ssl Diffie-Hellman弱密码问题

最新推荐文章于 2024-04-18 18:49:07 发布
最新推荐文章于 2024-04-18 18:49:07 发布
阅读量412 收藏
点赞数
文章标签: java 运维 网络
原文链接:http://www.cnblogs.com/liuroy/p/7375241.html
版权

title: ssl Diffie-Hellman弱密码问题
date: 2017-08-16 16:41:55
categories: 网络安全
tags: ssl Diffie-Hellman
---

开发相关

  • tomcat8
  • jdk1.8
  • springboot

  • 扫描软件 Nessus

    异常信息

    这里写图片描述

关于Diffie-Hellman

Diffie-Hellman:一种确保共享KEY安全穿越不安全网络的方法,它是OAKLEY的一个组成部分。Whitefield与Martin Hellman在1976年提出了一个奇妙的密钥交换协议,称为Diffie-Hellman密钥交换协议/算法(Diffie-Hellman Key Exchange/Agreement Algorithm).这个机制的巧妙在于需要安全通信的双方可以用这个方法确定对称密钥。然后可以用这个密钥进行加密和解密。但是注意,这个密钥交换协议/算法只能用于密钥的交换,而不能进行消息的加密和解密。双方确定要用的密钥后,要使用其他对称密钥操作加密算法实际加密和解密消息。

原因及方案

Diffie-Hellman group长度过短,目前NSA已破解1024位Diffie-Hellman

第一步:生成多位数Diffie-Hellman group

openssl dhparam -out dhparams.pem 2048

第二步:使用安全的密码套件

这里举tomcat为例,因为我们用的就是tomcat,其他的服务器nginx,iis,apache等看第一篇参考资料
Apache Tomcat
server.xml (for JSSE)

<Connector
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_SHA256,TLS_ECDHE_RSA_WITH_AES_128_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_SHA,TLS_ECDHE_RSA_WITH_AES_256_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_SHA384,TLS_ECDHE_RSA_WITH_AES_256_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_SHA,TLS_DHE_RSA_WITH_AES_128_SHA256,TLS_DHE_RSA_WITH_AES_128_SHA,TLS_DHE_DSS_WITH_AES_128_SHA256,TLS_DHE_RSA_WITH_AES_256_SHA256,TLS_DHE_DSS_WITH_AES_256_SHA,TLS_DHE_RSA_WITH_AES_256_SHA"
/>

因为我采用的是springboot内置tomcat方法,没有server.xml 去springboot官网 可以在application.properties配置
这里写图片描述

server.ssl.ciphers=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_SHA256,TLS_ECDHE_RSA_WITH_AES_128_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_SHA,TLS_ECDHE_RSA_WITH_AES_256_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_SHA384,TLS_ECDHE_RSA_WITH_AES_256_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_SHA,TLS_DHE_RSA_WITH_AES_128_SHA256,TLS_DHE_RSA_WITH_AES_128_SHA,TLS_DHE_DSS_WITH_AES_128_SHA256,TLS_DHE_RSA_WITH_AES_256_SHA256,TLS_DHE_DSS_WITH_AES_256_SHA,TLS_DHE_RSA_WITH_AES_256_SHA

针对老版本jdk,为了能够使用256位AES密码,有必要安装JCE无限强度管理策略文件,具体地址在这里

参考资料

https://weakdh.org/sysadmin.html
https://baike.baidu.com/item/Diffie-Hellman/9827194?fr=aladdin

