Kurzer Informationssplitter aus dem Bereich der Sicherheit, der Administratoren eines Internet Information-Server (IIS) im Windows-Umfeld interessieren könnte. Mir ist ein kurzer Tweet untergekommen, der auf die Empfehlung des Sicherheitsanbieters Tenabel abhebt, die die Deaktivierung der AES 128/128 Cipher Suite am IIS thematisieren. Diese Cipher Suite sei nicht mehr als sicher anzusehen, heißt es.
Anzeige
EAus Sicherheitsaspekten gilt die Empfehlung, Verbindungen zum IIS über die AES 256/256 Cipher Suite verschlüsseln zu lassen. Die eventuell genutzte AES 128/128 Cipher Suite gilt als unsicher – allerdings sind bisher keine praktischen Angriffe zum Aushebeln der Verschlüsselung bekannt. Die Tage ist mir dieser Tweet unter die Augen gekommen, der sich mit dieser Frage befasst:
Ciphers / IIS Hardening
Disable AES 128/128 Cipher Suite and why or why not?
7.10 Ensure AES 128/128 Cipher Suite is Disabled
7.12 Ensure AES 128/128 Cipher Suite is configured
Die beiden verlinkten Tenable-Artikel befassen sich mit dem Umstand, dass die AES 128/128 Cipher Suite als unsicher gilt und die AES 256/256 Cipher Suite aktiviert werden sollte. In den Beiträgen wird gezeigt, wie sich die AES 128/128 Cipher Suite per Registrierungseintrag deaktivieren lässt. Der Pferdefuß an der Deaktivierung ist aber, das die Aktivierung von AES 128/128 für die Client-Kompatibilität erforderlich sein kann.
Anzeige
Solange (noch) kein (ausreichender) Quantencomputer zur Verfügung steht ist der symmetrische AES mit 128-bit-Verschlüsselung als ausreichend und auch Serverschonender anzusehen. Die 256-bit-Verschlüsselung kommt erst aufgrund des GROVER-Algorhytmus zum tragen, der die Verschlüsselungsstärke halbieren würde ->
https://de.wikipedia.org/wiki/Grover-Algorithmus
Die einzigen Abschwächungen unter AES-192 und AES-256 senken die Sicherheit auf 2^99 Schlüssel ab – hier ist sogar der AES-128 im Vorteil, da diese theoretischen Abschwächungen nur auf AES-192 und AES-256 anwendbar sind ->
https://eprint.iacr.org/2009/317
Dass man AES 128 nicht mehr verwenden soll, steht schon lange in diversen Best-Practizes und Security-Baselines, Hardening-Guidelines usw. bei CISA, BSI, Microsoft und diversen Blogs, und die Empfehlung gillt nicht nur für IIS, sondern auch für Apache, Tomcat, … usw. Auch das beliebte IIS-Crypto-Tool gibt AES 128 nicht mehr als Default vor.
Vier Jahre alter Artikel zu IIS-Hardening:
https://techcommunity.microsoft.com/t5/itops-talk-blog/windows-server-101-hardening-iis-via-security-control/ba-p/329979
Man beachte Punkz 7.10.
Und wohl immer noch aktuell …
Ja, genau
Mir ist die Aussage ein wenig zu ungenau. Ich habe mir die Links angesehen und mein Eindruck ist, dass es nicht darum geht, die Unsicherheit von AES 128 herauszustellen, sondern dass es darum geht, dass es keinen Grund mehr gibt AES 256 nicht zu aktivieren und dann sicherzustellen, AES 128 wenn nur aus Kompatibilitätsgründen zu aktivieren, da alle Betriebssysteme AES 256 seit 20 Jahren unterstützen.
