安全扫描问题：目标主机支持RSA密钥交换（风险分析与解决方案）

一、问题概述

在安全扫描（如Nessus、OpenVAS、Qualys）中，“目标主机支持RSA密钥交换”通常被标记为中高危漏洞（CVE相关风险：如CVE-2015-4000“Logjam”、CVE-2014-3566“POODLE”等）。该问题的核心是目标主机的TLS/SSL协议在密钥协商阶段允许使用RSA密钥交换算法，而该算法存在根本性安全缺陷，不符合现代网络安全标准（如PCI DSS、NIST SP 800-52）。

关键术语区分

RSA密钥交换：用于TLS/SSL会话的密钥协商（Key Exchange），客户端用服务器公钥加密预主密钥，服务器用私钥解密，双方基于此生成会话密钥。
RSA签名：用于服务器身份验证（Certificate Signature），属于安全功能，无需禁用（需与密钥交换功能区分）。
!RSA语法：在OpenSSL、Nginx、Apache等工具的密码套件配置中，!RSA是排除所有基于RSA密钥交换的套件的简洁语法，核心作用是快速禁用TLS_RSA_*系列套件，不影响RSA签名功能。

二、底层原理与风险分析（含!RSA作用逻辑）

2.1 RSA密钥交换工作流程

1客户端                          服务器
2  |                              |
3  |  1. 客户端生成预主密钥（Pre-Master Secret）
4  |                              |
5  |  2. 用服务器公钥（证书中提取）加密预主密钥
6  | ---------------------------> |
7  |                              |  3. 服务器用私钥解密预主密钥
8  |                              |
9  |  4. 双方基于预主密钥+随机数生成会话密钥（Master Secret）
10  | <--------------------------> |
11  |                              |  5. 用会话密钥加密后续通信数据
12

2.2 核心安全缺陷

无向前安全性（Forward Secrecy, FS）
若服务器私钥泄露，攻击者可解密所有历史会话数据（因所有会话的预主密钥均由同一私钥解密）。现代密钥交换算法（ECDHE/DHE）通过每次会话生成临时密钥对，实现向前安全性（私钥泄露不影响历史数据）。
易受降级攻击与弱密钥风险
- 攻击者可强制客户端与服务器使用RSA密钥交换（而非更安全的ECDHE），再通过暴力破解或数学攻击获取密钥。
- 早期RSA实现可能使用短密钥（<2048位），进一步降低破解难度。
不支持TLS 1.3
TLS 1.3已彻底废弃RSA密钥交换，仅支持ECDHE等向前安全算法。若目标主机仍支持RSA密钥交换，可能意味着其TLS协议版本过低（如TLS 1.0/1.1），存在更多安全漏洞。

2.3 !RSA语法核心作用与原理

语法本质：!RSA是OpenSSL密码套件筛选规则中的“否定符”，表示“排除所有以RSA为密钥交换方式的套件”（即TLS_RSA_*），但不影响以RSA为签名算法的套件（如ECDHE-RSA-AES256-GCM-SHA384，其密钥交换是ECDHE，签名是RSA，属于安全套件）。
作用逻辑：
传统配置需手动罗列允许的套件（如ECDHE/DHE系列），而!RSA可直接“一刀切”排除不安全的RSA密钥交换套件，同时保留所有安全的密钥交换套件（ECDHE/DHE），配置更简洁、不易遗漏。
与其他否定语法的区别：
- !RSA：仅排除RSA密钥交换套件；
- !aRSA：排除所有使用RSA（含签名）的套件（不推荐，会禁用安全的ECDHE-RSA-*套件）；
- !TLS_RSA_*：与!RSA效果完全一致，只是!RSA更简洁。

三、解决方案（含!RSA配置方案）

3.1 核心思路

通过!RSA语法快速禁用所有RSA密钥交换套件，同时强制使用TLS 1.2+协议，保留向前安全的密钥交换套件（ECDHE/DHE），无需手动罗列所有安全套件，配置更高效。

3.2 系统级OpenSSL配置（全局生效，推荐!RSA方案）

步骤1：编辑OpenSSL配置文件

1vim /etc/ssl/openssl.cnf
2

步骤2：用!RSA配置密码套件（简洁高效）

在[system_default_sect]节点下添加（无该节点则创建）：

1[system_default_sect]
2MinProtocol = TLSv1.2  # 禁用TLS 1.0/1.1（必须配合，否则低版本协议可能绕过!RSA）
3CipherString = DEFAULT:!RSA:!SSLv3:!TLSv1:!TLSv1.1  # 核心配置
4# 说明：
5# DEFAULT：使用OpenSSL默认安全套件集（含ECDHE/DHE）；
6# !RSA：排除所有RSA密钥交换套件；
7# !SSLv3:!TLSv1:!TLSv1.1：禁用低版本协议，避免协议降级攻击。
8

