h44656e
22.07.2014
view2689
view4
0
Goto Top

Frage zu SSLCipherSuite, wieso wird es empfolen PSK zu deaktivieren?

FrageLinuxWebserver
Hallo zusammen,

ich habe auf mehreren Seiten die "empfohlenen" Konfigurationen von dem Apache SSLCipherSuite gefunden. Bei den meisten werden die PSK - basierten Algorithmen abgeschaltet.

z.B. http://www.heise.de/security/artikel/Forward-Secrecy-testen-und-einrich ...

leider fand ich bis jetzt keine Begründung dafür PSK zu deaktivieren.

kennt jemand einen nachweisbaren Grund dafür?


Gruß
Denis
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 244374

Url: https://administrator.de/contentid/244374

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

4 Kommentare
Neuester Kommentar
Goto Top
bytecounter
bytecounter 23.07.2014 um 10:31:04 Uhr
Goto Top
Hallo,

die Erklärung ist recht einfach: TLS PSK ist für forward secrecy nicht tauglich, da sich der Schlüssel im Nachhinein noch errechnen und die Nachrichten damit entschlüsseln lassen (vereinfacht ausgedrückt).

vg
Bytecounter
h44656e
h44656e 23.07.2014 um 14:57:02 Uhr
Goto Top
Ok,
Danke für die Antwort.

Da ich das Ganze für eine Projekt - Arbeit brauche wäre es schön, wenn jemand einen Artikel zu dem Thema kennt, der das Problem genauer beschreibt.

Gruß
Denis
h44656e
h44656e 26.07.2014 um 09:56:19 Uhr
Goto Top
Vielleicht kann jemand genau erklären, wieso mal mit den PSK Schlüssel zurück berechnen kann? bezieht es sich auf eine Sitzung, oder kann man bei dem Kompromittierten Server alle zuvor mitgeschnittenen Kommunikationen entschlüsseln? Wird der PSK nicht bei dem Hand Shake per Zufall neu generiert?


Fragen über fragen.

Gruß
Denis
wiesi200
wiesi200 26.07.2014 um 10:12:27 Uhr
Goto Top
Zitat von @h44656e:

Wird der PSK nicht bei dem Hand Shake per Zufall neu generiert?


Hallo, nein. Aber diese Antwort hast du eigentlich schon bekommen.
Dafür benötigt man perfekt Forward security. Und das ist mit dem von dir angesprochenen Verfahren nicht möglich.

http://de.wikipedia.org/wiki/Perfect_Forward_Secrecy
http://de.wikipedia.org/wiki/Diffie-Hellman-Schl%C3%BCsselaustausch
FrageLinuxWebserver
Mehr von h44656eh44656ePassthrough für Grafikkarte unter ESXi 5.5h44656e - 5 Kommentareh44656eDruckerverwaltung im Terminal Server (MS Server 2008 R2)h44656e - 1 Kommentarh44656eSicherheitsfragen in Bezug auf VMware vSphere 5.x Essentialsh44656e - 6 Kommentareh44656eWindows Server 2008 R2 und SBS zeigen sehr seltsames Verhalten bei der Speicherverwaltung (Prefetch).h44656e - 5 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare