Sie sind nicht angemeldet.

[offen] ubuntu - mariaDB mit SSL verschlüsseln

Lieber Besucher, herzlich willkommen bei: Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Joe2017

User

  • »Joe2017« ist der Autor dieses Themas

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

1

23.03.2018, 10:57

ubuntu - mariaDB mit SSL verschlüsseln

Hallo zusammen,

ich habe eine ubuntu 18.04 Installation mit einer Standard mariaDB Installation. Diese möchte ich mit SSL Zertifikaten (ECC 384) verschlüsseln. Jedoch gibt es hier ein Problem. Die Standard mariaDB Installation wird mit "version_ssl_library | YaSSL 2.4.4" bereitgestellt. Jedoch habe ich gelesen das YaSSL nur folgende Zertifikate unterstützt:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

DHE-RSA-AES256-SHA
DHE-RSA-AES128-SHA
AES128-RMD
DES-CBC3-RMD
DHE-RSA-AES256-RMD
DHE-RSA-AES128-RMD
DHE-RSA-DES-CBC3-RMD
AES256-SHA
RC4-SHA
RC4-MD5
DES-CBC3-SHA
DES-CBC-SHA
EDH-RSA-DES-CBC3-SHA
EDH-RSA-DES-CBC-SHA
AES128-SHA:AES256-RMD


OpenSSL hingegen folgende:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69

ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
DHE-RSA-AES128-GCM-SHA256
DHE-DSS-AES128-GCM-SHA256
DHE-RSA-AES128-SHA256
DHE-DSS-AES128-SHA256
DHE-DSS-AES256-GCM-SHA384
DHE-RSA-AES256-SHA256
DHE-DSS-AES256-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
DHE-DSS-AES128-SHA
DHE-RSA-AES128-SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
DHE-RSA-AES256-SHA
AES128-GCM-SHA256
DH-DSS-AES128-GCM-SHA256
ECDH-ECDSA-AES128-GCM-SHA256
AES256-GCM-SHA384
DH-DSS-AES256-GCM-SHA384
ECDH-ECDSA-AES256-GCM-SHA384
AES128-SHA256
DH-DSS-AES128-SHA256
ECDH-ECDSA-AES128-SHA256
AES256-SHA256
DH-DSS-AES256-SHA256
ECDH-ECDSA-AES256-SHA384
AES128-SHA
DH-DSS-AES128-SHA
ECDH-ECDSA-AES128-SHA
AES256-SHA
DH-DSS-AES256-SHA
ECDH-ECDSA-AES256-SHA
DHE-RSA-AES256-GCM-SHA384
DH-RSA-AES128-GCM-SHA256
ECDH-RSA-AES128-GCM-SHA256
DH-RSA-AES256-GCM-SHA384
ECDH-RSA-AES256-GCM-SHA384
DH-RSA-AES128-SHA256
ECDH-RSA-AES128-SHA256
DH-RSA-AES256-SHA256
ECDH-RSA-AES256-SHA384
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
DHE-DSS-AES128-SHA
DHE-RSA-AES128-SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
DHE-RSA-AES256-SHA
AES128-SHA
DH-DSS-AES128-SHA
ECDH-ECDSA-AES128-SHA
AES256-SHA
DH-DSS-AES256-SHA
ECDH-ECDSA-AES256-SHA
DH-RSA-AES128-SHA
ECDH-RSA-AES128-SHA
DH-RSA-AES256-SHA
ECDH-RSA-AES256-SHA
DES-CBC3-SHA


Wie kann ich die version_ssl_library von YaSSL auf OpenSSL umstellen. Kann mir hierbei jemand weiterhelfen?

Ich habe auch festgestellt, dass mein Eintrag have_openssl auf NO steht. Gibt es eine Möglichkeit in der standard mariaDB Installation unter ubuntu das openssl in die bestehende Version zu kompilieren bzw. zu erweitern?

