JBossの暗号化スイートと弱い暗号化を無効にする

JBossの暗号化スイートと弱い暗号化を無効にする

当社のセキュリティ監査レポートによれば、多数のJBoss EAP 5.0サーバー(RHEL 6.x)には脆弱なパスワードが有効になっていることがわかりました。少し調査の最後にファイルを見つけました.jarhttps://access.redhat.com/solutions/18405) は、サーバー上で実行されているときにデフォルトおよびサポートされている暗号スイートをリストします。ファイルを実行し.jar、デフォルトのパスワードスイートセクションで次の出力を取得します。

DefaultCipherSuites:

SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA 
SSL_RSA_WITH_3DES_EDE_CBC_SHA 
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_EMPTY_RENEGOTIATION_INFO_SCSV

私が知る限り、脆弱なパスワードは、キーの長さが128ビット未満のパスワードです。上記のすべてのパスワードのうち:

  • 名前に「128」を含むパスワードは、キー長が128のパスワードを表します。
  • 「256」を含めると、256ビット暗号化が提供されます。
  • 「DES」を持つキーは、56ビット暗号化DESキーです。
  • 「RC4_40」は40ビット暗号化を表します。
  • 「DES40」は40ビット暗号化を意味します。
  • 「3DES」は、128/192鍵暗号化を有する三重DESを意味する。

server.xml特定の暗号スイートのみを有効にするようにSSL / TLSコネクタブロックを編集する方法を知っています。

今私の質問は次のとおりです。

  1. パスワード名とサポートされるビット長の関係を正しく理解していますか?

  2. 私の質問#1に対する答えが「はい」の場合、「すべての弱いパスワードを無効にする」は、名前にDES、RC4_40、およびDES40を含むすべてのパスワードを削除/無効にすることを意味しますか?

  3. TLS_EMPTY_RENEGOTIATION_INFO_SCSVのキー長はどれくらいですか?

関連情報