당사의 보안 감사 보고서에 따르면 다수의 JBoss EAP 5.0 서버(RHEL 6.x)에는 취약한 비밀번호가 활성화되어 있는 것으로 나타났습니다. 약간의 조사 끝에 파일을 찾았습니다 .jar.https://access.redhat.com/solutions/18405)는 서버에서 실행될 때 기본 및 지원되는 암호화 제품군을 나열합니다. 파일 을 실행 .jar하고 기본 암호 제품군 섹션에서 다음 출력을 얻습니다.
DefaultCipherSuites:
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_EMPTY_RENEGOTIATION_INFO_SCSV
내가 아는 한, 취약한 비밀번호는 키 길이가 128비트 미만인 비밀번호입니다. 위에 나열된 모든 비밀번호 중:
- 이름에 "128"이 포함된 암호는 키 길이가 128인 암호를 나타냅니다.
- "256"을 포함하면 256비트 암호화가 제공됩니다.
- "DES"가 있는 키는 56비트 암호화된 DES 키입니다.
- "RC4_40"은 40비트 암호화를 나타냅니다.
- "DES40"은 40비트 암호화를 의미합니다.
- "3DES"는 128/192 키 암호화를 갖춘 삼중 DES를 의미합니다.
server.xml특정 암호화 제품군만 활성화하도록 SSL/TLS 커넥터 블록을 편집하는 방법을 알고 있습니다 .
이제 내 질문은 다음과 같습니다.
암호 이름과 지원되는 비트 길이 간의 관계를 올바르게 이해하고 있습니까?
내 질문 #1에 대한 대답이 "예"인 경우 "모든 약한 암호 비활성화"는 이름에 DES, RC4_40 및 DES40이 포함된 모든 암호를 제거/비활성화한다는 의미입니까?
TLS_EMPTY_RENEGOTIATION_INFO_SCSV의 키 길이는 얼마입니까?