IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Java Discussion :

Weak cipher suites


Sujet :

Sécurité Java

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. 24/11/2009, 12h16 #1
    metalcoyote
    metalcoyote est déconnecté
    Membre confirmé
    Profil pro
    Développeur Java
    Inscrit en
    Octobre 2004
    Messages
    201
    Détails du profil
    Informations personnelles :
    Âge : 43
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Octobre 2004
    Messages : 201
    Par défaut Weak cipher suites
    Bonjour,

    J'ai cree un client/server avec encryption SSL utilisant des SSLServerSocket.

    Voila la creation server par ex.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
     
KeyManagerFactory kmf;
			KeyManager[] km;
			KeyStore ks;
			TrustManagerFactory tmf;
			TrustManager[] tm;
			SSLContext sslc;
			ks = KeyStore.getInstance("JKS");
			ks.load(Values.class.getResourceAsStream("ServerKeystore"),"password".toCharArray());
			kmf = KeyManagerFactory.getInstance("sunx509");
			kmf.init(ks, "password".toCharArray());
			km = kmf.getKeyManagers();
			tmf = TrustManagerFactory.getInstance("sunx509");
			tmf.init(ks);
			tm = tmf.getTrustManagers();
			sslc = SSLContext.getInstance("TLS");
			sslc.init(km, tm, null);
			SSLServerSocketFactory ssf = sslc.getServerSocketFactory();
			return (SSLServerSocket) ssf.createServerSocket(port);
    Les keystores sont crees avec keytool.
    Voici les cipher suites que j'obtiens de ma socket:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
     
------enabled-----------
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
------supported-----------
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
SSL_RSA_WITH_NULL_MD5
SSL_RSA_WITH_NULL_SHA
SSL_DH_anon_WITH_RC4_128_MD5
TLS_DH_anon_WITH_AES_128_CBC_SHA
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
SSL_DH_anon_WITH_DES_CBC_SHA
SSL_DH_anon_EXPORT_WITH_RC4_40_MD5
SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA
TLS_KRB5_WITH_RC4_128_SHA
TLS_KRB5_WITH_RC4_128_MD5
TLS_KRB5_WITH_3DES_EDE_CBC_SHA
TLS_KRB5_WITH_3DES_EDE_CBC_MD5
TLS_KRB5_WITH_DES_CBC_SHA
TLS_KRB5_WITH_DES_CBC_MD5
TLS_KRB5_EXPORT_WITH_RC4_40_SHA
TLS_KRB5_EXPORT_WITH_RC4_40_MD5
TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA
TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5
    Apres un test de securite, j'ai comme reponse que j'utilise des "weak cipher suites", et que je devrais utiliser que celles "fortes".

    N'etant pas pro dans le domaine, je prefere vous demander votre avis pour savoir quoi changer.
    Je peux activer/desactiver celles de la liste. Cela resoudrai le prob ? Lequelles ?

    Merci d'avance.
    Répondre avec citation Répondre avec citation   0  0
  2. 24/11/2009, 12h51 #2
    Baptiste Wicht
    Baptiste Wicht est déconnecté
    Expert confirmé
    Avatar de Baptiste Wicht
    Homme Profil pro
    Étudiant
    Inscrit en
    Octobre 2005
    Messages
    7 431
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Suisse

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Octobre 2005
    Messages : 7 431
    Envoyer un message via MSN à Baptiste Wicht
    Par défaut
    Les "cipher suite" sont considérées comme étant weak :

    • TLS_RSA_WITH_DES_CBC_SHA
    • TLS_DHE_DSS_WITH_DES_CBC_SHA
    • TLS_DHE_RSA_WITH_DES_CBC_SHA
    • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
    • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
    • TLS_DHE_DSS_EXPORT1024_WITH_RC4_56_SHA
    • TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
    • TLS_RSA_EXPORT_WITH_RC4_40_MD5
    • TLS_RSA_EXPORT_WITH_DES40_CBC_SHA
    • TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
    • TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA


    A mon avis, en les supprimmant, tu ne devrais plus avoir d'alerte de sécurité. Par contre, ça restreint un peu le champ des encryptions possibles, mais ce n'est pas une mauvaise idée étant donné que ces encryptions sont considérées comme obsolètes.
    Répondre avec citation Répondre avec citation   0  0
  3. 24/11/2009, 13h08 #3
    metalcoyote
    metalcoyote est déconnecté
    Membre confirmé
    Profil pro
    Développeur Java
    Inscrit en
    Octobre 2004
    Messages
    201
    Détails du profil
    Informations personnelles :
    Âge : 43
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Octobre 2004
    Messages : 201
    Par défaut
    Cool

    Je vais donc desactiver que celles que tu as liste.

    Merci !

    edit: petit prob: aucune que tu as liste n'est ds mes listes
    Répondre avec citation Répondre avec citation   0  0
  4. 02/12/2009, 12h47 #4
    metalcoyote
    metalcoyote est déconnecté
    Membre confirmé
    Profil pro
    Développeur Java
    Inscrit en
    Octobre 2004
    Messages
    201
    Détails du profil
    Informations personnelles :
    Âge : 43
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Octobre 2004
    Messages : 201
    Par défaut
    J'ai active que celles ci et le test est passe.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
     
LS_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA
    Merci.
    Répondre avec citation Répondre avec citation   0  0
+ Répondre à la discussion
Cette discussion est résolue.
ActualitésFAQs JavaTutoriels JavaLivres JavaSources JavaOutils, EDI & API JavaJavaSearch
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. FTPS Cipher suites
    Par AbdeL02 dans le forum Sécurité
    Réponses: 18
    Dernier message: 02/02/2011, 17h32
  2. FTPS cipher Suites
    Par AbdeL02 dans le forum Débuter avec Java
    Réponses: 0
    Dernier message: 28/01/2011, 10h06
  3. Migration Access > SQL Server (suite) : Compteur
    Par LadyArwen dans le forum MS SQL Server
    Réponses: 3
    Dernier message: 06/03/2003, 14h08
  4. [Kylix] [ Kylix ] Erreur de compilation suite au "run&q
    Par boblatare dans le forum EDI
    Réponses: 2
    Dernier message: 04/03/2003, 23h24
  5. Pb BDE suite a passage en Windows 2000 pro
    Par ARIF dans le forum Paradox
    Réponses: 4
    Dernier message: 18/11/2002, 11h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo