Dove trovare le informazioni correnti sulla forza della suite di cifratura?

10

Sto indurendo la configurazione per il mio /etc/ssh/sshd_config e ho alcune scelte per Ciphers :

aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour

Di questi, ce ne sono alcuni che non uso, come arcfour . Oltre a questo, devo spesso cercare nei forum e nei post del blog per scoprire se una particolare suite di crittografia è ancora strong. A volte queste informazioni possono essere obsolete o inaccurate. Mi diverto a crederci.

Esiste un riferimento o un sito Web che mantiene informazioni aggiornate sulla forza relativa di ogni suite di crittografia? Idealmente, mi piacerebbe conoscere la situazione attuale per le impostazioni SSH e TLS. Inoltre, c'è un servizio che ti avviserà quando l'elenco cambia (con l'aggiunta di una nuova suite di crittografia o il degrado di un vecchio).

Supponendo che sia disposto e in grado di eseguire l'aggiornamento in qualsiasi momento, mi piacerebbe utilizzare le impostazioni più sicure e più sicure disponibili.

    
posta Dylan Klomparens 01.07.2016 - 18:46
fonte

3 risposte

4

Molti paesi pubblicano gli standard di sicurezza per la cifratura adatta.

Negli Stati Uniti, puoi fare affidamento su pci dss standard, fips 140-2, ANSI, EAL, ecc.

In Francia abbiamo l'RGS che indica gli algoritmi e la lunghezza della chiave che può essere considerata affidabile e per quanto tempo possiamo fare affidamento.
Immagino che ogni paese industrializzato abbia lo stesso standard.

Personalmente scelgo di seguire questo sito web: link Raccoglie le migliori pratiche di sicurezza da molte fonti.

    
risposta data 02.07.2016 - 12:52
fonte
3

La maggior parte dei fornitori che utilizzano SSL / TLS utilizzano comunemente OpenSSL che conserva un record dettagliato di vulnerabilità associate a SSL / TLS . L'iscrizione a siti di sicurezza come Bugtraq ti terrà al corrente delle vulnerabilità divulgate (conosciute) associate a OpenSSL e potrebbe informarti sull'altro < a href="https://en.wikipedia.org/wiki/Transport_Layer_Security#Libraries"> Librerie SSL . Vorresti anche abbonarti ad altre mailing list di sicurezza associate a un prodotto. Ad esempio, sicurezza Microsoft, Red Hat, ecc.

    
risposta data 01.07.2016 - 19:24
fonte
2

Se desideri informazioni sulla forza stimata dei cifrari, ti consiglio comunque Rapporto ENISA 2013 . Non conosco alcun elenco costantemente aggiornato, ma l'unico modo in cui le ipotesi in quel rapporto possono cambiare è se qualche cifrario è rotto (nel senso crittografico, non necessario rilevante nella pratica), e che sarà ampiamente riportato, se è reso pubblico.

Se vuoi conoscere le best practice per configurare i tuoi server, ti consiglio BetterCrypto.org . Hanno una bozza di documento su come configurare il software più comune e alcune spiegazioni. Si spera che aggiorneranno presto la bozza. Dai anche un'occhiata a cipherli.st come Sibwara suggerì .

    
risposta data 04.07.2016 - 09:49
fonte

Leggi altre domande sui tag