Bagaimana cara mengonversi ssl cipher ke format ikal?

12

The docs ssl resmi daftar cipher dalam format yang berbeda dari keriting membutuhkan. Misalnya, jika saya ingin ikal menggunakan cipher TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, saya harus meneruskannya curl --ciphers ecdhe_rsa_3des_sha. Saya tahu apa beberapa pemetaan itu, tetapi tidak semuanya - misalnya, apa yang harus saya sampaikan untuk menggulung agar dapat menggunakan cipher TLS_DHE_RSA_WITH_AES_128_GCM_SHA256?

Apakah ada di mana saja saya dapat menemukan dokumen yang menunjukkan bagaimana nama sandi dalam map ssl memetakan ke nama sandi yang diterima ikal?

Sunting: Saya akhirnya menemukan bahwa ikal saya didukung oleh NSS, bukan OpenSSL, dan masalahnya secara khusus karena tidak ada dokumentasi yang baik tentang penggunaan ikal yang didukung NSS, sementara itu membutuhkan argumen yang berbeda dari yang dilakukan OpenSSL untuk menggunakan sandi yang sama. Jadi pertanyaan saya khusus untuk NSS.

configuration curl openssl ssl nss Benubird
sumber

Jawaban:

17

Tidak ada dokumentasi yang mencakup semua konversi antara nama sandi, dan nama yang diharapkan oleh curl sebagai argumen.

Untungnya, curl adalah open source, dan pemetaan adalah tersedia dalam kode sumber .

Untuk kepentingan pencari masa depan, saya mereproduksi lebih rapi di sini:

Suite sandi SSL2

<argument>                 <name>
rc4                        SSL_EN_RC4_128_WITH_MD5
rc4-md5                    SSL_EN_RC4_128_WITH_MD5
rc4export                  SSL_EN_RC4_128_EXPORT40_WITH_MD5
rc2                        SSL_EN_RC2_128_CBC_WITH_MD5
rc2export                  SSL_EN_RC2_128_CBC_EXPORT40_WITH_MD5
des                        SSL_EN_DES_64_CBC_WITH_MD5
desede3                    SSL_EN_DES_192_EDE3_CBC_WITH_MD5

Suite sandi SSL3 / TLS

<argument>                 <name>
rsa_rc4_128_md5            SSL_RSA_WITH_RC4_128_MD5
rsa_rc4_128_sha            SSL_RSA_WITH_RC4_128_SHA
rsa_3des_sha               SSL_RSA_WITH_3DES_EDE_CBC_SHA
rsa_des_sha                SSL_RSA_WITH_DES_CBC_SHA
rsa_rc4_40_md5             SSL_RSA_EXPORT_WITH_RC4_40_MD5
rsa_rc2_40_md5             SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
rsa_null_md5               SSL_RSA_WITH_NULL_MD5
rsa_null_sha               SSL_RSA_WITH_NULL_SHA
fips_3des_sha              SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA
fips_des_sha               SSL_RSA_FIPS_WITH_DES_CBC_SHA
fortezza                   SSL_FORTEZZA_DMS_WITH_FORTEZZA_CBC_SHA
fortezza_rc4_128_sha       SSL_FORTEZZA_DMS_WITH_RC4_128_SHA
fortezza_null              SSL_FORTEZZA_DMS_WITH_NULL_SHA

TLS 1.0: Suites Cipher 56-bit yang Dapat Diekspor.

<argument>                 <name>
rsa_des_56_sha             TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
rsa_rc4_56_sha             TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Sandi AES.

<argument>                 <name>
dhe_dss_aes_128_cbc_sha    TLS_DHE_DSS_WITH_AES_128_CBC_SHA
dhe_dss_aes_256_cbc_sha    TLS_DHE_DSS_WITH_AES_256_CBC_SHA
dhe_rsa_aes_128_cbc_sha    TLS_DHE_RSA_WITH_AES_128_CBC_SHA
dhe_rsa_aes_256_cbc_sha    TLS_DHE_RSA_WITH_AES_256_CBC_SHA
rsa_aes_128_sha            TLS_RSA_WITH_AES_128_CBC_SHA
rsa_aes_256_sha            TLS_RSA_WITH_AES_256_CBC_SHA

Cipher ECC.

