[archimedes] Re: Messenger und SSL/TSL

  • From: Alexander Ausserstorfer <bavariasound@xxxxxxxxxxxxxxx>
  • To: archimedes@xxxxxxxxxxxxx
  • Date: Tue, 08 Jul 2014 17:29:19 +0200

In message <2c47172354.cms@xxxxxxxxxxxxxxx>
          Carlos Michael Santillan <ml-archimedes@xxxxxxxxxx> wrote:

>> Im RFC 2595 (Using TLS with IMAP, POP3 and ACAP) wird als gemeinsame
>> Verschlüsselungsmethode für Server und Client
>> TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA vorausgesetzt.
>
> Hmmm, sslscan gibt das im Anhang aus. Ich habe nur die Infos des
> Zertifikats rausgenommen.

Du hast damit getestet, welche Schlüsselsätze der Server von T-Online
anbietet?

Ich habe im Programm

gnutls_priority_set_direct (session, "NORMAL:+SRP:+SRP-RSA:+SRP-DSS", &err);

angegeben.

Aus dem GnuTLS-Handbuch (8.9 - Priority Strings):

NORMAL         Means all the known to be secure ciphersuites.
               The ciphers are sorted by security margin,
               although the 256-bit ciphers are included as a
               fallback only.  The message authenticity security
               level is of 64 bits or more.

SRP steht für "Secure Remote Password" (Authentification). Bei E-Mails
ist es so, dass sich der Client stets mit Benutzername + Passwort
einloggen (authentifizieren) muss. Das ist geschichtlich bedient, da
es damals bei der Erfindung der E-Mail noch keine digitalen Zertifikate
gab, soweit ich weiß.

RSA und DSS sind in meiner Angabe beide abgeschaltet (-). Das ist doof.
Vielleicht sollte ich die probehalber 'mal anschalten.

(RSA und DSS (Diffie-Hellmann) werden näher in meiner Bachelorarbeit
beschrieben. Es handelt sich im Prinzip um asymmetrische
Verschlüsselungsverfahren, die hier zum Austausch von symmetrischen
Schlüsseln verwendet werden.)

Laut Handbuch kann GnuTLS folgende Schlüsselsätze:

TLS_DH_ANON_ARCFOUR_MD5                     0x00 0x18      SSL3.0
TLS_DH_ANON_3DES_EDE_CBC_SHA1               0x00 0x1B      SSL3.0
TLS_DH_ANON_AES_128_CBC_SHA1                0x00 0x34      SSL3.0
TLS_DH_ANON_AES_256_CBC_SHA1                0x00 0x3A      SSL3.0
TLS_DH_ANON_CAMELLIA_128_CBC_SHA1           0x00 0x46      TLS1.0
TLS_DH_ANON_CAMELLIA_256_CBC_SHA1           0x00 0x89      TLS1.0
TLS_DH_ANON_AES_128_CBC_SHA256              0x00 0x6C      TLS1.2
TLS_DH_ANON_AES_256_CBC_SHA256              0x00 0x6D      TLS1.2
TLS_PSK_SHA_ARCFOUR_SHA1                    0x00 0x8A      TLS1.0
TLS_PSK_SHA_3DES_EDE_CBC_SHA1               0x00 0x8B      TLS1.0
TLS_PSK_SHA_AES_128_CBC_SHA1                0x00 0x8C      TLS1.0
TLS_PSK_SHA_AES_256_CBC_SHA1                0x00 0x8D      TLS1.0
TLS_PSK_AES_128_CBC_SHA256                  0x00 0xAE      TLS1.0
TLS_PSK_AES_128_GCM_SHA256                  0x00 0xA8      TLS1.2
TLS_PSK_NULL_SHA256                         0x00 0xB0      TLS1.0
TLS_DHE_PSK_SHA_ARCFOUR_SHA1                0x00 0x8E      TLS1.0
TLS_DHE_PSK_SHA_3DES_EDE_CBC_SHA1           0x00 0x8F      TLS1.0
TLS_DHE_PSK_SHA_AES_128_CBC_SHA1            0x00 0x90      TLS1.0
TLS_DHE_PSK_SHA_AES_256_CBC_SHA1            0x00 0x91      TLS1.0
TLS_DHE_PSK_AES_128_CBC_SHA256              0x00 0xB2      TLS1.0
TLS_DHE_PSK_AES_128_GCM_SHA256              0x00 0xAA      TLS1.2
TLS_DHE_PSK_NULL_SHA256                     0x00 0xB4      TLS1.0
TLS_SRP_SHA_3DES_EDE_CBC_SHA1               0xC0 0x1A      TLS1.0
TLS_SRP_SHA_AES_128_CBC_SHA1                0xC0 0x1D      TLS1.0
TLS_SRP_SHA_AES_256_CBC_SHA1                0xC0 0x20      TLS1.0
TLS_SRP_SHA_DSS_3DES_EDE_CBC_SHA1           0xC0 0x1C      TLS1.0
TLS_SRP_SHA_RSA_3DES_EDE_CBC_SHA1           0xC0 0x1B      TLS1.0
TLS_SRP_SHA_DSS_3DES_EDE_CBC_SHA1           0xC0 0x1C      TLS1.0
TLS_SRP_SHA_RSA_3DES_EDE_CBC_SHA1           0xC0 0x1B      TLS1.0
TLS_SRP_SHA_DSS_AES_128_CBC_SHA1            0xC0 0x1F      TLS1.0
TLS_SRP_SHA_RSA_AES_128_CBC_SHA1            0xC0 0x1E      TLS1.0
TLS_SRP_SHA_DSS_AES_256_CBC_SHA1            0xC0 0x22      TLS1.0
TLS_SRP_SHA_RSA_AES_256_CBC_SHA1            0xC0 0x21      TLS1.0
TLS_DHE_DSS_ARCFOUR_SHA1                    0x00 0x66      TLS1.0
TLS_DHE_DSS_3DES_EDE_CBC_SHA1               0x00 0x13      SSL3.0
TLS_DHE_DSS_AES_128_CBC_SHA1                0x00 0x32      SSL3.0
TLS_DHE_DSS_AES_256_CBC_SHA1                0x00 0x38      SSL3.0
TLS_DHE_DSS_CAMELLIA_128_CBC_SHA1           0x00 0x44      TLS1.0
TLS_DHE_DSS_CAMELLIA_256_CBC_SHA1           0x00 0x87      TLS1.0
TLS_DHE_DSS_AES_128_CBC_SHA256              0x00 0x40      TLS1.2
TLS_DHE_DSS_AES_256_CBC_SHA256              0x00 0x6A      TLS1.2
TLS_DHE_RSA_3DES_EDE_CBC_SHA1               0x00 0x16      SSL3.0
TLS_DHE_RSA_AES_128_CBC_SHA1                0x00 0x33      SSL3.0
TLS_DHE_RSA_AES_256_CBC_SHA1                0x00 0x39      SSL3.0
TLS_DHE_RSA_CAMELLIA_128_CBC_SHA1           0x00 0x45      TLS1.0
TLS_DHE_RSA_CAMELLIA_256_CBC_SHA1           0x00 0x88      TLS1.0
TLS_DHE_RSA_AES_128_CBC_SHA256              0x00 0x67      TLS1.2
TLS_DHE_RSA_AES_256_CBC_SHA256              0x00 0x6B      TLS1.2
TLS_RSA_NULL_MD5                            0x00 0x01      SSL3.0
TLS_RSA_NULL_SHA1                           0x00 0x02      SSL3.0
TLS_RSA_NULL_SHA256                         0x00 0x3B      TLS1.2
TLS_RSA_EXPORT_ARCFOUR_40_MD5               0x00 0x03      SSL3.0
