Suite di crittografia consigliate per TLS 1.0, 1.1 e 1.2

10

Esistono molte suite di crittografia definite nelle specifiche stesse di TLS 1.0, 1.1 e 1.2. Inoltre, esistono RFC che aggiungono ancora più pacchetti di crittografia a una versione specifica (ad esempio RFC 4492 per ECC o RFC 4132 per Camelia).

Esiste un'organizzazione ufficiale come ad esempio NIST o BSI Germania che ha un elenco di pacchetti cifrari considerati sicuri? Oppure tutte le suite di crittografia offerte da una versione TLS specifica sono sicure da usare?

    
posta Peter 06.02.2012 - 20:52
fonte

2 risposte

9

NIST mantiene "Special Publication SP 800-52" come guida per quanto riguarda l'utilizzo di TLS. Nell'aprile 2014 è stato pubblicato SP 800-52 Revisione 1 .

Ci sono molte combinazioni di opzioni, che non possono essere facilmente ridotte in una risposta; devi leggere il documento per vedere cosa vuole veramente il NIST. Vedere le sezioni 3.9 (per i server) e 4.9 (per i client) per i riepiloghi delle raccomandazioni NIST. Alcuni punti salienti:

  • NIST richiede il supporto per TLS 1.1, con TLS 1.2 caldamente raccomandato. SSL 2.0 e 3.0 sono esplicitamente vietati. I server TLS per "solo applicazioni governative" sono richiesti NON per supportare TLS 1.0 (quindi vogliono davvero forzare l'uso delle versioni recenti). Si prevede che gli amministratori di sistema "svilupperanno piani di migrazione" per un supporto generale di TLS 1.2 entro il 1 ° gennaio 2015 (quindi il NIST è anche di fretta) (non credo che succederà davvero così presto, però).
  • Lasciano cadere il Diffie-Hellman statico (nessuno lo supporta comunque) e finalmente abbracciano RSA. Chiavi a 2048 bit o più lunghe, ovviamente. ECDSA è anche accettabile, utilizzando le curve NIST standard P-256 o P-384.
  • Raccomandano le suite di crittografia ECDHE (e preferiscono molto ECDHE rispetto a DHE).
  • La crittografia deve essere 3DES o AES. Il supporto di 3DES DEVE essere ancora mantenuto (insistono su di esso, "per ragioni di interoperabilità", si deve supporre che ci siano ancora molti sistemi distribuiti che non supportano le suite di crittografia AES).
  • Quando si utilizza TLS 1.2, l'uso di AES-GCM è, naturalmente, raccomandato.
  • Includono un'appendice che parla di Trasparenza certificato, DANE (DNSSEC), Convergenza ... ma non emettono raccomandazioni specifiche.
  • Non c'è una sola parola, buona o cattiva, su SRP. Loro fanno parlano un po 'delle suite di crittografia PSK (e raccomandano di non utilizzarle).
risposta data 17.06.2014 - 14:32
fonte
7

Potresti dare un'occhiata a RFC 6460 - Profilo Suite B per Transport Layer Security (TLS) . (Grazie a Jumbogram per evidenziare la nuova RFC).

Ci sono anche alcuni elenchi di cipheruites deboli noti da evitare. Puoi trovare alcune linee guida per testare quelle di OWASP.

E di recente c'è un po 'di humour su BEAST, inclusi diversi post su stackexchange ... ecco uno dei miei preferiti :)

    
risposta data 06.02.2012 - 21:29
fonte

Leggi altre domande sui tag