In message <2c47172354.cms@xxxxxxxxxxxxxxx> Carlos Michael Santillan <ml-archimedes@xxxxxxxxxx> wrote: >> Im RFC 2595 (Using TLS with IMAP, POP3 and ACAP) wird als gemeinsame >> Verschlüsselungsmethode für Server und Client >> TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA vorausgesetzt. > > Hmmm, sslscan gibt das im Anhang aus. Ich habe nur die Infos des > Zertifikats rausgenommen. Du hast damit getestet, welche Schlüsselsätze der Server von T-Online anbietet? Ich habe im Programm gnutls_priority_set_direct (session, "NORMAL:+SRP:+SRP-RSA:+SRP-DSS", &err); angegeben. Aus dem GnuTLS-Handbuch (8.9 - Priority Strings): NORMAL Means all the known to be secure ciphersuites. The ciphers are sorted by security margin, although the 256-bit ciphers are included as a fallback only. The message authenticity security level is of 64 bits or more. SRP steht für "Secure Remote Password" (Authentification). Bei E-Mails ist es so, dass sich der Client stets mit Benutzername + Passwort einloggen (authentifizieren) muss. Das ist geschichtlich bedient, da es damals bei der Erfindung der E-Mail noch keine digitalen Zertifikate gab, soweit ich weiß. RSA und DSS sind in meiner Angabe beide abgeschaltet (-). Das ist doof. Vielleicht sollte ich die probehalber 'mal anschalten. (RSA und DSS (Diffie-Hellmann) werden näher in meiner Bachelorarbeit beschrieben. Es handelt sich im Prinzip um asymmetrische Verschlüsselungsverfahren, die hier zum Austausch von symmetrischen Schlüsseln verwendet werden.) Laut Handbuch kann GnuTLS folgende Schlüsselsätze: TLS_DH_ANON_ARCFOUR_MD5 0x00 0x18 SSL3.0 TLS_DH_ANON_3DES_EDE_CBC_SHA1 0x00 0x1B SSL3.0 TLS_DH_ANON_AES_128_CBC_SHA1 0x00 0x34 SSL3.0 TLS_DH_ANON_AES_256_CBC_SHA1 0x00 0x3A SSL3.0 TLS_DH_ANON_CAMELLIA_128_CBC_SHA1 0x00 0x46 TLS1.0 TLS_DH_ANON_CAMELLIA_256_CBC_SHA1 0x00 0x89 TLS1.0 TLS_DH_ANON_AES_128_CBC_SHA256 0x00 0x6C TLS1.2 TLS_DH_ANON_AES_256_CBC_SHA256 0x00 0x6D TLS1.2 TLS_PSK_SHA_ARCFOUR_SHA1 0x00 0x8A TLS1.0 TLS_PSK_SHA_3DES_EDE_CBC_SHA1 0x00 0x8B TLS1.0 TLS_PSK_SHA_AES_128_CBC_SHA1 0x00 0x8C TLS1.0 TLS_PSK_SHA_AES_256_CBC_SHA1 0x00 0x8D TLS1.0 TLS_PSK_AES_128_CBC_SHA256 0x00 0xAE TLS1.0 TLS_PSK_AES_128_GCM_SHA256 