[研究] Windows Server 2008 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Windows Server 2008 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

附表十 資通系統防護基準.PDF

https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254364&lan=C

控制措施－構面：系統與通訊保護

控制措施－措施內容：傳輸之機密性與完整性

系統防護需求分級：（高等級系統）支援演算法最大長度金鑰。

環境

Windows Server 2008 with Service Pack 2 (x64)  + IIS + nmap 7.80 

測試

nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.133

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 11:45 ￥x￥_?D·CRE?!

Nmap scan report for 192.168.128.133

Host is up (0.00013s latency).

PORT    STATE SERVICE

443/tcp open  https

| ssl-cert: Subject: commonName=WIN-P0WOV05PXAS

| Issuer: commonName=WIN-P0WOV05PXAS

| Public Key type: rsa

| Public Key bits: 2048

| Signature Algorithm: sha1WithRSAEncryption

| Not valid before: 2020-10-02T03:44:23

| Not valid after:  2021-10-02T00:00:00

| MD5:   121f 7e65 ad8a 5db5 d7aa ff2f 4a73 0c92

|_SHA-1: f0f8 9183 fc7c 3088 3e88 0976 29df 09aa 5f83 4e2a

| ssl-enum-ciphers: 

|   SSLv3: 

|     ciphers: 

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       CBC-mode cipher in SSLv3 (CVE-2014-3566)

|       Ciphersuite uses MD5 for message integrity

|       Forward Secrecy not supported by any cipher

|       Weak certificate signature: SHA1

|   TLSv1.0: 

|     ciphers: 

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       Ciphersuite uses MD5 for message integrity

|       Weak certificate signature: SHA1

|_  least strength: C

MAC Address: 00:0C:29:F1:DE:EB (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.25 seconds

********************************************************************************

結果：

支援AES_256

支援 SHA1

支援 rsa 2048

這是預設支援的，根據 SSDLC 的安全建議，有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020

https://www.nartac.com/Products/IISCrypto/Download

至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準（英語：Advanced Encryption Standard，縮寫：AES） - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95