我们的安全审计报告表明,我们的许多 JBoss EAP 5.0 服务器(在 RHEL 6.x 上)启用了弱密码。经过一些研究,我发现了一个.jar文件(来自https://access.redhat.com/solutions/18405),当从服务器运行时,会列出默认和支持的密码套件。我运行该.jar文件,在默认密码套件部分下获得以下输出:
DefaultCipherSuites:
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_EMPTY_RENEGOTIATION_INFO_SCSV
据我所知,弱密码是指密钥长度小于 128 位的密码。在上面列出的所有密码中:
- 名称中包含“128”的密码表示密钥长度为 128 的密码。
- 包含“256”的提供 256 位加密。
- 具有“DES”的密钥是 56 位加密的 DES 密钥。
- 带有“RC4_40”的表示 40 位加密。
- 带有“DES40”的又表示40位加密。
- 带有“3DES”的表示具有 128/192 密钥加密的三重 DES。
我知道如何编辑 SSL/TLS 连接器块server.xml以仅启用某些密码套件。
现在我的问题是:
我对密码名称与其支持的位长度之间关系的理解是否正确?
如果我的问题 #1 的答案是“是”,那么“禁用所有弱密码”是否意味着删除/禁用名称中包含 DES、RC4_40 和 DES40 的所有密码?
TLS_EMPTY_RENEGOTIATION_INFO_SCSV 的密钥长度是多少?