3DES-Sweet32 漏洞补偿控制?
3DES-Sweet32 Vulnerability Compensating Control(s)?
出于向后兼容性的原因,如果需要在 Web 服务器中启用 3DES (TLS_RSA_WITH_3DES_EDE_CBC_SHA) 密码,是否有任何补偿性安全控制可用于检测和缓解对 3DES 的 Sweet32-Birthday 攻击? WAF 在这种情况下有帮助吗?考虑网络应用程序 运行 在云负载平衡器后面的容器上。
一个例子是,Google 为 https://www.google.com 启用了 3DES 密码,在这种情况下,他们如何继续支持 3DES 密码,同时保持对 Sweet32-Birthday 攻击的防御。
感谢您的帮助。
端点 google.com 确实启用了 TLS_RSA_WITH_3DES_EDE_CBC_SHA。这是个问题吗?通常不需要,因为至少需要捕获来自同一 SSL/TLS 会话的 32 GB 数据。在一些真实世界的报告中,需要捕获超过 700 GB 的数据。
对于提供 HTML 页面的网站,单个 HTTPS 连接不太可能传输那么多数据。但是,中断一个会话对下一个连接没有帮助,因为攻击必须重新开始。
is there any compensating security control that can be used to detect
and mitigate Sweet32-Birthday attacks on 3DES?
我不知道有什么方法可以检测到有人破解了加密。没有报告成功攻击的反馈循环。
Does a WAF help in this situation?
我不知道 WAF 会检查加密协议。 WAF 寻找更高层的攻击。
Consider the web-application is running on containers behind a cloud
load balancer.
Google HTTP(S) 负载平衡器支持 SSL 策略。创建具有现代配置文件或更好的 TLS 1.0 策略,TLS_RSA_WITH_3DES_EDE_CBC_SHA 和其他较弱的功能将被禁用。
how they are continuing 3DES cipher support while maintaining defense
against Sweet32-Birthday attacks.
我无法回答。鉴于需要捕获的数据量很大,大多数公司并不担心这种特定的生日攻击。在评估安全实施的优势和劣势时,需要权衡取舍。提高安全性的成本与受保护数据的价值。如果价值较低,则可能不需要更昂贵的安全形式。在 Google 的情况下,我认为这更像是一个机会决定,以确保 google.com 对所有客户广泛可用。
出于向后兼容性的原因,如果需要在 Web 服务器中启用 3DES (TLS_RSA_WITH_3DES_EDE_CBC_SHA) 密码,是否有任何补偿性安全控制可用于检测和缓解对 3DES 的 Sweet32-Birthday 攻击? WAF 在这种情况下有帮助吗?考虑网络应用程序 运行 在云负载平衡器后面的容器上。
一个例子是,Google 为 https://www.google.com 启用了 3DES 密码,在这种情况下,他们如何继续支持 3DES 密码,同时保持对 Sweet32-Birthday 攻击的防御。
感谢您的帮助。
端点 google.com 确实启用了 TLS_RSA_WITH_3DES_EDE_CBC_SHA。这是个问题吗?通常不需要,因为至少需要捕获来自同一 SSL/TLS 会话的 32 GB 数据。在一些真实世界的报告中,需要捕获超过 700 GB 的数据。
对于提供 HTML 页面的网站,单个 HTTPS 连接不太可能传输那么多数据。但是,中断一个会话对下一个连接没有帮助,因为攻击必须重新开始。
is there any compensating security control that can be used to detect and mitigate Sweet32-Birthday attacks on 3DES?
我不知道有什么方法可以检测到有人破解了加密。没有报告成功攻击的反馈循环。
Does a WAF help in this situation?
我不知道 WAF 会检查加密协议。 WAF 寻找更高层的攻击。
Consider the web-application is running on containers behind a cloud load balancer.
Google HTTP(S) 负载平衡器支持 SSL 策略。创建具有现代配置文件或更好的 TLS 1.0 策略,TLS_RSA_WITH_3DES_EDE_CBC_SHA 和其他较弱的功能将被禁用。
how they are continuing 3DES cipher support while maintaining defense against Sweet32-Birthday attacks.
我无法回答。鉴于需要捕获的数据量很大,大多数公司并不担心这种特定的生日攻击。在评估安全实施的优势和劣势时,需要权衡取舍。提高安全性的成本与受保护数据的价值。如果价值较低,则可能不需要更昂贵的安全形式。在 Google 的情况下,我认为这更像是一个机会决定,以确保 google.com 对所有客户广泛可用。