TLS_RSA_WITH_3DES_EDE_CBC_SHAは112ビットとして報告されます

Question

私はこの分野の専門家ではありませんが、少し調べた結果、解決策についてあまり確信が持てません。

サーバーでペントレーションテストを行っている外部ベンダーから、112ビットが有効になっているTLS_RSA_WITH_3DES_EDE_CBC_SHAがあることが報告され、脅威として報告されました。そのような暗号は Microsoftサイト（Windowsサーバー2008の場合）から無効にできることを読みましたが、これはフォーラムの意味についてもう少し読んだ後=脆弱性のため、168からのダウングレードであることがわかります。

エキス：

私は暗号オタクではありませんが、この説明を正しく読んだ場合、その特定の暗号の効果的なセキュリティは112ビットですが、暗号化が3 56ビットキーを使用して達成されている場合（3 X 56 = 168）

回答：

「3TDEAが56×3 = 168ビットの強度を提供することを期待するかもしれません。しかし、112ビットのキーを使い果たすことに関与する作業の強度を減らす3TDEAへの攻撃があります。」

SSLLabsがこの暗号を完全に評価していることを確認できます。これは、脆弱性が原因であると私が推測している168ではありません。

この forum エントリには、OpenSSLに関連していると記載されています

更新として、OpenSSLコードベースの6月20日のスナップショットの時点で、3DES暗号スイートの報告された強度は168ではなく112ビットになりました。

OK。これが正しい場合、このダウングレードはOpenSSLで発行された証明書にのみ適用できますか？ 112へのダウングレードの原因となっている正確な脆弱性はわかりません。

いずれにせよ、これを無効にする実際のアプローチは何ですか。次のサブキーの下にレジストリキー（有効= 0x0）を設定する必要がありますか？

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\ Triple DES 112/112

または：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\ Triple DES 168/168

または両方、または何か他に？

これらのサーバーに対する権限がないため、自分で変更を適用することはできませんが、変更を行う人に指示する必要があります。

Maarten Bodewes · Accepted Answer

192ビットのトリプルDES鍵には約112ビットのセキュリティしかなく、128ビットのトリプルDES鍵には112ビット未満さえあるため、すべてのトリプルDES暗号を無効にする必要があります。セキュリティ、最高の攻撃では約80ビット。さらに、トリプルDESは64ビットのブロックサイズしか持たないため、セキュリティにも悪影響を及ぼします。

パリティビット（192ビット）などのオーバーヘッド、キーに使用されるビット（168ビット）、キーの目的のセキュリティ（112ビット）、および攻撃が可能な場合の実際のセキュリティなど、メモリ内のキーサイズには違いがあります。暗号（まだ112ビット）。括弧内の数字は、トリプルDESキー（DES ABC）の数値です。二重DESキーの場合、128ビット/ 112ビット/ 112ビットおよび80ビットになります。

AES 128の実際のセキュリティは126ビットを超えています（128ビットがエンコードされ、128ビットが実際で、126ビットがセキュリティです）。また、3DESよりもはるかに高速で広くサポートされているため、クライアントが失敗することが確実でない限り、3DESを完全に無効にすることをお勧めします。

一般に、128ビット以上のセキュリティを試す必要があります。

ノート：

tLSで使用される対称暗号の強度は、使用される証明書とは関係ありません。
112ビットのセキュリティは DESが設計されたときにすでに知られていたミートインザミドルアタックによるものです。したがって、112ビットは意図された強さです3つのキー3DES。

CBHacking · Answer

Maartenの答えはすばらしいですが、少し拡張するために、 Meet-in-the-middle攻撃について読むことをお勧めします。考え方は、2つの異なるキーを使用して反対方向に同じ操作を実行することからなる暗号を使用している場合、両方向からキースペースを効率的に一度に検索して結果を格納できることです（可能なすべてのキー値を格納するために十分なスペースが必要です））と一致を探します。これにより、検索時間が大幅に短縮されます（ただし、検索を実行するために必要なメモリ容量が大幅に増加します）。

3DESの両方の形式（ABAとABC）は、この「1つのキーが一方向に進み、別のキーが別の方向に進む」というアプローチを使用します。 3番目のパスは、最初のキーを繰り返し使用した場合でも（ABAモード）、ある程度の保護を提供します。 3番目のパスがないと、サイズが2 ^ 56のルックアップテーブルを持つ攻撃者は、2 ^ 57操作（最悪の場合、可能な両方向のキー）で「double-DES」を解読できます。これは、単一の解読の2倍の操作です。 -DES（現在、専用ハードウェアの約1日の作業で可能）。ただし、このABAスキームは当初の予想よりも弱いことがわかっています。 ABCモードでは、私たちの知る限り、DESキーの2倍の有効な完全な強度が維持されます（ただし、3つのDESキーが必要です）。

また、112ビット、または80ビットでも非常に大きな検索スペースであることに注意してください（そして、56ビットは大量のメモリの地獄です。それを保持するには、今日の何千ものハードディスクが必要です）。 128ビットの最小有効強度を持つ暗号に移行することは間違いなく良いことですが、特に長期間にわたって安全を維持したい場合は、今日の世界に存在するエンティティはほとんどありません（多分NSAとその同類）は、80ビットの暗号を妥当な時間で解読でき、112 *の暗号を解読できるものはありません（約40億倍も困難です）。

*私たちの知る限り、少なくとも...