-
@dclauzel En gros tu as ECDSA, qui est le morceau qui permet de négocier un échange de clef pour s’occuper de l’identification du serveur en face. Basé sur la clef privée du serveur du coup.Permalink On twitter.com
Mood 0
-
@dclauzel Et ensuite la négociation EDCHE pour l’échange de clef de session pour permettre le PFS. Le problème est que OpenSSL ne permet pas de distinguer les 2. Le paramètre de config des courbes s’applique aux 2 parties…Permalink On twitter.com
Mood 0
-
@dclauzel Du coup il faut au minimum supporter la courbe de ta clef privée (pour que ECDSA passe) mais il y a aussi toutes les chances du monde pour que ça soit aussi la courbe retenue pour la partie ECDHE…Permalink On twitter.com
Mood +3 🙂
-
@dclauzel Ça me pose problème pour cryptcheck aussi, parce que du coup quand tu utilises une clef privée ECDSA, je suis dans l’incapacité de détecter les courbes réellement supportées par ta couche ECDHE. Toutes les négociations se font en utilisant la courbe ECDSA pour la partie ECDHE…On twitter.com
Mood 0
-
@dclauzel Alors que si tu utilises une clef privée RSA, je peux du coup m’amuser à tenter de changer la priorité des courbes pour tester ce qui va passer de ce qui ne passera pas et ainsi trouver tes courbes supportées.Permalink On twitter.com
Mood 0
-
@dclauzel Typiquement ma dépression associée : git.imirhil.fr/aeris/cryptcheck/src/d4850e4a2648b03b6855cf7336538caff1a3bf4e/lib/cryptcheck/tls/engine.rb#L245-L246Permalink On twitter.com
Mood 0