<argument>                 <name>
ecdh_ecdsa_null_sha        TLS_ECDH_ECDSA_WITH_NULL_SHA
ecdh_ecdsa_rc4_128_sha     TLS_ECDH_ECDSA_WITH_RC4_128_SHA
ecdh_ecdsa_3des_sha        TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
ecdh_ecdsa_aes_128_sha     TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
ecdh_ecdsa_aes_256_sha     TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
ecdhe_ecdsa_null_sha       TLS_ECDHE_ECDSA_WITH_NULL_SHA
ecdhe_ecdsa_rc4_128_sha    TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
ecdhe_ecdsa_3des_sha       TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
ecdhe_ecdsa_aes_128_sha    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
ecdhe_ecdsa_aes_256_sha    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
ecdh_rsa_null_sha          TLS_ECDH_RSA_WITH_NULL_SHA
ecdh_rsa_128_sha           TLS_ECDH_RSA_WITH_RC4_128_SHA
ecdh_rsa_3des_sha          TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
ecdh_rsa_aes_128_sha       TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
ecdh_rsa_aes_256_sha       TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
echde_rsa_null             TLS_ECDHE_RSA_WITH_NULL_SHA
ecdhe_rsa_rc4_128_sha      TLS_ECDHE_RSA_WITH_RC4_128_SHA
ecdhe_rsa_3des_sha         TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
ecdhe_rsa_aes_128_sha      TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ecdhe_rsa_aes_256_sha      TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ecdh_anon_null_sha         TLS_ECDH_anon_WITH_NULL_SHA
ecdh_anon_rc4_128sha       TLS_ECDH_anon_WITH_RC4_128_SHA
ecdh_anon_3des_sha         TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA
ecdh_anon_aes_128_sha      TLS_ECDH_anon_WITH_AES_128_CBC_SHA
ecdh_anon_aes_256_sha      TLS_ECDH_anon_WITH_AES_256_CBC_SHA

cipher suite HMAC-SHA256 baru yang ditentukan dalam RFC

<argument>                 <name>
rsa_null_sha_256                TLS_RSA_WITH_NULL_SHA256
rsa_aes_128_cbc_sha_256         TLS_RSA_WITH_AES_128_CBC_SHA256
rsa_aes_256_cbc_sha_256         TLS_RSA_WITH_AES_256_CBC_SHA256
dhe_rsa_aes_128_cbc_sha_256     TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
dhe_rsa_aes_256_cbc_sha_256     TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
ecdhe_ecdsa_aes_128_cbc_sha_256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
ecdhe_rsa_aes_128_cbc_sha_256   TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Suite cipher AES GCM di RFC 5288 dan RFC 5289

<argument>                 <name>
rsa_aes_128_gcm_sha_256         TLS_RSA_WITH_AES_128_GCM_SHA256
dhe_rsa_aes_128_gcm_sha_256     TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
dhe_dss_aes_128_gcm_sha_256     TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
ecdhe_ecdsa_aes_128_gcm_sha_256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
ecdh_ecdsa_aes_128_gcm_sha_256  TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
ecdhe_rsa_aes_128_gcm_sha_256   TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ecdh_rsa_aes_128_gcm_sha_256    TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

Jadi jika Anda ingin menggunakan cipher TLS_DHE_RSA_WITH_AES_128_CBC_SHA, perintahnya adalah:

curl --ciphers dhe_rsa_aes_128_cbc_sha <url>

Untuk menentukan beberapa cipher, pisahkan daftar dengan koma. Jadi jika Anda ingin menggunakan cipher TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256juga, perintahnya adalah:

curl --ciphers dhe_rsa_aes_128_cbc_sha,ecdh_rsa_aes_128_gcm_sha_256 <url>

Untuk melihat daftar cipher yang digunakan curl, Anda memerlukan layanan eksternal - seperti ini:

curl --ciphers ecdhe_rsa_aes_256_sha https://www.howsmyssl.com/a/check

Meskipun NB, layanan itu tidak menerima semua cipher, yang berarti jika Anda membatasi koneksi hanya ke satu cipher yang tidak digunakan, Anda akan mendapatkan kesalahan "Tidak dapat berkomunikasi dengan aman dengan rekan: tidak ada algoritma enkripsi umum" alih-alih respons.

Benubird
sumber
Jawaban yang fantastis, terima kasih! Saya baru saja menyarankan suntingan kecil untuk menunjukkan cara menentukan beberapa sandi
Dallin
2

Tidak ada curl format. Format cipher yang digunakan oleh curl tergantung pada backend yang paling tidak NSS, GnuTLS, SecureTransport, SChannel, OpenSSL.

Tapi sepertinya Anda meminta sintaks OpenSSL. Dalam hal ini, lihat https://www.openssl.org/docs/apps/ciphers.html#CIPHER-SUITE-NAMES untuk terjemahan antara nama sandi.

Steffen Ullrich
sumber
Tidak, saya sedang mencari yang NSS, tetapi dokumen resmi untuk NSS tidak memiliki daftar lengkap.
Benubird
0

Jika Anda mendapatkan kesalahan "daftar pengaturan cipher gagal".

Periksa dokumen resmi di sini

Pastikan Anda memilih nama yang benar untuk pustaka keamanan backend Anda. Anda dapat memeriksa pustaka yang bergantung pada curl dengan 

curl --version
curl 7.51.0 (x86_64-apple-darwin16.0.0) libcurl/7.51.0 OpenSSL/1.0.2n zlib/1.2.8 nghttp2/1.16.0
Ji Fang
sumber