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Joe2017« (23.03.2018, 12:15)

chroot

Ubuntu-Forum-Team

  • »chroot« ist männlich

Beiträge: 2 321

Registrierungsdatum: 04.03.2008

Derivat: Kein Ubuntu-Derivat

Architektur: 64-Bit PC

Desktop: KDE4

Andere Betriebssysteme: Fedora 27

  • Nachricht senden

2

23.03.2018, 12:31

Hi,

so weit ich weiß, kannst du openssl nur verwenden, wenn du mariadb selbst übersetzt und openssl dazu verwendest. Angeboten mit openssl wird es nicht, wegen irgendwelchen lizenz-problemen.

Solltest du dich dazu entschließen, mariadb selbst zu übersetzen, kannst du hier ansetzen.
"Do or do not. There is no try." (Yoda) || Thread auf gelöst/erledigt setzen

Joe2017

User

  • »Joe2017« ist der Autor dieses Themas

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

3

23.03.2018, 13:57

Andere Frage,

habe ich mit yaSSL die Möglichkeit ECDSA (ECC 384) Zertifikate zu verwenden?
Ich kann mir nicht vorstellen, dass heutzutag nur RSA Zertifikate verwendet werden können.

chroot

Ubuntu-Forum-Team

  • »chroot« ist männlich

Beiträge: 2 321

Registrierungsdatum: 04.03.2008

Derivat: Kein Ubuntu-Derivat

Architektur: 64-Bit PC

Desktop: KDE4

Andere Betriebssysteme: Fedora 27

  • Nachricht senden

4

23.03.2018, 15:09

Anscheinend nicht. Auszug aus der info von wolfssl :

Zitat

  • SSL version 3 and TLS versions 1.0 and 1.1 (client and server)
  • Runtime memory usage between 5-50kb
  • DTLS support (client and server)
  • OpenSSL compatibility layer ( Read More )
  • MySQL integration
  • zlib compression support
  • stunnel integration, see download page to get version of stunnel with wolfSSL
  • Multiple Hashing Functions: MD2, MD4, MD5, SHA-1, SHA-2, RIPEMD
  • Block and Stream Ciphers: DES, 3DES, AES, ARC4, RABBIT, HC-128
  • Public Key Options: RSA, DSS, DH
  • Password-based Key Derivation: HMAC, PBKDF2, PKCS#5
  • Simple API
  • Interchangeable crypto and certificate libraries
  • PEM and DER certificate support
  • Intel AES-NI support
  • Client authentication support
  • Sniffer support
Hier wirst du auf RSA (oder einen anderen genannten) ausweichen müssen. Außer, wie oben geschrieben, du ersetzt yassl durch openssl. Was genau ist das problem an RSA? Ein 4096 bit schlüssel sollte doch seinen zweck erfüllen. Wenn ein produkt eine andere ssl implementierung verwendet, dann sind sicher andere private/public-key verfahren möglich, aber mariadb hat sich halt für diese lib entschieden.

Eine andere möglichkeit wäre, wenn du nicht zwingend auf mariadb angewiesen bist, event. auf postgresql oder mysql umzusteigen! Postgresql nutzt openssl. Bei mysql ist die community version jedoch auch mit yassl unterwegs und müsste auch mit openssl neu übersetzt werden.
"Do or do not. There is no try." (Yoda) || Thread auf gelöst/erledigt setzen

Joe2017

User

  • »Joe2017« ist der Autor dieses Themas

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

5

23.03.2018, 15:56

Das Problem ist, dass die Anforderung ECC 384 ist. Die Verschlüsselung mit RSA 4096 ist leider nicht ausreichend.
Kann doch nicht sein, dass in der heutigen Zeit kein ECC unterstützt wird. :-( Das ist echt erschreckend.

Wenn ich das OpenSSL einbinde und mariaDB selbst kompiliere bin ich auch wieder außerhalb der Standards. :-(
Das ist so oder so unbefridigend.

Wenn es keine andere Möglichkeit gibt, muss ich prüfen welchen Kompromiss ich hier gehen werde.

Vielen Dank für die Mithilfe.

Ähnliche Themen