AES-GCM è raccomandato per SSL?

15

Sto cercando di attivare SSL a livello di sito per un sito web che gestisco e mi sto chiedendo quali sono le migliori pratiche per la configurazione SSL. Non sono troppo preoccupato per la compatibilità con i vecchi browser e i dispositivi mobili più oscuri, quindi mi piacerebbe ridurre l'elenco delle suite di crittografia supportate.

I problemi principali che sto cercando di evitare sono CRIME e BEAST. Il primo è facilmente mitigato disabilitando la compressione, ma il secondo non è altrettanto chiaro per me. Per come la capisco, BEAST è un attacco contro la modalità CBC piuttosto che un particolare cifrario, ma in genere è stato preso di mira contro AES. In quanto tale, AES-GCM sarebbe una buona scelta di cifrario da usare per SSL?

    
posta Polynomial 24.01.2013 - 14:17
fonte

2 risposte

15

Si consiglia GCM; è anche approvato dal NIST . Tuttavia, i AEAD cifrari sono supportati in TLS solo a partire da TLS 1.2 ; vedere la sezione 6.2.3.3, che è nuova, se confrontata con TLS 1.1 . Le attuali suite di crittografia GCM sono definite in RFC 5288 . Nota che TLS 1.2 (e, per quella materia, anche TLS 1.1) è immune agli attacchi BEAST-like quando si usa CBC.

Quindi avrai difficoltà a trovare un browser Web che supporti GCM adesso (scriverò queste righe a gennaio 2013, si spera che il supporto per TLS 1.2 + GCM si diffonderà ad un certo punto nel tempo ). Va ancora bene abilitarlo, e se il client lo supporta, tanto meglio; GCM sarà più leggero sui recenti processori x86 con gli codici operativi AES-NI (questi codici opzionali sono stati progettati appositamente per GCM, in particolare PCLMULQDQ che implementa moltiplicazioni in GF (2) [X] ). Non che il costo della CPU delle suite di crittografia TLS tradizionali sia così elevato, ma è intellettualmente piacevole sapere che ogni core del server può supportare una larghezza di banda di 5 Gbit / s.

Ma se vuoi che i browser esistenti effettivamente, per esempio, sfoglia il tuo server, allora dovrai consentire anche più suite di crittografia "primitive", se non altro come riserva.

    
risposta data 24.01.2013 - 15:12
fonte
1

Mi rendo conto che il post è del 2013, ma mi sono imbattuto in questo post durante la ricerca di una patch per l'ultima vulnerabilità openSSL annunciata il 3 maggio 2016 (Info - link ). La patch raccomandata è la suite di crittografia TLS1.2 + AES-GCM.

A questo punto, l'ultimo browser sul sistema operativo più recente dovrebbe supportare AES-GCM. Se vuoi ancora confermarlo, questo strumento ( link ) fornirà informazioni sulle suite di crittografia SSL supportate da il tuo browser.

    
risposta data 05.05.2016 - 14:50
fonte

Leggi altre domande sui tag