Re: [ml] protocollo RDP 5.2 e SSL

Alberto Spelta wrote:
> l'imopstazione per la crittografia impone l'utilizzo di algoritmi FIPS compatibili.
>   
no, non lo impone. Quello è un setting a parte. Semplicemente usa uno 
stack diverso di protocolli, TCP -> OSI -> TLS -> MCS -> RDP anzichè TCP 
-> OSI -> MCS -> SSL farlocco -> RDP ("SSL farlocco" è il cugino bifolco 
e ritardato dell'SSL standard, uno stream RC4 con scambio di chiavi 
basato su una vecchia draft di SSL), con il livello OSI sempre fuori dal 
tunnel cifrato perchè contiene informazioni di clustering che devono 
passare in chiaro per i load balancer, e "impone" al client di 
verificare il certificato del server, ma sul serio (non per finta come 
con l'SSL farlocco, che un certificato, tanto per non sbagliare, lo 
manda lo stesso, ovviamente self-signed).

RDP 6.0, già che ci siamo e tanto per fare un po' di salotto, cambia 
ulteriormente il protocollo usando una chiave RSA enorme (se non 
sbaglio, anche nel protocollo legacy) e permettendo di autenticarsi già 
al livello del trasporto anzichè a livello di RDP
> Quanto è sicura questa architettura ?
è TLS 1.0. Non avrai altro tunnel all'infuori di lui. Non ha più 
vulnerabilità di quante non ne abbia HTTPS (cioè nessuna), a meno di 
clamorosi errori nella gestione del layer OSI