SChannel中密码套件的选择

Question

我已经实现了一个客户机/服务器应用程序(Windows10.0.17763.0/ app 2017/C++)，它使用schannel进行安全通信。现在的要求是只使用一组密码套件用于某些客户端和服务器之间的通信。

使用BCryptAddContextFunction/BCryptRemoveContextFunction API，我可以在SChannel中更改受支持的密码，但这是一个系统范围的设置，而不仅仅是对我的应用程序。为了以编程方式控制它，我尝试在ALG_IDs中使用AcquireCredentialsHandle。下面是我的应用程序应该支持的唯一密码套件。

• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

因此，我构建了如下所示的ALG_IDs。

std::vector<ALG_ID> algos       = { CALG_AES_256 , CALG_AES_128 , CALG_SHA_384 , CALG_SHA_256,CALG_ECDH_EPHEM,CALG_DH_EPHEM };
schannelCred.cSupportedAlgs     = static_cast<DWORD>(algos.size());
schannelCred.palgSupportedAlgs  = &algos[0];

使用wireshark，我发现下面是我的应用程序在客户端hello中使用上面的ALG_IDs提出的密码套件，

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

问题是，

1. 如何只允许 AES_GCM大容量加密？当我将CALG_AES添加到列表中时，AES_GCM和AES_CBC都被允许。
2. 如何控制签名？添加CALG_ECDH_EPHEM既启用了TLS_ECDHE_ECDSA，也支持了只需要TLS_ECDHE_RSA的TLS_ECDHE_RSA。将CALG_RSA_SIGN添加到ALG_ID删除了TLS_ECDHE_ECDSA，但它开始允许TLS_RSA_*密码套件。

Answer 1

在调用SCH_CREDENTIALS函数时，可以使用SCHANNEL_CRED结构而不是SCHANNEL_CRED。

使用一个TLS_PARAMETERS结构数组创建CRYPTO_SETTINGS。每个CRYPTO_SETTINGS结构定义密钥交换、签名、摘要和批量密码算法的限制。然后，您可以选择满足应用程序需求的组合。此结构(SCH_CREDENTIALS)使用SCHANNEL_USE_BLACKLIST标志/approach，禁用指定的TLS会话不需要的内容。通过正确组合eAlgorithmUsage和strCngAlgId成员的CRYPTO_SETTINGS结构，我认为您实现了所需的TLS会话行为。

见第三版https://learn.microsoft.com/en-us/windows/win32/api/schannel/ns-schannel-sch_credentials

https://learn.microsoft.com/en-us/windows/win32/api/schannel/ns-schannel-tls_parameters

例如，如果将AES_CBC包含在具有适当eAlgorithmUsage成员值的限制之一(在本例中为TlsParametersCngAlgUsageCipher )，则应将其作为批量加密算法从会话中排除。确保将AES_GCM排除在该eAlgorithmUsage的限制之外。

关于控制签名算法，CRYPTO_SETTINGS结构eAlgorithmUsage成员的值为TlsParametersCngAlgUsageSignature，限制了将分配给strCngAlgId成员的算法用作该会话的签名算法。还可以确定要限制的最小和最大长度。

最后，

“协议密钥下注册表项中的DisabledByDefault值不优先于在the SCHANNEL_CRED structure中定义的包含Schannel凭据数据的grbitEnabledProtocols值。”(https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel)。

对于该TLS会话的grbitDisabledProtocols结构的TLS_PARAMETER成员来说，这也是正确的。

如果详细说明了签名算法、密钥交换、批量加密和摘要的正确组合，则可以将不需要的算法从密码套件中的特定位置筛选出来。

Answer 2

使用CNG函数:这里的示例https://github.com/MicrosoftDocs/win32/blob/docs/desktop-src/SecAuthN/prioritizing-schannel-cipher-suites.md

此外，“在协商密码套件时，客户端会发送一条握手消息，其中包含它将接受的密码套件列表。服务器从列表中选择并发送一条握手消息，指示它将接受哪个密码套件。尽管客户端可以使用它认为首先列出的最强密码套件来订购列表，但服务器可能忽略首选顺序，并选择客户机建议的任何密码套件。服务器可能有自己的密码套件偏好顺序，可能与客户端不同，因此无法保证协商会在最强的公共套件上解决。如果客户端和服务器没有共同的密码套件，则中断连接。

NIST特别出版物800-52修订版2关于传输层安全(TLS)实现的选择、配置和使用指南，第3.3.1节密码套件。克里A. McKay大卫A.库珀计算机安全司信息技术实验室本出版物免费提供：https://doi.org/10.6028/NIST.SP.800-52r2