Was ist der richtige Chiffrenname für RC4 in Chrome?

7

Ich möchte RC4 aus Google Chrome entfernen und habe die Befehlszeilenoption gefunden --cipher-suite-blacklist. Ich konnte jedoch nicht herausfinden, wie die richtige Notation für RC4 lautet. Was auch immer ich bisher versucht habe, brachte nur die Nachricht:

ERROR:ssl_config_service_manager_pref.cc(55)] Ignoring unrecognized or \
  unparsable cipher suite:

Sogar die in aufgeführten Namen ssl_cipher_suite_names.ccfunktionieren nicht. Was muss ich eingeben, um RC4 als Verschlüsselung für SSL / TLS zu entfernen?

Ich arbeite mit verschiedenen Versionen von GNU / Linux und manchmal auch mit Windows. Es wäre also schön, wenn das Befehlszeilenargument unter allen Betriebssystemen funktionieren würde. Ich habe den folgenden Befehl verwendet:

chrome --cipher-suite-blacklist=TLS_RSA_WITH_RC4_128_MD5 --ssl-version-min=tls1.1
chrome --cipher-suite-blacklist=RC4 --ssl-version-min=tls1.1
chrome --cipher-suite-blacklist=0xXYZ,0xUVW --ssl-version-min=tls1.1  # XYZ and UVW are some hexadecimal numbers
google-chrome encryption https qbi
quelle
Was ist dein Betriebssystem? Ich nehme an, Sie versuchen Befehle von dieser Seite? code.google.com/p/chromium/issues/detail?id=58831 Was war der genaue Befehl, den Sie eingegeben haben?
Frank Thomas
Ja, ich versuche die Befehle von dieser Seite sowie die verknüpfte IANA-Seite.
Qbi
Was war Ihr Befehl genau, und haben Sie versucht, das Argument mit dem Schrägstrich zu zitieren?
Frank Thomas
Ich spiele mit Google Chrome und auch mit Chromium herum und muss überprüfen, ob beide die gleichen Befehlszeilenargumente verwenden.
Qbi

Antworten:

11

Sie müssen die Chiffren in hexadezimaler Form gemäß RFC 2246 ( http://www.ietf.org/rfc/rfc2246.txt ) informieren .

Die richtige Befehlszeile lautet:

 chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011

Keine Leerzeichen zwischen Komma.

Rafael Koike
quelle
1
Dies funktioniert, aber ich sehe nicht aus Ihrem Link und antworte, wie Sie beschlossen haben, die (notwendige) Option hinzuzufügen 0xc011. Könnten Sie mich bitte aufklären?
king_julien
2
@gentmatt Eine Liste aller Cipher Suites finden Sie unter iana.org/assignments/tls-parameters/… . Sie können die anonymen, exportierten, PSK- und KRB5-Verschlüsselungssuiten ignorieren, da sie nicht verwendet werden. 0xC011 ist TLS_ECDHE_RSA_WITH_RC4_128_SHA. Fehlende RC4-Verschlüsselungssuiten in dieser Liste sind 0xC002,0xC007,0xC00C.
Lekensteyn
2

Tiago hat recht.

Es gibt jedoch noch einige weitere Chiffren, die Sie möglicherweise blockieren möchten: https://www.opensource.apple.com/source/Security/Security-55163.44/libsecurity_ssl/Security/CipherSuite.h?txt

Folglich sollten Sie diese Befehlszeile ausprobieren:

chrome --cipher-suite-blacklist = 0x0001,0x0002,0x0004,0x0005,0x0017,0x0018,0xc002,0xc007,0xc00c, 0xc011,0xc016,0xff80,0xff81,0xff82,0xff83

Es sollte alle Chiffren mit RC4 und / oder MD5 blockieren.

Schwarz
quelle
1

TL; DR

Sie müssen den folgenden Parameter hinzufügen, um alle RC4-Chiffren zu blockieren (ab Chrome 31 in Ubuntu 12.04 mit NSS 3.15).

--cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Allgemeine Antwort, um es selbst herauszufinden

Die regelmäßig aktualisierte Liste aller Chiffren von IANA, die Benutzer @Lekensteyn gepostet hat, ist bereits sehr hilfreich und definitiv besser als das Überfliegen einiger .txtDateien, aber ich habe einen noch einfacheren Weg gefunden, um ...

  • Überprüfen Sie, welche Chiffren Ihr Browser unterstützt
  • Ermitteln Sie den Hexadezimalwert der unterstützten Chiffren

Beide Informationen werden direkt in Ihrem Browser auf der folgenden Website der Leibniz Universität Hannover bereitgestellt:

In der Abbildung unten befinden sich die Verschlüsselungsindentifikatoren auf der linken Seite der Tabelle. Also, wenn ich die beiden Chiffren blockieren wollte , RSA-AES-128-GCM-SHA256und RSA-AES256-SHAich würde nach (00,9c)und (00,35).

Für Google Chrome bedeutet dies, dass ich den Parameter 1 hinzufügen muss :

--cipher-suite-blacklist=0x009c,0x0035

Geben Sie hier die Bildbeschreibung ein

__ __

1- In Google Chrome unter Ubuntu müssen Sie die Datei bearbeiten /usr/share/applications/google-chrome.desktopund den Parameter zu jeder Zeile hinzufügen, die mit beginnt Exec=/usr/bin/google-chrome-stable. Insgesamt sollten es drei sein.

Exec=/usr/bin/google-chrome-stable --cipher-suite-blacklist=0x009c,0x0035
king_julien
quelle