Wenn man dem Link folgt, gelangt man zum CIS Microsoft IIS 10 Benchmark v1.2.0 – PDF von 15.11.2022.
https://workbench.cisecurity.org/files/4131
Hier sieht man, dass Tenable einfach den Text ohne weitere Begründungslinks übernommen hat. Im Dokument wird die Aussage unter Recommendations geführt Enabling AES 256/256 is recommended, Ensure AES 128/128 Cipher Suite is Disabled
Ja, AES 128 hat seine Probleme aber darum geht es in keinem der Links.
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn786419(v=ws.11)?redirectedfrom=MSDN
https://learn.microsoft.com/en-us/windows/win32/secauthn/cipher-suites-in-schannel?redirectedfrom=MSDN
https://owasp.org/www-project-web-security-testing-guide/assets/archive/OWASP_Web_Application_Penetration_Checklist_v1_1.pdf
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn786433(v=ws.11)?redirectedfrom=MSDN
Mir is keine Angriff bekannt, bei dem ein Angriff hätte verhindert werden können, wenn AES 256, statt AES 128 verwendet worden wäre. Das ist schon sehr speziell, ohne das Risiko herunter zu spielen.
Man sollte eher darauf achten, welcher Blockcipher angegeben ist. Da gibt es definitiv Probleme und auch GCM hat Diskussionsbedarf. Aber diese Diskussion müssten dann alle Windows 10 Nutzer auch für TLS 1.2 führen.
Mein Tipp, einfach mit IIS Crypto mal alles überprüfen und gegebenfalls deaktivieren.
https://www.nartac.com/Products/IISCrypto
Grüße
Grundsätzlich man sollte das nicht alles in einen Topf werfen und nur auf die Zahl 128 starren.
Viel wichtiger ist welcher Algorithmus genau verwendet wird.
CBC oder GCM mit oder ohne PFS usw.
CBC egal ob 128 oder 256 sollten nicht mehr verwendet werden, ohne PFS sowieso nicht.
Braucht man auch nicht mehr da selbst ältere OS wie z.B. Windows 7 oder Android 4.4 unterstützen GCM + PFS.
Und TLS_AES_128_GCM_SHA256 ist soweit ich weiß sogar Pflicht um die TLS 1.3 Spec zu erfüllen.
https://www.ssllabs.com/ssltest/ hilft da auch weiter.
https://www.rfc-editor.org/rfc/rfc8446#section-9.1
"
9. Compliance Requirements
9.1. Mandatory-to-Implement Cipher Suites
In the absence of an application profile standard specifying
otherwise:
A TLS-compliant application MUST implement the TLS_AES_128_GCM_SHA256
[GCM] cipher suite and SHOULD implement the TLS_AES_256_GCM_SHA384
[GCM] and TLS_CHACHA20_POLY1305_SHA256 [RFC8439] cipher suites (see
Appendix B.4).
"
Dem ist nichts hinzuzufügen ;)
Doch, denn die genannte RFC bezieht sich auf TLS 1.3.
Bei TLS 1.2 gibt es die genannten Cipher-Suites nicht.
TLS 1.3 wird erst ab Windows Server 2022 und Windows 11 unterstützt.
Bei TLS 1.2 gilt:
https://www.rfc-editor.org/rfc/rfc5246#section-9
9. Mandatory Cipher Suites
In the absence of an application profile standard specifying
otherwise, a TLS-compliant application MUST implement the cipher suite TLS_RSA_WITH_AES_128_CBC_SHA (see Appendix A.5 for the definition).
Da sowohl bei TLS 1.2 als auch 1.3 eine AES128 Chiphersuite verpflichtend ist, kann man AES128 nicht abschalten.
Welche Windows-Version welche Ciphers und TLS-Versionen unterstützt, kann man hier nachlesen:
https://learn.microsoft.com/de-de/windows/win32/secauthn/cipher-suites-in-schannel
und TLS_RSA_WITH_AES_128_CBC_SHA unterstützt kein PFS!
(und daher haben wir die auch abgeschaltet, RFC hin oder her)
Wir haben alles mit 128 Bit abgeschaltet und es funktioniert noch.