Welche SSL-Cipher kann The Bat?

  • Hallo,
    ich habe mir frisch The Bat! installiert und wollte es mit meinem IMAP-Konto verbinden.
    Leider kann ich keine TLS-Verbindung herstellen, weil offensichtlich The Bat! keine modernen SSL-Cipher unterstützt.

    Auf dem Server ist gesetzt: "AES256+EECDH:AES256+EDH:CAMELLIA256+EDH". Thunderbird hat damit keine Probleme.
    Gibt es eine Liste, auf was The Bat! limitiert ist?

    Danke!

  • ECDH und ECDH mit secp384r1 kann The Bat! üebr TLS 1.1 verbinden.
    Sonst würde mein Dovecot ja nicht verbinden.

    Mein IMAP-Server hat:
    ssl_cipher_list = ALL:!LOW:!SSLv2:!DES:!3DES:!EXP:!RC4:!MD5:!aNULL
    ssl_protocols = !SSLv2 !SSLv3

    Laut openssl wäre das:
    # openssl ciphers -v 'ALL:!LOW:!SSLv2:!DES:!3DES:!EXP:!RC4:!MD5:!aNULL'


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    3 Mal editiert, zuletzt von GwenDragon (3. März 2015 um 19:45)

  • Also offensichtlich kann The Bat! keine besseren Cipher.

    "AES256+EECDH:AES256+EDH:CAMELLIA256+EDH" entspricht

    Selbst, wenn ich AES128+(DHE/ECDHE/CAMELLIA) mitaufnehme, hilft das nicht.

    Wenn ich deine Wahl setzte, klappt es soweit, wobei leider The Bat! kein SNI unterstützt.. aber das ist ein anderes Problem.
    Das heißt aber im Umkehrschluss, dass Cipher wie ECDHE-ECDSA-AES256-GCM-SHA384 NICHT unterstützt werden.

    Wenn ich also meine Liste mit deiner Vergleiche und alle meine Cipher ausnehme, bleibt übrig:

    Daraus folgt für mich, dass The Bat! kein ECDHE-ECDSA kann. Das Problem daraus ergibt sich nach meinem Verständnis, dass somit The Bat! KEIN Perfect Forward Secrecy kann, weil das mit "nur" ECDH nicht machbar ist.. oder hab ich hier ein Missverständnis?

  • Dann unterstütze bitte den folgende Bugeintrag für The Bat!, damit es neuere Chiffren gibt:

    Ich habe deinen BT-Eintrag so verstanden, dass u.a. folgende Cipher-Unterstützung eingebaut werden soll:

    Code
    ECDHE-RSA-AES256-GCM-SHA384
    DHE-RSA-AES256-GCM-SHA384


    Wie das jetzt mit den anderen Ciphers ist, weiß ich nicht, aber diese beiden werden von TB! unterstützt. T-Online und GMX z.B. verwenden bei ihren Secure-Servern "ECDHE-RSA-AES256-GCM-SHA384". Strato und freenet verwenden "DHE-RSA-AES256-GCM-SHA384". Würde TB! sie nicht unterstützen, wäre doch keine TLS-Verbindung möglich gewesen.

  • Nein, The Bat! connectiert nicht mit ECDHE! sondern wie mit:

    Code
    Mar  4 14:53:54 ***** postfix/smtpd[29340]: Anonymous TLS connection established from p********.dip0.t-ipconnect.de[84.147.***.***]: TLSv1.1 with cipher AES256-SHA (256/256 bits)


    Während andere bessere Chiffren aushandeln:

    Code
    Mar  4 14:53:55 ******* postfix/smtp[29346]: Untrusted TLS connection established to du-ae.mail.protection.outlook.com[213.199.154.23]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Weil mein Postfix das mir im Log sagt ;)
    Und Postfix benutzt und erzwingt(!) folgende Cipher-Liste:

    Code
    aNULL:-aNULL:ALL:!EXPORT:!LOW:!MEDIUM:+RC4:@STRENGTH

    Thunderbird verwendet bei SMTP

    Code
    Mar  4 15:47:25 ***** postfix/smtpd[4901]: Anonymous TLS connection established from p******.dip0.t-ipconnect.de[84.147.***.***]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Kann ich nicht, weil ich nicht weiß welche Chiffren und welches Protokoll der T-Online-Server erzwingt und wie The Bat das aushandelt.


    The Bat! hat Mails über mein T-Online-Konto (an mich selbst) versandt mit: TLS 1.1 mit AES256-SHA
    wie zu sehen:

    Code
    Received: from pc2.intern (E4u4ECLaKcMcM466RRP8I66Rgz765s466RRP8IgGC@[84.147.****.***]) by fwd11.t-online.de
            with (TLSv1.1:AES256-SHA encrypted)
      esmtp id 1YTBKI-3VvG400; Wed, 4 Mar 2015 16:35:10 +0100

    Also ältere "Popelchiffre", es geht auch sicherer wenn Ritlabs die TLS-Bibliothek aufarbeiten würde.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    2 Mal editiert, zuletzt von GwenDragon (4. März 2015 um 18:48)

  • Muss aber sagen, ich bin da ziemlich enttäuscht, dass es im Jahre 2015 (!) noch Clients gibt, welche kein TLS 1.2 können. Einfach unverständlich.

    Stimm' ich voll zu!


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Seit The Bat! v7.3.2 folgende Cipher werden unterstützt:

    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • Ja, aber hier gehts ja um 6.x, die kann kein Forward Secrecy mit ECDHE.

    Wer also verbesserte SSL-Verbindungen will, muss auf unbedingt auf 7.3.4 umsteigen.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.