Come convertire le cifre SSL in formato arricciatura?

12

I documenti ufficiali ssl elencano le cifre in un formato diverso da quello richiesto da curl. Ad esempio, se voglio che l'arricciatura usi la cifra TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, devo passarla curl --ciphers ecdhe_rsa_3des_sha. So quali sono alcune delle mappature, ma non tutte - ad esempio, cosa devo passare per arricciare per farlo usare la crittografia TLS_DHE_RSA_WITH_AES_128_GCM_SHA256?

C'è un posto dove posso trovare un documento che mostra come i nomi delle cifre nei documenti ssl si associano ai nomi delle cifre che il ricciolo accetta?

Modifica: Alla fine ho scoperto che il mio ricciolo è supportato da NSS, non OpenSSL, e il problema è specificamente perché non esiste una buona documentazione sull'uso del ricciolo supportato da NSS, mentre richiede un argomento diverso rispetto a OpenSSL per utilizzare la stessa cifra. Quindi la mia domanda è specifica per NSS.

— Benubird
fonte

17

Non c'è documentazione che copra tutte le conversioni tra il nome della cifra e il nome che il ricciolo si aspetta come argomento.

Fortunatamente, il ricciolo è open source e la mappatura è disponibile nel codice sorgente .

A beneficio dei futuri ricercatori, lo riproduco più accuratamente qui:

Suite di crittografia SSL2

<argument>                 <name>
rc4                        SSL_EN_RC4_128_WITH_MD5
rc4-md5                    SSL_EN_RC4_128_WITH_MD5
rc4export                  SSL_EN_RC4_128_EXPORT40_WITH_MD5
rc2                        SSL_EN_RC2_128_CBC_WITH_MD5
rc2export                  SSL_EN_RC2_128_CBC_EXPORT40_WITH_MD5
des                        SSL_EN_DES_64_CBC_WITH_MD5
desede3                    SSL_EN_DES_192_EDE3_CBC_WITH_MD5

Suite di cifratura SSL3 / TLS

<argument>                 <name>
rsa_rc4_128_md5            SSL_RSA_WITH_RC4_128_MD5
rsa_rc4_128_sha            SSL_RSA_WITH_RC4_128_SHA
rsa_3des_sha               SSL_RSA_WITH_3DES_EDE_CBC_SHA
rsa_des_sha                SSL_RSA_WITH_DES_CBC_SHA
rsa_rc4_40_md5             SSL_RSA_EXPORT_WITH_RC4_40_MD5
rsa_rc2_40_md5             SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
rsa_null_md5               SSL_RSA_WITH_NULL_MD5
rsa_null_sha               SSL_RSA_WITH_NULL_SHA
fips_3des_sha              SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA
fips_des_sha               SSL_RSA_FIPS_WITH_DES_CBC_SHA
fortezza                   SSL_FORTEZZA_DMS_WITH_FORTEZZA_CBC_SHA
fortezza_rc4_128_sha       SSL_FORTEZZA_DMS_WITH_RC4_128_SHA
fortezza_null              SSL_FORTEZZA_DMS_WITH_NULL_SHA

TLS 1.0: suite di crittografia a 56 bit esportabili.

<argument>                 <name>
rsa_des_56_sha             TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
rsa_rc4_56_sha             TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Cifre AES.

<argument>                 <name>
dhe_dss_aes_128_cbc_sha    TLS_DHE_DSS_WITH_AES_128_CBC_SHA
dhe_dss_aes_256_cbc_sha    TLS_DHE_DSS_WITH_AES_256_CBC_SHA
dhe_rsa_aes_128_cbc_sha    TLS_DHE_RSA_WITH_AES_128_CBC_SHA
dhe_rsa_aes_256_cbc_sha    TLS_DHE_RSA_WITH_AES_256_CBC_SHA
rsa_aes_128_sha            TLS_RSA_WITH_AES_128_CBC_SHA
rsa_aes_256_sha            TLS_RSA_WITH_AES_256_CBC_SHA

Cifre ECC.

<argument>                 <name>
ecdh_ecdsa_null_sha        TLS_ECDH_ECDSA_WITH_NULL_SHA
ecdh_ecdsa_rc4_128_sha     TLS_ECDH_ECDSA_WITH_RC4_128_SHA
ecdh_ecdsa_3des_sha        TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
ecdh_ecdsa_aes_128_sha     TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
ecdh_ecdsa_aes_256_sha     TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
ecdhe_ecdsa_null_sha       TLS_ECDHE_ECDSA_WITH_NULL_SHA
ecdhe_ecdsa_rc4_128_sha    TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
ecdhe_ecdsa_3des_sha       TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
ecdhe_ecdsa_aes_128_sha    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
ecdhe_ecdsa_aes_256_sha    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
ecdh_rsa_null_sha          TLS_ECDH_RSA_WITH_NULL_SHA
ecdh_rsa_128_sha           TLS_ECDH_RSA_WITH_RC4_128_SHA
ecdh_rsa_3des_sha          TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
ecdh_rsa_aes_128_sha       TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
ecdh_rsa_aes_256_sha       TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
echde_rsa_null             TLS_ECDHE_RSA_WITH_NULL_SHA
ecdhe_rsa_rc4_128_sha      TLS_ECDHE_RSA_WITH_RC4_128_SHA
ecdhe_rsa_3des_sha         TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
ecdhe_rsa_aes_128_sha      TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ecdhe_rsa_aes_256_sha      TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ecdh_anon_null_sha         TLS_ECDH_anon_WITH_NULL_SHA
ecdh_anon_rc4_128sha       TLS_ECDH_anon_WITH_RC4_128_SHA
ecdh_anon_3des_sha         TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA
ecdh_anon_aes_128_sha      TLS_ECDH_anon_WITH_AES_128_CBC_SHA
ecdh_anon_aes_256_sha      TLS_ECDH_anon_WITH_AES_256_CBC_SHA

nuove suite di cifratura HMAC-SHA256 specificate in RFC

<argument>                 <name>
rsa_null_sha_256                TLS_RSA_WITH_NULL_SHA256
rsa_aes_128_cbc_sha_256         TLS_RSA_WITH_AES_128_CBC_SHA256
rsa_aes_256_cbc_sha_256         TLS_RSA_WITH_AES_256_CBC_SHA256
dhe_rsa_aes_128_cbc_sha_256     TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
dhe_rsa_aes_256_cbc_sha_256     TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
ecdhe_ecdsa_aes_128_cbc_sha_256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
ecdhe_rsa_aes_128_cbc_sha_256   TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Suite di cifratura AES GCM in RFC 5288 e RFC 5289

<argument>                 <name>
rsa_aes_128_gcm_sha_256         TLS_RSA_WITH_AES_128_GCM_SHA256
dhe_rsa_aes_128_gcm_sha_256     TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
dhe_dss_aes_128_gcm_sha_256     TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
ecdhe_ecdsa_aes_128_gcm_sha_256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
ecdh_ecdsa_aes_128_gcm_sha_256  TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
ecdhe_rsa_aes_128_gcm_sha_256   TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ecdh_rsa_aes_128_gcm_sha_256    TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

Quindi, se si desidera utilizzare il codice TLS_DHE_RSA_WITH_AES_128_CBC_SHA, il comando sarebbe:

curl --ciphers dhe_rsa_aes_128_cbc_sha <url>

Per specificare più cifre, separare l'elenco con virgole. Quindi, se si desidera utilizzare anche il codice TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256, il comando sarebbe:

curl --ciphers dhe_rsa_aes_128_cbc_sha,ecdh_rsa_aes_128_gcm_sha_256 <url>

Per visualizzare un elenco delle cifre che sta utilizzando l'arricciatura, avrai bisogno di un servizio esterno, come questo:

curl --ciphers ecdhe_rsa_aes_256_sha https://www.howsmyssl.com/a/check

Sebbene NB, quel servizio non accetta tutte le cifre, il che significa che se si sta limitando la connessione a una sola cifra che non è in uso, verrà visualizzato l'errore "Impossibile comunicare in modo sicuro con il peer: nessun algoritmo di crittografia comune" invece di una risposta.

— Benubird
fonte

Risposta fantastica, grazie! Ho appena suggerito una piccola modifica per dimostrare come specificare più cifre

— Dallin

2

Non c'è curl format. Il formato delle cifre utilizzate da curl dipende dal backend che può essere almeno NSS, GnuTLS, SecureTransport, SChannel, OpenSSL.

Ma sembra che tu stia chiedendo la sintassi OpenSSL. In questo caso, consultare https://www.openssl.org/docs/apps/ciphers.html#CIPHER-SUITE-NAMES per una traduzione tra i nomi delle cifre.

— Steffen Ullrich
fonte

No, sto cercando quelli NSS, ma i documenti ufficiali per NSS non hanno un elenco completo.

— Benubird,

0

Se viene visualizzato l'errore "Elenco di crittografia delle impostazioni non riuscito".

Controlla qui il documento ufficiale

Assicurati di scegliere il nome corretto per la tua libreria di sicurezza back-end. È possibile controllare la libreria dipendente dal ricciolo da

curl --version
curl 7.51.0 (x86_64-apple-darwin16.0.0) libcurl/7.51.0 OpenSSL/1.0.2n zlib/1.2.8 nghttp2/1.16.0

— Ji Fang
fonte