[sage] Ist 3DES sicher oder nicht

[Dirk Wetter]

HI jens.

Am 12/16/2015 um 07:49 PM schrieb Jens Kühnel:
> Hi *,
> 
> nachdem hier ja auch ein Verschlüsselungsexperten mitlesen hoffe ich ihr
> könnt mir helfen.
> 
> Bei der Analyse des HBIC-Server meiner Bank habe ich mich gefragt wie
> eigentlich der Status von 3DES ist?
> 
> testssl.sh sagt 3DES ist "NOT ok", ssllabs.com beanstandet aber 3DES nicht.

TripleDES Cipher werden häufig bbei Server-Betreibern als Legacy-Krücke bei
Browsern verwendet, weil sonst bliebe RC4{SHA,MD5} und das will man nicht haben.

Kann sein, dass SSLlabs das wegen Browser nicht runterstuft -- das Rating ist
sicherlich schwer (Ivan macht immerhin eins -- bei testssl.sh stehts an für die 3.0er)
-- aber persönlich reicht mir A-C eigentlich nicht. OpenSSL stuft alle 3DES
als Medium ein, Im Bulletpoof von Ivan eher als niedrig, insofern ist da
ein Widerspruch.

HBCI ist noch ne ganz andere Nummer. Von größeren Banken weiß ich, dass sie
viele Kunden aussperren würden wenn sie's strammer ziehen, weil da noch
mehr alte Software benutzt wird.

Die Frage ist aber im Endeffekt: Auf was haben Server und Client sich geeinigt?
(Wireshark). Bzw. hat der Server eine Präferenz angegeben oder frisst der irgendwas,
was der Client ihm zuwirft?

> Jetzt habe ich versucht herauszufinden ob 3DES jetzt sicher ist oder
> nicht. Ich habe zwar keine relevanten Angriffe auf 3DES gefunden, aber
> irgendwie ist mir bei 3DES nicht wohl. Wie schätzt ihr die Frage ein?

Im Endefekt hat Erwin recht (auch wenn er den Grund verschweigt, warum
die restlichen 56 Bit unter den Tisch gefallen sind): 112 Bit
sind für die Verschlüsselung -- wenn sie dann auch wirklich so ausgehandelt
wird -- zu wenig. Es geht IMO gar nicht, wenn es mit Clients, die was besseres
können, tatsächlich ausgehandelt wird.


BG, Dirk


PS: Vom Threat Model ist die "Verschlüsselung" von /etc/shadow was anderes
als die auf dem Draht. I.d.R. braucht man a) Rechte auf dem Linux-Host b) man
muss Root sein. Auf dem Draht braucht man "nur" die Gelegenheit.