0x00 0xA8 TLS1.2 TLS_PSK_NULL_SHA256 0x00 0xB0 TLS1.0 TLS_DHE_PSK_SHA_ARCFOUR_SHA1 0x00 0x8E TLS1.0 TLS_DHE_PSK_SHA_3DES_EDE_CBC_SHA1 0x00 0x8F TLS1.0 TLS_DHE_PSK_SHA_AES_128_CBC_SHA1 0x00 0x90 TLS1.0 TLS_DHE_PSK_SHA_AES_256_CBC_SHA1 0x00 0x91 TLS1.0 TLS_DHE_PSK_AES_128_CBC_SHA256 0x00 0xB2 TLS1.0 TLS_DHE_PSK_AES_128_GCM_SHA256 0x00 0xAA TLS1.2 TLS_DHE_PSK_NULL_SHA256 0x00 0xB4 TLS1.0 TLS_SRP_SHA_3DES_EDE_CBC_SHA1 0xC0 0x1A TLS1.0 TLS_SRP_SHA_AES_128_CBC_SHA1 0xC0 0x1D TLS1.0 TLS_SRP_SHA_AES_256_CBC_SHA1 0xC0 0x20 TLS1.0 TLS_SRP_SHA_DSS_3DES_EDE_CBC_SHA1 0xC0 0x1C TLS1.0 TLS_SRP_SHA_RSA_3DES_EDE_CBC_SHA1 0xC0 0x1B TLS1.0 TLS_SRP_SHA_DSS_3DES_EDE_CBC_SHA1 0xC0 0x1C TLS1.0 TLS_SRP_SHA_RSA_3DES_EDE_CBC_SHA1 0xC0 0x1B TLS1.0 TLS_SRP_SHA_DSS_AES_128_CBC_SHA1 0xC0 0x1F TLS1.0 TLS_SRP_SHA_RSA_AES_128_CBC_SHA1 0xC0 0x1E TLS1.0 TLS_SRP_SHA_DSS_AES_256_CBC_SHA1 0xC0 0x22 TLS1.0 TLS_SRP_SHA_RSA_AES_256_CBC_SHA1 0xC0 0x21 TLS1.0 TLS_DHE_DSS_ARCFOUR_SHA1 0x00 0x66 TLS1.0 TLS_DHE_DSS_3DES_EDE_CBC_SHA1 0x00 0x13 SSL3.0 TLS_DHE_DSS_AES_128_CBC_SHA1 0x00 0x32 SSL3.0 TLS_DHE_DSS_AES_256_CBC_SHA1 0x00 0x38 SSL3.0 TLS_DHE_DSS_CAMELLIA_128_CBC_SHA1 0x00 0x44 TLS1.0 TLS_DHE_DSS_CAMELLIA_256_CBC_SHA1 0x00 0x87 TLS1.0 TLS_DHE_DSS_AES_128_CBC_SHA256 0x00 0x40 TLS1.2 TLS_DHE_DSS_AES_256_CBC_SHA256 0x00 0x6A TLS1.2 TLS_DHE_RSA_3DES_EDE_CBC_SHA1 0x00 0x16 SSL3.0 TLS_DHE_RSA_AES_128_CBC_SHA1 0x00 0x33 SSL3.0 TLS_DHE_RSA_AES_256_CBC_SHA1 0x00 0x39 SSL3.0 TLS_DHE_RSA_CAMELLIA_128_CBC_SHA1 0x00 0x45 TLS1.0 TLS_DHE_RSA_CAMELLIA_256_CBC_SHA1 0x00 0x88 TLS1.0 TLS_DHE_RSA_AES_128_CBC_SHA256 0x00 0x67 TLS1.2 TLS_DHE_RSA_AES_256_CBC_SHA256 0x00 0x6B TLS1.2 TLS_RSA_NULL_MD5 0x00 0x01 SSL3.0 TLS_RSA_NULL_SHA1 0x00 0x02 SSL3.0 TLS_RSA_NULL_SHA256 0x00 0x3B TLS1.2 TLS_RSA_EXPORT_ARCFOUR_40_MD5 0x00 0x03 SSL3.0 TLS_RSA_ARCFOUR_SHA1 0x00 0x05 SSL3.0 TLS_RSA_ARCFOUR_MD5 0x00 0x04 SSL3.0 TLS_RSA_3DES_EDE_CBC_SHA1 0x00 0x0A SSL3.0 TLS_RSA_AES_128_CBC_SHA1 0x00 0x2F SSL3.0 TLS_RSA_AES_256_CBC_SHA1 0x00 0x35 SSL3.0 TLS_RSA_CAMELLIA_128_CBC_SHA1 0x00 0x41 TLS1.0 TLS_RSA_CAMELLIA_256_CBC_SHA1 0x00 0x84 TLS1.0 TLS_RSA_AES_128_CBC_SHA256 0x00 0x3C TLS1.2 TLS_RSA_AES_256_CBC_SHA256 