Esiste una suite di crittografia "traduttore"

14

Ho un elenco di suite di crittografia in questo formato:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384

Esiste un modo rapido e semplice per tradurlo in un formato leggibile / gestibile più leggibile dall'uomo? :)

    
posta mancuss 17.03.2016 - 11:43
fonte

2 risposte

13

No, afaik.

Inoltre, se dovrebbe essere leggibile e utile per le persone non tecnologiche, ogni traduzione potrebbe essere un libro per sé, spiegando ogni parte di quelle stringhe, è su e giù in dolorosi dettagli.

Nel caso in cui non lo sapessi, rfc 5246 copre attualmente questo formato e include una tabella con pacchetti di crittografia che potrebbero inviarti una traccia utile.

Il tuo esempio

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384

significa " TLS utilizzando ECDHE_ECDSA con la curva ellittica P384 per lo scambio delle chiavi, crittografando la connessione utilizzando AES_256 in GCM mentre usi SHA384 come PRF ".

Come puoi vedere dal seguire i link, non esiste una comprensione "facile" degli stessi acronimi usati. Eppure la sintassi generale è

TLS_nameOfKeyExchange_WITH_nameOfBlockCipherAndMode_nameOfPRFForMAC_addinionalExtensions

Come vedi dalla mia modifica, l'inferenza a volte fallisce anche in modo orribile;)

    
risposta data 17.03.2016 - 15:06
fonte
5

Lo IANA mantiene il registro ufficiale per una cifra definita suite. Ogni suite di crittografia è un identificatore a 16 bit; il "nome simbolico" non è nominalmente standard; la maggior parte delle implementazioni utilizza i nomi indicati nel registro, ma a volte no, come OpenSSL. OpenSSL ha il proprio schema di denominazione .

Con il registro IANA, è possibile cercare il nome della suite di crittografia, che indicherà la RFC che definisce quella specifica suite di crittografia. Spetta a te leggere quella RFC per ottenere i dettagli reali.

Ora il rompicapo è che la stringa che date è non uno di questi nomi semi-standard. Ha un extra "_P384" alla fine. Se comprendi la crittografia sottostante, puoi inferire che il suffisso "P384" probabilmente si riferisce alla curva ellittica P-384 standard NIST, definita in FIPS 186-4 . Quindi il tuo esempio, "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", sarebbe "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384" come definito in RFC 5289 , usato con quella curva ellittica.

Le inferenze possono solo farti arrivare così lontano. Il prefisso "TLS_ECDHE_ECDSA" significa che lo scambio di chiavi utilizzerà ECDHE (Elliptic-Curve Diffie-Hellman, Ephemeral) e il server firmerà la sua metà di ECDHE con la sua chiave privata permanente (quella corrispondente al chiave pubblica nel certificato del server) e tale firma utilizzerà ECDSA, un algoritmo di firma che opera in una curva ellittica. Non è chiaro se il suffisso "P384" designi la curva ellittica per ECDHE, per ECDSA, o per entrambi (ho il sospetto che sia solo per ECDHE, ma è solo una sensazione). Questo è il problema con la terminologia non standard.

Pertanto, la fonte di informazioni per comprendere i nomi delle suite di crittografia dovrebbe essere la documentazione per lo strumento che produce o consuma questi nomi. In caso contrario, si torna a fare le proprie conclusioni.

    
risposta data 17.03.2016 - 15:27
fonte

Leggi altre domande sui tag