligne Security.addProvider(new BouncyCastleProvider()); qui m'a aidé à obtenir les algorithmes nécessaires, mais aussi pour exclure les non-nécessaire les algorithmes ci-dessus sont bonnes explications/exemples !!
    • Merci de m'avoir sauvé !

    InformationsquelleAutor jww