Tid for fjendtlig dekryptering af https-kald

HTTPS bruger TLS (SSL).

TLS (SSL) bruger forskellige algoritmer:
  RC4, 3DES, AES for symmetrisk kryptering
  RSA, DH for assymetrisk kryptering

Den eksakte tid for et brute force angreb vil afhaenge af hvilke algoritmer og hvormange bits anvendt i algoritmen.

Men med f.eks. AES og RSA med et fornuftigt antal bit vil et brute force skulle maales i millioner af aar.

Bemærk at headeren ikke krypteres, og at indhold af cookies derfor vil kunne læses. Det kan også bruges til angreb.

Krypterer SSL ikke HTTP headerne ??

Jo, SSL krypterer headerne.

Det er lige præcis derfor at der kun kan være ét website med ssl per IP-adresse, fordi apache/iis ikke kan læse "Host" headeren før den ved hvilken virtuel host forespørgslen skal til. For sti til dekrypteringsnøglen ligger i host'en.

Alle headers, inkl. cookies, etc er krypteret.

Mvh,
Michael

Ja, headerne krypteres, min fejl. Men selv om der anvendes SSL, skal man yderlige tænke på sikkerhed. Et enkelt eksempel: http://it.slashdot.org/article.pl?sid=08/09/09/1558218

Enig. :)

Hvad er pointen i den artikel?

At der er en som har genopfundet det som har været almindeligt kendt i årevis at det ikke er nok at bruge HTTPS til login, men at der skal bruges HTTPS til det hele?

Tak for svarene og diskussione. At det skal måles i antal millioner af år er rigeligt svar på mit spørgsmål. Tak.

det tager jeg som en opfordring til at smide svar

det er vaerd at understrege at de millioner af aar er ved brute force paa en opsnappet message

svaghederne er typisk i enderne - hvis en af enderne bliver kompromiteret

Ja.

Scenariet hvor det er relevant er et hvor der skal kommunikeres mellem to webservere. Der foreslås kryptering med https men som ekstra sikkerhed kunne kommunikationen foregå gennem en VPN-forbindelse.

I begge tilfælde forstår jeg det ikke er afgørende hvordan der kaldes, men om en af enderne bliver kompromitteret, som du skriver.

VPN krypteringen er næppe mere sikker end HTTPS krypteringen, men der kan være fordele ved den alligevel. Den kan benytte certificat også på client side så man ved hvem det er i den anden ende. Fronlinien flyttes fra ens web server ud i VPN routeren, hvilket kan have fordele ved DoS angreb.