TLS_RSA_ARCFOUR_SHA1                        0x00 0x05      SSL3.0
TLS_RSA_ARCFOUR_MD5                         0x00 0x04      SSL3.0
TLS_RSA_3DES_EDE_CBC_SHA1                   0x00 0x0A      SSL3.0
TLS_RSA_AES_128_CBC_SHA1                    0x00 0x2F      SSL3.0
TLS_RSA_AES_256_CBC_SHA1                    0x00 0x35      SSL3.0
TLS_RSA_CAMELLIA_128_CBC_SHA1               0x00 0x41      TLS1.0
TLS_RSA_CAMELLIA_256_CBC_SHA1               0x00 0x84      TLS1.0
TLS_RSA_AES_128_CBC_SHA256                  0x00 0x3C      TLS1.2
TLS_RSA_AES_256_CBC_SHA256                  0x00 0x3D      TLS1.2
TLS_RSA_AES_128_GCM_SHA256                  0x00 0x9C      TLS1.2
TLS_DHE_RSA_AES_128_GCM_SHA256              0x00 0x9E      TLS1.2
TLS_DHE_DSS_AES_128_GCM_SHA256              0x00 0xA2      TLS1.2
TLS_DHE_RSA_AES_128_GCM_SHA256              0x00 0x9E      TLS1.2
TLS_DHE_DSS_AES_128_GCM_SHA256              0x00 0xA2      TLS1.2
TLS_DH_ANON_AES_128_GCM_SHA256              0x00 0xA6      TLS1.2
TLS_ECDH_ANON_NULL_SHA1                     0xC0 0x15      TLS1.0
TLS_ECDH_ANON_3DES_EDE_CBC_SHA1             0xC0 0x17      TLS1.0
TLS_ECDH_ANON_AES_128_CBC_SHA1              0xC0 0x18      TLS1.0
TLS_ECDH_ANON_AES_256_CBC_SHA1              0xC0 0x19      TLS1.0
TLS_ECDHE_RSA_NULL_SHA1                     0xC0 0x10      TLS1.0
TLS_ECDHE_RSA_3DES_EDE_CBC_SHA1             0xC0 0x12      TLS1.0
TLS_ECDHE_RSA_AES_128_CBC_SHA1              0xC0 0x13      TLS1.0
TLS_ECDHE_RSA_AES_256_CBC_SHA1              0xC0 0x14      TLS1.0
TLS_ECDHE_ECDSA_NULL_SHA1                   0xC0 0x06      TLS1.0
TLS_ECDHE_ECDSA_3DES_EDE_CBC_SHA1           0xC0 0x08      TLS1.0
TLS_ECDHE_ECDSA_AES_128_CBC_SHA1            0xC0 0x09      TLS1.0
TLS_ECDHE_ECDSA_AES_256_CBC_SHA1            0xC0 0x0A      TLS1.0
TLS_ECDHE_ECDSA_AES_128_CBC_SHA256          0xC0 0x23      TLS1.2
TLS_ECDHE_RSA_AES_128_CBC_SHA256            0xC0 0x27      TLS1.2
TLS_ECDHE_ECDSA_AES_128_GCM_SHA256          0xC0 0x2B      TLS1.2
TLS_ECDHE_RSA_AES_128_GCM_SHA256            0xC0 0x2F      TLS1.2
TLS_ECDHE_PSK_3DES_EDE_CBC_SHA1             0xC0 0x34      TLS1.0
TLS_ECDHE_PSK_AES_128_CBC_SHA1              0xC0 0x35      TLS1.0
TLS_ECDHE_PSK_AES_256_CBC_SHA1              0xC0 0x36      TLS1.0
TLS_ECDHE_PSK_AES_128_CBC_SHA256            0xC0 0x37      TLS1.0
TLS_ECDHE_PSK_AES_256_CBC_SHA384            0xC0 0x38      TLS1.0
TLS_ECDHE_PSK_NULL_SHA256                   0xC0 0x3A      TLS1.0
TLS_ECDHE_PSK_NULL_SHA384                   0xC0 0x3B      TLS1.0
TLS_ECDHE_ECDSA_AES_256_GCM_SHA384          0xC0 0x2C      TLS1.2
TLS_ECDHE_RSA_AES_256_GCM_SHA384            0xC0 0x30      TLS1.2
TLS_ECDHE_ECDSA_AES_256_CBC_SHA384          0xC0 0x24      TLS1.2
TLS_PSK_WITH_AES_256_GCM_SHA384             0x00 0xA9      TLS1.2
TLS_DHE_PSK_WITH_AES_256_GCM_SHA384         0x00 0xAB      TLS1.2

Was da verhandelt wird bzw. in der Log-Datei aufgezeichnet wird (bei mir
AES-128-CBC) verstehe ich momentan nicht. Kann aber mit der Angabe -DSS
bzw. -RSA zu tun haben.

Und, ja, es gibt bei GnuTLS etliche Möglichkeiten, auf den zu
verwendenden Schlüsselsatz Einfluss zu nehmen. Ich hab's bisher nur nie
ausprobiert bzw. mich bisher nicht näher damit beschäftigt, weil ich
schon froh genug war, dass das Programm überhaupt irgendwie ging.

A.

-- 
http://home.chiemgau-net.de/ausserstorfer/
Sent wirelessly from RISC OS per LTE


Other related posts: