<div dir="ltr">Hi<div>I did a Nessus scan of a site and one of the TLS issues reported was medium strength ciphers, the one picked out was:<br><div><div><br style="box-sizing:border-box;color:rgb(17,17,17);font-family:"fira sans",system-ui,-apple-system,roboto,"segoe ui",sans-serif;font-size:14px"><span style="color:rgb(17,17,17);font-family:"fira sans",system-ui,-apple-system,roboto,"segoe ui",sans-serif;font-size:14px">TLSv1</span><br style="box-sizing:border-box;color:rgb(17,17,17);font-family:"fira sans",system-ui,-apple-system,roboto,"segoe ui",sans-serif;font-size:14px"><span style="color:rgb(17,17,17);font-family:"fira sans",system-ui,-apple-system,roboto,"segoe ui",sans-serif;font-size:14px">DES-CBC3-SHA Kx=RSA Au=RSA Enc=3DES-CBC(168) Mac=SHA1<span class="inbox-inbox-Apple-converted-space"> </span></span><br></div><div><br></div><div>I also scanned the site with sslscan (screenshot attached) and SSL Labs and both reported the same cipher but with 112 bit keys. I reported this to Tenable as a mistake in their reporting as they showed 168 rather than 112, they came back with the following reply:</div><div><br></div><div>--------------</div><div><br></div><div><span style="color:rgb(33,33,33);font-size:13px">There is a difference between the key size in memory - including overhead like parity bits (192 bits), the bits used of the key (168 bits), the intended security of the key (112 bits) and the actual security given the attacks possible on the cipher (still 112 bits). The figures between parentheses is for triple DES keys (DES ABC)</span><br style="color:rgb(33,33,33);font-size:13px"><br style="color:rgb(33,33,33);font-size:13px"><span style="color:rgb(33,33,33);font-size:13px">Also Please see also some information from our community</span><br style="color:rgb(33,33,33);font-size:13px"><a href="https://community.tenable.com/thread/2111" rel="noreferrer" target="_blank" style="font-size:13px">https://community.<span class="inbox-inbox-lG" style="background-color:rgba(251,246,167,0.5);outline:transparent dashed 1px">tenable</span>.com/thread/2111</a><br style="color:rgb(33,33,33);font-size:13px"><br style="color:rgb(33,33,33);font-size:13px"><span style="color:rgb(33,33,33);font-size:13px">so it appears the 168 is not the key size for security in this instance but the bit size</span><br style="color:rgb(33,33,33);font-size:13px"></div></div></div><div><span style="color:rgb(33,33,33);font-size:13px"><br></span></div><div><span style="color:rgb(33,33,33);font-size:13px">----------------------</span></div><div><span style="color:rgb(33,33,33);font-size:13px"><br></span></div><div><span style="color:rgb(33,33,33);font-size:13px">Does this make sense? Are there different bit lengths depending on what you are talking about and if so, is there a way to know which is being reported?</span></div><div><span style="color:rgb(33,33,33);font-size:13px"><br></span></div><div><span style="color:rgb(33,33,33);font-size:13px">If I'm completely wrong on how I'm reading this please point me at any intro docs that explain explain what is going on.</span></div><div><span style="color:rgb(33,33,33);font-size:13px"><br></span></div><div><span style="color:rgb(33,33,33);font-size:13px">Robin</span></div><div><span style="color:rgb(33,33,33);font-size:13px"><br></span></div></div>