0x00 0x3D TLS1.2 TLS_RSA_AES_128_GCM_SHA256 0x00 0x9C TLS1.2 TLS_DHE_RSA_AES_128_GCM_SHA256 0x00 0x9E TLS1.2 TLS_DHE_DSS_AES_128_GCM_SHA256 0x00 0xA2 TLS1.2 TLS_DHE_RSA_AES_128_GCM_SHA256 0x00 0x9E TLS1.2 TLS_DHE_DSS_AES_128_GCM_SHA256 0x00 0xA2 TLS1.2 TLS_DH_ANON_AES_128_GCM_SHA256 0x00 0xA6 TLS1.2 TLS_ECDH_ANON_NULL_SHA1 0xC0 0x15 TLS1.0 TLS_ECDH_ANON_3DES_EDE_CBC_SHA1 0xC0 0x17 TLS1.0 TLS_ECDH_ANON_AES_128_CBC_SHA1 0xC0 0x18 TLS1.0 TLS_ECDH_ANON_AES_256_CBC_SHA1 0xC0 0x19 TLS1.0 TLS_ECDHE_RSA_NULL_SHA1 0xC0 0x10 TLS1.0 TLS_ECDHE_RSA_3DES_EDE_CBC_SHA1 0xC0 0x12 TLS1.0 TLS_ECDHE_RSA_AES_128_CBC_SHA1 0xC0 0x13 TLS1.0 TLS_ECDHE_RSA_AES_256_CBC_SHA1 0xC0 0x14 TLS1.0 TLS_ECDHE_ECDSA_NULL_SHA1 0xC0 0x06 TLS1.0 TLS_ECDHE_ECDSA_3DES_EDE_CBC_SHA1 0xC0 0x08 TLS1.0 TLS_ECDHE_ECDSA_AES_128_CBC_SHA1 0xC0 0x09 TLS1.0 TLS_ECDHE_ECDSA_AES_256_CBC_SHA1 0xC0 0x0A TLS1.0 TLS_ECDHE_ECDSA_AES_128_CBC_SHA256 0xC0 0x23 TLS1.2 TLS_ECDHE_RSA_AES_128_CBC_SHA256 0xC0 0x27 TLS1.2 TLS_ECDHE_ECDSA_AES_128_GCM_SHA256 0xC0 0x2B TLS1.2 TLS_ECDHE_RSA_AES_128_GCM_SHA256 0xC0 0x2F TLS1.2 TLS_ECDHE_PSK_3DES_EDE_CBC_SHA1 0xC0 0x34 TLS1.0 TLS_ECDHE_PSK_AES_128_CBC_SHA1 0xC0 0x35 TLS1.0 TLS_ECDHE_PSK_AES_256_CBC_SHA1 0xC0 0x36 TLS1.0 TLS_ECDHE_PSK_AES_128_CBC_SHA256 0xC0 0x37 TLS1.0 TLS_ECDHE_PSK_AES_256_CBC_SHA384 0xC0 0x38 TLS1.0 TLS_ECDHE_PSK_NULL_SHA256 0xC0 0x3A TLS1.0 TLS_ECDHE_PSK_NULL_SHA384 0xC0 0x3B TLS1.0 TLS_ECDHE_ECDSA_AES_256_GCM_SHA384 0xC0 0x2C TLS1.2 TLS_ECDHE_RSA_AES_256_GCM_SHA384 0xC0 0x30 TLS1.2 TLS_ECDHE_ECDSA_AES_256_CBC_SHA384 0xC0 0x24 TLS1.2 TLS_PSK_WITH_AES_256_GCM_SHA384 0x00 0xA9 TLS1.2 TLS_DHE_PSK_WITH_AES_256_GCM_SHA384 0x00 0xAB TLS1.2 Was da verhandelt wird bzw. in der Log-Datei aufgezeichnet wird (bei mir AES-128-CBC) verstehe ich momentan nicht. Kann aber mit der Angabe -DSS bzw. -RSA zu tun haben. Und, ja, es gibt bei GnuTLS etliche Möglichkeiten, auf den zu verwendenden Schlüsselsatz Einfluss zu nehmen. Ich hab's bisher nur nie ausprobiert bzw. mich bisher nicht näher damit beschäftigt, weil ich schon froh genug war, dass das Programm überhaupt irgendwie ging. A. -- http://home.chiemgau-net.de/ausserstorfer/ Sent wirelessly from RISC OS per LTE