Perché Android / IE utilizza 3DES quando AES è disponibile?

Ho un'installazione di Zimbra e desidero indurire le suite di cifratura. Ho disabilitato alcuni e sono abbastanza bene con quello che resta.

Il problema è che il Qualys SSL tes t dimostra che molti clienti utilizzeranno 3DES, che rimarranno disponibili solo come ultima fallback da parte di me.

  • Imansible connettersi a VPN SSTP - Imansible verificare la revoca poiché il server di revoca era offline
  • Come eseguire una rsync protetta tra i server in una networking non protetta
  • Sicurezza del computer - raccomandazioni di video o podcast
  • Come giocare il traffico contro una networking ombra?
  • Come posso impedire a un amministratore del server di visualizzare i dati?
  • Accesso limitato SSH per il recupero del log
  • Se esaminerò le cifre supportte di Android 5 e il mio server (ad esempio), ci sono più sovrapposizioni e la stessa suite di codici AES è disponibile a entrambi.

    Perché non è usata la cifra AES?

    Ecco l'intera test output: ssl test output

  • Attività sospetta nei registri di accesso - qualcuno che cerca di trovare phpmyadmin dir - dovrei preoccuparmi?
  • Come convertire una partizione di reiserfs in ext3?
  • OSX - Crittografia completa del disco
  • Come posso implementare con password sicure per-host, in modo sicuro?
  • btrfs Integrità e Stress Testing
  • / dev / shm & / proc indurimento
  • 3 Solutions collect form web for “Perché Android / IE utilizza 3DES quando AES è disponibile?”

    Tipicamente each cliente ha la propria preferenza in cui le cifre supportno.

    Per attaccare il tuo esempio: Android 5.0.0 support un numero ragionevole ma ha alcune preferenze dispari, con alcune cifre oggettivamente più deboli preferite rispetto a quelle più forti.

    Secondo la scansione SSL Labs (la sezione "Cipher Suites (ordinata per forza, il server non ha alcuna preferenza" ), il tuo server supporterà solo un numero limitato di cifre e non visualizza una preferenza, lasciando la negoziazione di cifratura principalmente al client , che risulta in TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)

    Questo comportmento è determinato dall'elenco di cifratura passato dal client al server, where il client indica al server quali cifratori support e quale priorità ciascuna di tali cifre ha. Android, in particolare, ha fatto alcune scelte insicure circa l'ordine di preferenza delle sue suite di cifratura , preferendo cifre molto insicure rispetto a quelle sicure che support, senza spiegare perché.

    Il mio sospetto è che è una scelta di design. Scegliendo una cifra less computazionale, si utilizza less potenza e pertanto ottiene una maggiore durata della batteria, cosa che i consumatori notano e preoccupano per uno smartphone e, invece, quando si tratta di sicurezza, finché l'utente finale vede quel block icona, "è sicuro", e questo è tutto quello che si preoccupano (se ne hanno anche molto cura).

    Quindi, stanno usando 3DES perché hanno una preferenza più elevata per quella cifra più debole e ti permettono di essere utilizzata. L'unico modo per impedirlo di essere scelto da un cliente con preferenze dubbie è quello di rimuoverlo.

    Per risolvere il problema già spiegato da @HBrujin e @ HopelessN00b, è ansible impostare una cifra di elenco preferita per il server web, che può anche avere preferenze, non solo il client. Raccommand di utilizzare le impostazioni elaborate dal progetto Bettercrypto.org Applied Crypto Hardening .

    Ad esempio per Apache, è ansible utilizzare

     SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA' 

    nelle impostazioni per SSL / TLS. Per supportre 3DES, rimuovi 3DES dalla string, ma solo se è veramente necessario e devi sostenere il software del secolo scorso. Questo cipherstring può essere utilizzato in ambienti aziendali con vecchi software (che non è raccomandato, ma business, sai …).

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.