转载于:https://www.cnblogs.com/liuroy/p/7375241.html

dianziyuan8553
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决jetty环境ssl的瞬时 Diffie-Hellman 公共密钥过
11-29
解决jetty8、jdk1.6环境下的ssl问题,示服务器的瞬时 Diffie-Hellman 公共密钥过,可以通过设置如下参数解决
diffie-hellman-key-exchange-demo:用于演示 Diffie Hellman 密钥交换原理的现场演示的材料
06-06
Diffie-Hellman-Merkle 密钥交换演示Diffie Hellman Merkle (DH) 密钥交换是建立传输层安全性 (TLS) 连接的关键组件。 在 DH 密钥交换结束时,两方将就用于加密和解密数据的对称密钥达成一致。 在实现 TLS 时,理解...
Diffie-Hellman 密钥交换技术(内含多方密钥交换)
Chenglin(Ben) Yu's Miracle
05-17 9523
Diffie-Hellman 密钥交换技术 文章目录Diffie-Hellman 密钥交换技术描述大体介绍加解密解释 英文名Diffie-Hellman key exchange(简称DH)。 Diffie-Hellman密钥交换是一个在公共渠道安全交换加解密密钥的方法。DH是加解密领域最早的公钥交换实际应用的例子之一。 传统上,双方之间的安全加密通信要求他们首先通过一些安全的物理渠道来交换密钥。...
SSL/TLS Diffie-Hellman Modulus 「= 1024 位 (LogJam) 使用2048位或更高的Diffie-Hellman
玩高雅的大神のブログ
07-07 2707
1.http://slproweb.com/products/Win32OpenSSL.html 下载 SSL 并安装 2.设置环境变量,例如工具安装在C:\OpenSSL-Win64,则将C:\OpenSSL-Win64\bin;复制到Path中 3.打开命令行程序cmd(以管理员身份运行),运行 start C:\OpenSSL-Win64\bin\openssl.exe 4. 会打开SSL黑框 之后数据命令 dhparam -out dhparams.pem 2048 ...
口令与命令爆破
最新发布
2401_83181186的博客
04-18 849
口令与九头蛇爆破基本指令
PuTTY用户手册(七)
衡与墨的博客
01-10 2016
4.16 Telnet面板 Telnet面板允许您配置仅适用于Telnet会话的选项。 4.16.1&quot;处理OLD_ENVIRON歧义&quot; 用于传递环境变量的原始Telnet机制没有得到很好的指定。 在编写标准(RFC 1408)时,BSD telnet实现已经支持该特性,该标准的目的是描述BSD实现已经在使用的行为。 遗憾的是,标准发布时出现了一个输入错误,并且错误地指定了两个重要的功能代码。 BS...
NodeJS加密算法
过客2019
06-17 3512
当发送方A向接收方B发送数据时,需要考虑的问题有:数据的安全性。数据的完整性,即数据不被篡改。数据的真实性,即数据确实来自于发送方,传输过程中没有被替换。数据的不可否认性,即验证发送方确实发送了数据。A 使用密钥加密数据A 将密文发送给 BB 收到密文后,使用相同的密钥对其进行解密,取得原始数据优点:速度快缺点:密钥被盗就被破解、密钥管理不方便(每个用户都要对应一个密钥)实现算法有:凯撒密码,AES(Advanced Encryption Standard)、DES(Data Encryption Stan
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过【原理扫描】
热门推荐
看着博客敲代码
01-18 2万+
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过【原理扫描】 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。 当服务器SSL/TLS的瞬时Diffie-Hellman
SSLTLS 服务器瞬时 Diffie-Hellman 公共密钥过【原理扫描】 .txt
08-07
【解决漏洞-亲测好用】SSLTLS 服务器瞬时 Diffie-Hellman 公共密钥过
Diffie-Hellman密钥交换实验
03-18
学生可能会认识到,Diffie-Hellman算法不仅在密码学中起着关键作用,还在如SSL/TLS协议、IPSec协议等网络安全领域有广泛应用。同时,学生可能会反思课程的教学方式,比如是否需要更多地结合实际案例,或者增加互动式...
VC++ 实现Diffie-Hellman密钥交换算法
04-15
Diffie-Hellman密钥交换算法是密码学中一个重要的概念,它允许两个通信方在不安全的信道上安全地协商一个共享密钥。这个算法由Whitfield Diffie和Martin Hellman在1976年提出,是公钥基础设施(PKI)中的基础组成...
关于 Diffie-Hellman
bytxl的专栏
08-11 4539
Diffie-Hellman (DH) 组确定了在密钥交换进程中使用的密钥的强度。 组的编号越大安全性就越高,但是也就需要更多的时间来计算密钥。 WatchGuard 设备支持 Diffie-Hellman 组 1、2 和 5。 DH 组 1: 768 位组DH 组 2: 1024 位组DH 组 5: 1536 位组 VPN 交换中的两个对等方必须使用同一 DH 组,该组在 IPSe
SSL/TLS Diffie-Hellman Modulus <= 1024 位 (LogJam) 使用2048位或更高的Diffie-Hellman
weixin_30576859的博客
09-27 1491
1.http://slproweb.com/products/Win32OpenSSL.html 下载 SSL 并安装 2.设置环境变量,例如工具安装在C:\OpenSSL-Win64,则将C:\OpenSSL-Win64\bin;复制到Path中 3.打开命令行程序cmd(以管理员身份运行),运行 start C:\OpenSSL-Win64\bin\openssl.exe 4....
SSL或TLS中禁用密码
WinJay
08-19 973
为了提高安全性,您可以配置域策略 GPO(组策略对象),以确保运行 View Agent 或 Horizon Agent 的基于 Windows 的计算机在使用 SSL/TLS 协议进行通信时不会使用密码。 过程 在 Active Directory 服务器上编辑 GPO,方法是选择开始 > 管理工具 > 组策略管理,右键单击 GPO,然...
SSL加密算法漏洞原理以及修复方法
it知识分享 free for nothing..
01-02 4746
SSL加密算法漏洞原理以及修复方法
浅谈“脆SSL加密算法“
→_→
07-06 7740
一:漏洞名称: 加密算法、脆的加密算法、脆SSL加密算法、openssl的FREAK Attack漏洞 描述: 脆SSL加密算法,是一种常见的漏洞,且至今仍有大量软件支持低强度的加密协议,包括部分版本的openssl。其实,该低强度加密算法在当年是非常安全的,但时过境迁,飞速发展的技术正在让其变得脆。黑客可利用SSL加密算法漏洞进行SSL中间人攻击,即强迫服务器和用户之间使用低强度的加密方式,然后再通过暴力破解,窃取传输内容。强度较的加密算法将不能较好的保证通...
Linux+Nginx+SSL(Https) 去Server响应头后 网页显示源码
l1179237106的博客
11-11 1633
解决办法1:去官网下载对应版本的nginx压缩包到服务器上,解压后修改ngx_http_header_filter_module.c文件。解决办法1:使用TLS v1.1 和 v1.2 ,目前他们已知的安全问题,只有 v1.2 提供了现代的加密算法。修改完成后重新编译安装nginx,这个步骤自己查一下,本人是把必要的原配置备份好后直接重新安装上传配置的方便。方法的话,一定要去掉,不然就会引起访问https时,网页无法正常显示,直接显示源码。解决方法2:SSL 和 TLS 部署最佳实践:使用安全密码套件。
Nginx 安全优化
RAB
04-27 5803
Nginx 安全优化
nginx ssl 漏洞 修复
HTM_Smile的博客
04-26 392
【代码】nginx ssl 漏洞 修复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值