Nasıl ssl şifreleri kıvırmak biçimine dönüştürmek için?

12

Resmi SSL dokümanlar bukle aldığından daha farklı bir biçimde şifrelere sıralar. Örneğin, curl TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA şifresini kullanmak istersem, geçmem gerekiyor curl --ciphers ecdhe_rsa_3des_sha. Bazı eşlemelerin ne olduğunu biliyorum, ama hepsi değil - örneğin, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 şifresini kullanmak için kıvırmak için ne yapmam gerekiyor?

SSL dokümanlarındaki şifre adlarının buklenin kabul ettiği şifre adlarıyla nasıl eşleştiğini gösteren bir belge bulabileceğim bir yer var mı?

Düzenleme: Sonunda benim kıvrım OpenSSL değil, NSS tarafından desteklendi keşfetti ve sorun özellikle NSS destekli kıvırmak kullanma hakkında iyi bir belge yok, çünkü OpenSSL aynı şifreyi kullanmak için farklı bir argüman gerektirir çünkü. Benim sorum NSS'ye özgü.

— Benubird
kaynak

17

Şifrenin adı ile kıvrımın argüman olarak beklediği ad arasındaki tüm dönüşümleri kapsayan hiçbir belge yoktur.

Neyse ki, bukle açık kaynak olduğunu ve haritalama olduğu mevcut kaynak kodu .

Gelecekteki araştırmacıların yararı için, burada daha düzgün bir şekilde yeniden üretiyorum:

SSL2 şifre paketleri

<argument>                 <name>
rc4                        SSL_EN_RC4_128_WITH_MD5
rc4-md5                    SSL_EN_RC4_128_WITH_MD5
rc4export                  SSL_EN_RC4_128_EXPORT40_WITH_MD5
rc2                        SSL_EN_RC2_128_CBC_WITH_MD5
rc2export                  SSL_EN_RC2_128_CBC_EXPORT40_WITH_MD5
des                        SSL_EN_DES_64_CBC_WITH_MD5
desede3                    SSL_EN_DES_192_EDE3_CBC_WITH_MD5

SSL3 / TLS şifre paketleri

<argument>                 <name>
rsa_rc4_128_md5            SSL_RSA_WITH_RC4_128_MD5
rsa_rc4_128_sha            SSL_RSA_WITH_RC4_128_SHA
rsa_3des_sha               SSL_RSA_WITH_3DES_EDE_CBC_SHA
rsa_des_sha                SSL_RSA_WITH_DES_CBC_SHA
rsa_rc4_40_md5             SSL_RSA_EXPORT_WITH_RC4_40_MD5
rsa_rc2_40_md5             SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
rsa_null_md5               SSL_RSA_WITH_NULL_MD5
rsa_null_sha               SSL_RSA_WITH_NULL_SHA
fips_3des_sha              SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA
fips_des_sha               SSL_RSA_FIPS_WITH_DES_CBC_SHA
fortezza                   SSL_FORTEZZA_DMS_WITH_FORTEZZA_CBC_SHA
fortezza_rc4_128_sha       SSL_FORTEZZA_DMS_WITH_RC4_128_SHA
fortezza_null              SSL_FORTEZZA_DMS_WITH_NULL_SHA

TLS 1.0: Dışa aktarılabilir 56 bit Şifreleme Paketleri.

<argument>                 <name>
rsa_des_56_sha             TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
rsa_rc4_56_sha             TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

AES şifreleri.

<argument>                 <name>
dhe_dss_aes_128_cbc_sha    TLS_DHE_DSS_WITH_AES_128_CBC_SHA
dhe_dss_aes_256_cbc_sha    TLS_DHE_DSS_WITH_AES_256_CBC_SHA
dhe_rsa_aes_128_cbc_sha    TLS_DHE_RSA_WITH_AES_128_CBC_SHA
dhe_rsa_aes_256_cbc_sha    TLS_DHE_RSA_WITH_AES_256_CBC_SHA
rsa_aes_128_sha            TLS_RSA_WITH_AES_128_CBC_SHA
rsa_aes_256_sha            TLS_RSA_WITH_AES_256_CBC_SHA

ECC şifreleri.

<argument>                 <name>
ecdh_ecdsa_null_sha        TLS_ECDH_ECDSA_WITH_NULL_SHA
ecdh_ecdsa_rc4_128_sha     TLS_ECDH_ECDSA_WITH_RC4_128_SHA
ecdh_ecdsa_3des_sha        TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
ecdh_ecdsa_aes_128_sha     TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
ecdh_ecdsa_aes_256_sha     TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
ecdhe_ecdsa_null_sha       TLS_ECDHE_ECDSA_WITH_NULL_SHA
ecdhe_ecdsa_rc4_128_sha    TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
ecdhe_ecdsa_3des_sha       TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
ecdhe_ecdsa_aes_128_sha    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
ecdhe_ecdsa_aes_256_sha    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
ecdh_rsa_null_sha          TLS_ECDH_RSA_WITH_NULL_SHA
ecdh_rsa_128_sha           TLS_ECDH_RSA_WITH_RC4_128_SHA
ecdh_rsa_3des_sha          TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
ecdh_rsa_aes_128_sha       TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
ecdh_rsa_aes_256_sha       TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
echde_rsa_null             TLS_ECDHE_RSA_WITH_NULL_SHA
ecdhe_rsa_rc4_128_sha      TLS_ECDHE_RSA_WITH_RC4_128_SHA
ecdhe_rsa_3des_sha         TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
ecdhe_rsa_aes_128_sha      TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ecdhe_rsa_aes_256_sha      TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ecdh_anon_null_sha         TLS_ECDH_anon_WITH_NULL_SHA
ecdh_anon_rc4_128sha       TLS_ECDH_anon_WITH_RC4_128_SHA
ecdh_anon_3des_sha         TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA
ecdh_anon_aes_128_sha      TLS_ECDH_anon_WITH_AES_128_CBC_SHA
ecdh_anon_aes_256_sha      TLS_ECDH_anon_WITH_AES_256_CBC_SHA

RFC'de belirtilen yeni HMAC-SHA256 şifre paketleri

<argument>                 <name>
rsa_null_sha_256                TLS_RSA_WITH_NULL_SHA256
rsa_aes_128_cbc_sha_256         TLS_RSA_WITH_AES_128_CBC_SHA256
rsa_aes_256_cbc_sha_256         TLS_RSA_WITH_AES_256_CBC_SHA256
dhe_rsa_aes_128_cbc_sha_256     TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
dhe_rsa_aes_256_cbc_sha_256     TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
ecdhe_ecdsa_aes_128_cbc_sha_256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
ecdhe_rsa_aes_128_cbc_sha_256   TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

RFC 5288 ve RFC 5289'da AES GCM şifre takımları

<argument>                 <name>
rsa_aes_128_gcm_sha_256         TLS_RSA_WITH_AES_128_GCM_SHA256
dhe_rsa_aes_128_gcm_sha_256     TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
dhe_dss_aes_128_gcm_sha_256     TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
ecdhe_ecdsa_aes_128_gcm_sha_256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
ecdh_ecdsa_aes_128_gcm_sha_256  TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
ecdhe_rsa_aes_128_gcm_sha_256   TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ecdh_rsa_aes_128_gcm_sha_256    TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

Bu yüzden şifreyi kullanmak istiyorsanız TLS_DHE_RSA_WITH_AES_128_CBC_SHA, komut şöyle olacaktır:

curl --ciphers dhe_rsa_aes_128_cbc_sha <url>

Birden çok şifre belirtmek için listeyi virgülle ayırın. Bu yüzden şifreyi TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256de kullanmak istiyorsanız , komut şöyle olacaktır:

curl --ciphers dhe_rsa_aes_128_cbc_sha,ecdh_rsa_aes_128_gcm_sha_256 <url>

Curl'un kullandığı şifrelerin bir listesini görüntülemek için harici bir hizmete ihtiyacınız olacak - şöyle:

curl --ciphers ecdhe_rsa_aes_256_sha https://www.howsmyssl.com/a/check

Her ne kadar NB, bu hizmet tüm şifreleri kabul etmiyorsa, yani kullanılmayan tek bir şifreyle bağlantıyı kısıtlıyorsanız, yanıt yerine "Eş ile güvenli iletişim kurulamıyor: ortak şifreleme algoritması yok" hatası alırsınız.

— Benubird
kaynak

Harika cevap, teşekkür ederim! Ben sadece birden fazla şifreyi belirtmek için küçük bir düzenleme önerdim

— Dallin

2

Yok curl format. Bukle tarafından kullanılan şifrelerin biçimi, en azından NSS, GnuTLS, SecureTransport, SChannel, OpenSSL olabilen arka uca bağlıdır.

Ama görünüşe göre OpenSSL sözdizimini istiyorsun. Bu durumda , şifre adları arasında çeviri için https://www.openssl.org/docs/apps/ciphers.html#CIPHER-SUITE-NAMES adresine bakın .

— Steffen Ullrich
kaynak

Hayır, NSS'leri arıyorum, ancak NSS için resmi belgelerin tam listesi yok.

— Benubird

0

"Başarısız ayar şifre listesi" hatası alıyorsanız.

Resmi belgeyi buradan kontrol edin

Arka uç güvenlik kitaplığınız için doğru adı seçtiğinizden emin olun. Curl bağımlı kütüphaneyi

curl --version
curl 7.51.0 (x86_64-apple-darwin16.0.0) libcurl/7.51.0 OpenSSL/1.0.2n zlib/1.2.8 nghttp2/1.16.0

— Ji Fang
kaynak