步骤3：验证配置生效

1openssl ciphers -v 'DEFAULT:!RSA'  # 查看过滤后的套件
2# 输出中应仅包含ECDHE-*、DHE-*开头的套件，无任何TLS_RSA_*套件
3

3.3 常见服务配置（Nginx/Apache/SSH，优先!RSA方案）

3.3.1 Nginx配置（!RSA简洁版）

编辑Nginx配置文件（如/etc/nginx/nginx.conf）：

1http {
2    ssl_protocols TLSv1.2 TLSv1.3;  # 强制TLS 1.2+（TLS 1.3天然禁用RSA密钥交换）
3    ssl_prefer_server_ciphers on;
4    ssl_ciphers "DEFAULT:!RSA:!SSLv3:!TLSv1:!TLSv1.1";  # 用!RSA快速排除
5    # 可选优化：指定套件优先级（ECDHE优先于DHE）
6    # ssl_ciphers "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DEFAULT:!RSA:!SSLv3:!TLSv1:!TLSv1.1";
7}
8
9server {
10    listen 443 ssl;
11    server_name example.com;
12    ssl_certificate /path/to/cert.pem;
13    ssl_certificate_key /path/to/key.pem;
14}
15

重启Nginx生效：

1systemctl restart nginx
2

3.3.2 Apache配置（!RSA简洁版）

编辑/etc/httpd/conf.d/ssl.conf（CentOS）或/etc/apache2/mods-available/ssl.conf（Ubuntu）：

1SSLProtocol TLSv1.2 TLSv1.3  # 禁用低版本协议
2SSLCipherSuite DEFAULT:!RSA:!SSLv3:!TLSv1:!TLSv1.1  # !RSA核心配置
3SSLHonorCipherOrder on  # 优先使用服务器指定的套件
4

重启Apache生效：

1systemctl restart httpd  # CentOS
2systemctl restart apache2  # Ubuntu
3

3.3.3 SSH服务（无!RSA语法，需手动指定算法）

SSH的密钥交换配置不支持!RSA语法，需直接指定安全的密钥交换算法（禁用rsa1及不安全的RSA交换）：

1# 编辑/etc/ssh/sshd_config
2KexAlgorithms [email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
3HostKeyAlgorithms ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-256,rsa-sha2-512
4MACs hmac-sha2-256,hmac-sha2-512
5

重启SSH服务：

1systemctl restart sshd
2

3.4 自定义C/C++程序（基于OpenSSL，支持!RSA语法）

在代码中使用SSL_CTX_set_cipher_list()指定!RSA，无需手动罗列套件，配置更简洁。

核心代码示例（关键部分）

1// 创建SSL上下文（禁用RSA密钥交换，使用!RSA）
2SSL_CTX* create_ssl_context() {
3    const SSL_METHOD* method = TLS_server_method();
4    SSL_CTX* ctx = SSL_CTX_new(method);
5    if (!ctx) {
6        ERR_print_errors_fp(stderr);
7        exit(EXIT_FAILURE);
8    }
9
10    // 1. 强制TLS 1.2+
11    if (SSL_CTX_set_min_proto_version(ctx, TLS1_2_VERSION) != 1) {
12        ERR_print_errors_fp(stderr);
13        SSL_CTX_free(ctx);
14        exit(EXIT_FAILURE);
15    }
16
17    // 2. 用!RSA禁用RSA密钥交换（简洁高效）
18    const char* cipher_list = "DEFAULT:!RSA:!SSLv3:!TLSv1:!TLSv1.1";
19    if (SSL_CTX_set_cipher_list(ctx, cipher_list) != 1) {
20        ERR_print_errors_fp(stderr);
21        SSL_CTX_free(ctx);
22        exit(EXIT_FAILURE);
23    }
24
25    // 3. 加载证书和私钥（省略，同之前示例）
26    return ctx;
27}
28

编译与验证

1gcc -o tls_server tls_server.c -lssl -lcrypto -ldl -pthread
2./tls_server
3# 连接后通过openssl s_client验证套件是否为ECDHE/DHE
4

3.5 交叉编译场景（嵌入式Linux，!RSA配置兼容）

步骤1：交叉编译OpenSSL（无需额外修改，支持!RSA语法）

1# 下载OpenSSL 1.1.1w
2wget https://www.openssl.org/source/openssl-1.1.1w.tar.gz
3tar -zxvf openssl-1.1.1w.tar.gz
4cd openssl-1.1.1w
5
6# 交叉编译配置（ARM为例）
7./Configure linux-armv4 shared no-ssl3 no-tls1 no-tls1_1 \
8--prefix=/path/to/openssl-arm \
9--cross-compile-prefix=arm-linux-gnueabihf-
10
11make -j4 && make install
12

步骤2：交叉编译自定义程序（保留!RSA配置）

1arm-linux-gnueabihf-gcc -o tls_server_arm tls_server.c \
2-I/path/to/openssl-arm/include \
3-L/path/to/openssl-arm/lib \
4-lssl -lcrypto -ldl -pthread \
5-Wl,-rpath=/path/to/openssl-arm/lib
6

步骤3：部署验证

将程序和OpenSSL库复制到嵌入式设备，运行后通过openssl s_client -connect 设备IP:4433验证，确保无RSA密钥交换套件。

四、!RSA配置的优势与注意事项

4.1 优势

简洁高效：无需手动罗列所有安全套件，仅用!RSA即可排除所有不安全的RSA密钥交换套件，配置不易出错。
兼容性强：!RSA语法兼容OpenSSL 1.0.2+（推荐1.1.1+），支持Nginx、Apache、自定义程序等所有基于OpenSSL的服务。
自动适配新增套件：OpenSSL更新时若新增安全套件（如新型ECDHE套件），DEFAULT:!RSA会自动包含，无需手动更新配置。

4.2 注意事项

必须配合协议版本限制：仅用!RSA不够，需同时禁用TLS 1.0/1.1（MinProtocol = TLSv1.2），否则攻击者可能通过协议降级绕过!RSA限制。
避免过度否定：不要使用!aRSA（排除所有RSA相关套件），否则会禁用安全的ECDHE-RSA-*套件（密钥交换是ECDHE，签名是RSA），导致兼容性问题。
OpenSSL版本要求：OpenSSL 1.0.2及以下已停止维护，部分旧版本可能对!RSA语法支持不完善，建议升级到1.1.1+（LTS版本）。
特殊场景兼容：若需兼容极旧客户端（如Windows XP），!RSA可能排除其支持的唯一套件，需权衡安全性与兼容性（建议放弃兼容，或单独配置隔离服务）。

五、验证方法（确认!RSA生效，RSA密钥交换已禁用）

5.1 OpenSSL s_client验证

1openssl s_client -connect example.com:443 -tls1_2
2# 关键输出判断：
3# 1. Cipher字段：应为ECDHE-*或DHE-*开头（如ECDHE-RSA-AES256-GCM-SHA384）；
4# 2. 无"TLS_RSA_"相关套件，且版本为TLS 1.2/1.3。
5

5.2 nmap扫描验证

1nmap --script ssl-enum-ciphers -p 443 example.com
2# 输出中“Supported Ciphers”列表不应包含任何TLS_RSA_*套件，仅显示ECDHE/DHE套件。
3

5.3 代码层验证（自定义程序）

在C/C++程序中添加打印逻辑，确认协商的套件不含RSA密钥交换：

1// TLS握手成功后添加
2printf("Negotiated cipher: %s\n", SSL_get_cipher(ssl));
3// 输出示例：ECDHE-RSA-AES256-GCM-SHA384（正确），而非RSA-AES256-GCM-SHA384（错误）
4

5.4 安全扫描工具重新检测

使用原扫描工具（如Nessus）重新扫描，确认“支持RSA密钥交换”漏洞已修复。

六、常见问题排查（!RSA配置不生效）

配置层级覆盖：Nginx/Apache的站点级配置可能覆盖全局配置，需确保所有相关配置文件均使用!RSA。
OpenSSL版本过低：OpenSSL 1.0.1及以下不支持!RSA语法，需升级到1.0.2+（推荐1.1.1w）。
拼写错误：注意是!RSA（大写），而非!rsa（部分旧版本区分大小写）。
协议版本未禁用：未禁用TLS 1.0/1.1，导致攻击者通过降级攻击使用RSA密钥交换，需补充MinProtocol = TLSv1.2。
服务未重启：修改配置后未重启服务（如Nginx、Apache），配置未生效，需执行systemctl restart。

七、总结

“目标主机支持RSA密钥交换”的核心风险是缺乏向前安全性，!RSA语法是解决该问题的高效方案——通过简单配置即可排除所有不安全的RSA密钥交换套件，同时保留安全的ECDHE/DHE套件和RSA签名功能。

实施关键：

用DEFAULT:!RSA配置密码套件，配合MinProtocol = TLSv1.2禁用低版本协议；
升级OpenSSL到1.1.1+，确保!RSA语法兼容；
通过OpenSSL、nmap等工具验证配置生效，再通过安全扫描工具确认漏洞修复。

无论是系统级配置、常见服务（Nginx/Apache）、自定义C/C++程序还是嵌入式设备，!RSA均能简洁、高效地解决RSA密钥交换问题，是现代网络安全配置的最佳实践之一。

《安全扫描问题：目标主机支持RSA密钥交换（风险分析与解决方案）》是转载文章，点击查看原文。