it-swarm-eu.dev

Které SSL / TLS šifry lze považovat za bezpečné?

web OpenSSL poskytuje dlouhý seznam různých šifrů dostupných pro SSL a TLS. Moje otázka zní, které z těchto šifrů lze dnes považovat za bezpečné. Obzvláště mě zajímá HTTPS, pokud by na tom mělo záležet, i když to asi ne. Jsem si vědom ( doporučení Apache použít SSLCipherSuite HIGH:MEDIUM a souhlasíte, že se jedná o osvědčený postup.

Hledám oficiální standard nebo nedávný dokument z uznávaného a uznávaného zdroje, jako je dobře známá bezpečnostní organizace. Pokud takový dokument existuje, včetně odhadů, jak dlouho budou určité šifry se specifickou délkou klíče považovány za bezpečné, bylo by to ještě lepší. Existuje taková věc?

33
Demento

Šifrovací sady s „NULL“ nenabízejí šifrování dat, pouze kontrolu integrity. Pro většinu použití to znamená „nezabezpečené“.

Šifra sady s "EXPORT" jsou záměrně slabé. Jsou šifrovány , ale pouze s dostatečně malými klíči, aby mohly být prolomeny i amatérským hardwarem (řekněme, základní domácí počítač - symetrické šifrování spoléhající se na 40– bitové klíče). Tyto sady byly definovány tak, aby vyhovovaly americkým exportním pravidlům o kryptografických systémech, pravidlům, která byla před rokem 2000 docela přísná. V současné době byla tato omezení zrušena a nemá smysl podporovat podpůrné šifry "EXPORT".

Sada šifry s „DES“ (nikoli „3DES ") spoléhají na symetrické šifrování na DES , staré blokové šifře, která technicky používá 56bitový klíč () , používá 64bitový klíč, ale ignoruje 8 z těchto bitů, takže efektivní velikost klíče je 56 bitů. 56bitový klíč je crackable, i když ne za pět minut PC. Deep crack byl stroj pro speciální účely postavený v roce 1998 za přibližně 250 000 $ a mohl crack 56-bit DES klíč v průměru do 4,5 dne). Technologie pokročila, a to lze reprodukovat pomocí několik desítek FPGA . Stále se nejedná o hardware hardwaru Walmart, ale je dostupný mnoha jednotlivcům.

Všechny ostatní šifry podporované OpenSSL jsou neslabé; Máte-li s nimi problém, nebude to kvůli kryptografické slabosti samotných algoritmů. Možná byste se měli vyvarovat šifrovacích sad, které mají "MD5 ", ne kvůli skutečné známé slabosti, ale kvůli public relations. MD5 , jako hashova funkce, je" zlomeno ", protože pro tuto funkci můžeme efektivně najít mnoho kolizí. Toto není Problém pro MD5, jak je používán v SSL, přesto je to dost pro MD5, aby měl špatnou pověst, a vy se mu lépe vyhnete.

Uvědomte si, že sada šifry nevynucuje nic na velikosti serverového klíče (veřejný klíč v certifikátu serveru), který musí být dostatečně velký, aby poskytoval dostatečnou robustnost (pro RSA nebo DSS, jděte alespoň na 1024 bitů, 1536 bitů) být lepší - ale netlačte to příliš, protože výpočetní režie prudce roste s velikostí klíče).


NIST , americká federální organizace, která je stejně akceptovaná a známá jako jakákoli bezpečnostní organizace, možná zveřejnila některé doporučení (viz zejména tabulky na stranách 22 a 23); to je od roku 2005, ale stále platí dodnes. Všimněte si, že NIST funguje na základě „schváleného/neschváleného“: nijak netvrdí, že algoritmy, které jsou „neschválené“, jsou v žádném případě slabé; pouze to, že jako organizace za ně nezaručují.

37
Thomas Pornin

Četli jste SSL a TLS: Navrhování a budování zabezpečených systémů , od Eric Rescorly? Je to uznávaná klasika na SSL, napsaná jedním z předních přispěvatelů do pracovní skupiny pro standardy IETF pro SSL. Očekával bych, že by mohl obsahovat vhodná prohlášení o síle různých SSL cifersuitů.

Pokud to nevyhovuje vašim potřebám, můžete se vydat do své přátelské knihovny a podívat se na všechny kryptografické a bezpečnostní učebnice, které mají, a přečíst si oddíly napsané na SSL/TLS.

V zásadě, pokud hledáte odkaz na fakta o skutečnostech, které každý odborník na bezpečnost již ví, možná budete muset udělat nějakou legii sami, abyste našli nejlepší citaci.

4
D.W.

Některé malé dodatky k odpovědi Thomase Pornina: zatímco NIST SP800-52 zůstává oficiální (pokud je zastaralý) pro TLS obecně, pro klíčové velikosti konkrétně je nahrazen SP800-57: část 1 zahrnuje klíčové velikosti a životnost obecně, revidováno právě poslední rok 2012; Část 3 se týká některých konkrétních aplikací včetně TLS vydaných v roce 2010. Stručně řečeno, v roce 2011 se pokusili vyžadovat RSA DSA a DH 2048 bitů a ECC 224 bitů, ale došlo k příliš velkému zpětnému stahování, takže nyní je rok 2014 - již brzy! (DSA na 2048 nebo 3072 bitech je specifikováno FIPS 186-3 v roce 2009, ale zatím nevidím mnoho implementace. I openssl to udělal poněkud nemotorně.) Www.CABforum.org souhlasí s RSA 2048 v roce 2014, ačkoli nemusíte získat svůj certifikát od „oficiálního“ CA, děláte viditelně méně než běžný „standardní“ trénink, má tendenci vás léčit skepticismem. FWIW NIST v současné době říká, že síla (Z_n 2048, ECC 224, symetrický 112) je "přijatelný" do roku 2030, po kterém je vyžadováno 3072/256/128; i když se ukáže, že jsou špatné, pokud jdete s nimi, máte asi tak dobrou omluvu, jak můžete najít, a určitě budete mít spoustu dobré společnosti. A konečně, csrc.nist.gov je lepší výchozí adresa URL pro kybernetickou bezpečnost (NIST jako celek dělá docela málo dalších věcí).

3
Dave Thompson

Dosažení oficiálních doporučení může být pro většinu uživatelů skličující úkol.

Nejrychlejším způsobem, jak získat aktuální seznam moderních šifer, je periodická kontrola Mozilla SSL Configuration Generator .

Od srpna 2016 je (seřazený) seznam:

ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256

Kromě pouhého použití těchto šifer zajistěte:

  • nastavte verzi TLS na 1,2 (nebo vyšší)
  • použijte bezpečnou křivku (jak je definována na safecurves.cr.yp.to ).

Poznámka: Všechny tyto šifry jsou kompatibilní s (nadcházející) TLS1.3.

2
ATo