Auteur Sujet: Basculer la fibre en https  (Lu 57471 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Invité
Basculer la fibre en https
« Réponse #36 le: 14 juin 2012 à 00:46:44 »
OK, mais pourquoi?

thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)
Basculer la fibre en https
« Réponse #37 le: 14 juin 2012 à 00:56:54 »
Parce qu'on obtient trop facilement une collision avec MD5 ce qui le rends impropre comme fonction servant à garantir l’intégrité d'une session tls ?

seb

  • Pau Broadband Country (64)
  • Abonné SFR fibre FttH
  • *
  • Messages: 515
  • FTTH 1 Gbps sur Pau (64)
Basculer la fibre en https
« Réponse #38 le: 14 juin 2012 à 00:57:09 »
À cause des collisions :
Our attack takes advantage of a weakness in the MD5 cryptographic hash function that allows the construction of different messages with the same MD5 hash. This is known as an MD5 "collision". Previous work on MD5 collisions between 2004 and 2007 showed that the use of this hash function in digital signatures can lead to theoretical attack scenarios. Our current work proves that at least one attack scenario can be exploited in practice, thus exposing the security infrastructure of the web to realistic threats.

corrector

  • Invité
Basculer la fibre en https
« Réponse #39 le: 14 juin 2012 à 01:00:29 »
Parce qu'on obtient trop facilement une collision avec MD5
Certes.

ce qui le rends impropre comme fonction servant à garantir l’intégrité d'une session tls ?
Plait-il?

Pour avoir une collision, il faut contrôler le contenu! Et surtout connaitre la clef!

À cause des collisions :
Our attack takes advantage of a weakness in the MD5 cryptographic hash function that allows the construction of different messages with the same MD5 hash. This is known as an MD5 "collision". Previous work on MD5 collisions between 2004 and 2007 showed that the use of this hash function in digital signatures can lead to theoretical attack scenarios. Our current work proves that at least one attack scenario can be exploited in practice, thus exposing the security infrastructure of the web to realistic threats.
Et?

Je ne vois pas le rapport.

thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)
Basculer la fibre en https
« Réponse #40 le: 14 juin 2012 à 01:07:00 »
N'importe quoi!

Pour avoir une collision, il faut contrôler le contenu!

Et connaitre la clef!

Il faut pouvoir contrôler une partie du contenu.
Ors, justement tu es dans le cas où tu peux modifier les paquets.

De toute façon, c'est une recommandation de l'US-CERT donc appliqué au gouvernement US

edit: Les éditions ne sont pas indiqué par le forum ...
 

corrector

  • Invité
Mac = MD5
« Réponse #41 le: 14 juin 2012 à 01:14:27 »
Il faut pouvoir contrôler le contenu que tu veux altérer.

Bon, comme c'est un forum, tu peux en partie contrôler le contenu! Mais pas trop quand même, sauf dans une image peut-être.

Enfin, il est reconnu qu'il n'y a là aucune vulnérabilité.

thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)
Basculer la fibre en https
« Réponse #42 le: 14 juin 2012 à 01:29:55 »

corrector

  • Invité
TLS_RSA_WITH_RC4_128_MD5
« Réponse #43 le: 14 juin 2012 à 01:32:45 »
Parce qu'on obtient trop facilement une collision avec MD5 ce qui le rends impropre comme fonction servant à garantir l’intégrité d'une session tls ?
C'est bizarre, quand c'est l'outil que tu as toi même proposé qui le mentionne :

https://www.ssllabs.com/ssltest/analyze.html?d=https%3A%2F%2Flafibre.info%2F
Citer
TLS_RSA_WITH_RC4_128_MD5 (0x4)    128
Cet outil ne relève rien d'anormal!

Et tu cites cet outil ne relevant rien d'anormal, ne relevant rien d'anormal.

corrector

  • Invité
Certificat basé sur MD5
« Réponse #44 le: 14 juin 2012 à 01:39:10 »
Cacert est au courant: ils ne signent plus de certificats avec md5 ce qui évite l'attaque rogue CA
Mais oui, il devrait changer le certificat intermédiaire.
Citer
CAcert is currently still using an intermediate CA that was issued with an MD5 based signature 3 years ago.
Donc en 2006 ils ont joyeusement fait un certificat intermédiaire avec une compression MD5? C'est vraiment n'importe quoi.

Les éditeurs de navigateurs, et autres outils, auraient dû interdire ça depuis des années!  >:(

Quelle bande de branleurs!

thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)
Certificat basé sur MD5
« Réponse #45 le: 14 juin 2012 à 01:44:30 »
Pas compression, hashage: md5 n'est pas réversible.
Le projet Rogue CA date de 2008 donc en 2006 il n'y avait que des doutes.
Tient, on disait quoi déjà sur md5 comme fonction de hashage utilisé pour l’intégrité d'une session tls ?


