Hallo zusammen,
im Rahmen eines Sophos-Vortrages bin ich auf folgenden Sachverhalt gestoßen:
Die unterschiedlichen Verschlüsselungsalgorithmen, genutzt bei SSH, werden unter anderen in der BSI TR-02102-4 erörtert bzw. deren Verwendungsempfehlung zeitlich definiert. Dabei ist mir aufgefallen, dass in der Version 2023-1 die Varianten:
aes256-cbc - Abschnitt 6.3 in [RFC4253] - 2023
aes192-cbc - Abschnitt 6.3 in [RFC4253] - 2023
aes128-cbc - Abschnitt 6.3 in [RFC4253] - 2023
wie beschrieben, 2023 auslaufen. In der neuen Version aus 2024-1 fallen diese komplett raus.
Die beschriebenen Algos wurden im Vortrag in den Kontext zu TLS Inception für TLS 1.2 und TLS 1.3 gesetzt. Ob das so anwendbar war, weiß ich nicht.
Jedenfalls werden diese Algos auch für die Sophos VPN Verbindungen genutzt.
Wiederum in der TR-02102-2 - also der "richtigen" Richtlinie für TLS werden diese CBC Algos nur zugelassen, wenn sie die Encrypt-then-MAC-Erweiterung einsetzen (RFC 7366).
Die Kernfrage ist also: setzt Sophos in den SG und XGS Produkten RFC 7366 um? Und anschließend: lassen sich die Erörterungen aus der 04 und 02 überhaupt so anwenden?
VIele Grüße
Jeff
This thread was automatically locked due to age.