none
특정 암호화 알고리즘를 이용한 SSL/TLS 통신 문의. RRS feed

  • 질문


  • 안녕하세요.

    암호화 알고리즘에 관하여 도움 부탁 드립니다.

     

    [Exchange 환경] 

    Win2k3_Exchange 2003_SP2

     

    [문의사항]

    해외 고객사 (Nokia) 에서 암호화 세션 협상 시 DHE-RSA-AES256-SHA 알고리즘만 적용된 SSL/TLS 암호화를 요구하여, 인증기관에 해당 알고리즘이 포함된 

    256 bit 인증서를 발급 후 SSLV3/TLSV1 적용을 하였으나, 상대방 측 에서는 자꾸 암호화 방식이 RC4-MD5 알고리즘 기반으로 세션이 협상된다고 함.

    고객측은 Nokia 측과 TLS 메일 통신 시 AES_256_CBC 암호화 알고리즘 통신을 요구 하고 있습니다.

     

    [작업내용]

    Chrome , Firefox Browser에서 확인 시 암호화 방식이 모두 RC4-MD5 로 확인되며, 수신 측 메일로그에서도 (version=TLSv1/SSLv3, verify=NOT, cipher=RC4-MD5,

    bits=128/128) cipher  RC4-MD5로 확인되어 이슈 해결을 위하여 Windows Server 2003 에서 AES 알고리즘이 지원되게끔 Hotfix

    (http://support.microsoft.com/kb/948963/en) 설치 후 SSL/TLS 암호화 방식을 다시 확인한 결과 Chrome , Firefox Browser 및 수신 측 TLS 메일로그에서 cipher

     AES_128_CBC 알고리즘이 적용된 것을 확인하였지만, Hotfix 가 설치되기 전 정상적으로 수신되었던 메일들이 전혀 수신되지 않았습니다.

    (일반메일들은 모두 정상 수신되나, 상대방 측에서 TLS 가 적용된 메일에 대해서는 메일 수신 안됨.)

     

    Hotfix 설치 후 메일이 수신되지 않는 이슈에 대한 해결 방법에 대하여 도움 부탁 드립니다.

     

    [추가문의사항]

    고객사측에서 클라이언트와 암호화 협상 시 암호화 bit  AES_128 bit 가 아닌 AES_256 bit 로 암호화 협상을 완강히 요구하여 ,

    레지스트리 키 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers 하위의 AES_128 bit

    알고리즘을 Disabled 후 테스트 시 AES_256 bit 로 암호화 되는 건 확인하였지만, 마찬가지로 메일 수신에 동일한 이슈가 발생 하였습니다.


    • 편집됨 페이스북 2011년 11월 29일 화요일 오후 3:43
    2011년 11월 29일 화요일 오후 3:39

모든 응답

  • 안녕하십니까? _팡 님

    Microsoft TechNet Forum 사이트를 방문해 주셔서 감사합니다.

     

    문의 하신 특정 암호화 알고리즘를 이용한 SSL/TLS 통신 문의에 대한 답변을 드리겠습니다.

     

    아래 두 자료를 다운 받으신 후 SMTPDIag, NetMon 3.4 툴로 TLS Connection이 정상적으로 연결되는지 확인하시기 바랍니다.

    위에서 언급하신 자료를 이해하고 맞는지 확인했습니다. 제 생각에는 AES_256 방식을 사용하기 위해서 변경한 점은 이상이 없습니다.

     

    참고 자료

     

    Microsoft Exchange Server SMTPDiag Tool

    http://www.microsoft.com/download/en/details.aspx?id=11393

     

    Microsoft Network Monitor 3.4

    http://www.microsoft.com/download/en/details.aspx?id=4865

     

    제가 문제에 대해 더 알아야 할 것이 있다면 응답 주시면 감사하겠습니다.

    제시해 드린 답변이 도움이 되었기를 바랍니다.

    2011년 12월 8일 목요일 오전 9:14
    중재자