Plus sérieusement, cela fait 3 ans qu'il aurait du révoquer ce certificat intermédiaire.
La racine CACert peut rester en md5 par contre, ce n'est pas important.

corrector

  • Invité
L'agonie de MD5 comme fonction sans collisions
« Réponse #46 le: 14 juin 2012 à 02:39:57 »
Pas compression, hashage: md5 n'est pas réversible.
Si tu préfères. (Le terme compression ne signifie pas inversible.)

Le projet Rogue CA date de 2008 donc en 2006 il n'y avait que des doutes.
"que des doutes", tu plaisantes j'espère!

Déjà en 1993 :
"Collisions for the compression function of MD5", 23 July 1993

En 1996 "il n'y avait que des doutes", mais aussi et surtout de la prudence :
RSA's CryptoBytes - Summer 1996
The Status of MD5 After a Recent Attack
Citer
Conclusions
The presented attack does not yet threaten practical applications of MD5, but it comes rather close. In view of the flexibility of the new analytic techniques it would be unwise to assume that the attack could not be improved.
(...)
Therefore we suggest that in the future MD5 should no longer be implemented in applications like signature schemes, where a collision-resistant hash function is required.
En 2005 des collisions "utiles" sont trouvées :
Colliding X.509 Certificates version 1.0, 1st March 2005
Citer
We announce a method for the construction of pairs of valid X.509 certificates in which the “to
be signed” parts form a collision for the MD5 hash function. As a result the issuer signatures
in the certificates will be the same when the issuer uses MD5 as its hash function.
With this construction we show that MD5 collisions can be crafted easily in such a way that
the principles underlying the trust in Public Key Infrastructure are violated
.
Colliding X.509 Certificates based on MD5-collisions
donc l'idée d'une signature basée sur MD5 était morte et enterrée.

En 2008 ça fait déjà 12 ans que l'usage de MD5 n'est pas recommandé, c'est mort-enterré-bouffé-par-les-vers, au point que la plupart des gens pensaient que ça n'existait plus, et tout ce monde est tombé des nues en apprenant qu'un CA fournissait des certificats MD5. À cette époque quasiment personne ne pense que MD5 est encore en vie quelque part.

Tient, on disait quoi déjà sur md5 comme fonction de hashage utilisé pour l’intégrité d'une session tls ?
Oui?

Plus sérieusement, cela fait 3 ans qu'il aurait du révoquer ce certificat intermédiaire.
Au moins ne plus l'utiliser.

La racine CACert peut rester en md5 par contre, ce n'est pas important.
Bien sûr que c'est important!

Il faut interdire l'usage de MD5-RSA, point final.

Et ça fait plus de dix ans qu'on le sait.
« Modifié: 14 juin 2012 à 07:19:29 par corrector »

vivien

  • Administrateur
  • *
  • Messages: 47 081
    • Twitter LaFibre.info
Basculer la fibre en https
« Réponse #47 le: 14 juin 2012 à 09:34:55 »
Le SSL Report de Qualis SSL Labs relève des anomalies dans la chaine de certificats.
Il faut que ton serveur Apache envoie la chaine complète donc StartCom Certification Authority puis StartCom Class 1 Primary Intermediate Server CA puis le certificat de ton serveur.
Cela implique soit remplir SSLCACertificatePath avec un pem contenant les 2 certificats publiques de la CA soit basculer sur un fichier pem complet (contenant les 3 certificats publique) en utilisant SSLCertificateChainFile.
Merci !

J'avais utilisé le ca.pem livré avec Ubuntu Server.
Depuis l'utilisation de ceux de StartCom, plus de souci avec Firefox sous Windows XP.

Pour améliorer SSL report, tu me conseilles de rajouter les deux lignes suivantes dans le fichier de configuration d'Apache2 ? (j'ai fait clear cache mais la notation est restée identique)
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Aujourd'hui, j'ai :
        SSLEngine on
        SSLProtocol all -SSLv2
        SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM
        SSLCertificateFile /etc/ssl/lafibre.crt
        SSLCertificateKeyFile /etc/ssl/lafibre.key
        SSLCertificateChainFile /etc/ssl/sub.class1.server.ca.pem
        SSLCACertificateFile /etc/ssl/ca.pem
        SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown

J'ai un peu de mal a comprendre les implications des options des lignes
Actuelle : SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM
Proposée : SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH