Quanto è ampiamente implementato TLS con cifrario ECDHE?

Naviga le tue risposte
7

Microsoft ha distribuito una patch per Windows 2012 R2 e Windows 8.1 che aggiunge i seguenti codici. 

Cipher suite                      Exchange  Encryption  Hash
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384     DH  AES         SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256     DH  AES         SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384         RSA AES         SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256         RSA AES         SHA256

Manca ECDHE (notare il primo gruppo di lettere nel nome del cifrario dopo TLS _) *. Brontolii su questa mancanza di supporto ECDHE sono menzionati anche nel thread del forum

Domanda

  • Esiste un Sondaggio TLS che analizza il supporto della crittografia TLS nei siti Web per ECDHE?
  • Quanto ampiamente supportato è ECDHE nel client?

Sulla base della cronologia di Microsoft, potrebbero non dare la priorità al supporto ECDHE finché non viene ampiamente utilizzato dai server o dai browser web. Spero di usare queste informazioni per stimare se / quando MSFT possa includere tale supporto in SChannel.

* A parte: perché voglio ECDHE? Perché è più veloce.

    
posta random65537 05.06.2014 - 19:37
fonte

4 risposte

5

L'anno scorso (maggio 2013), ho eseguito un esperimento contattando i server SSL casualmente: mi collegavo alla porta 443 degli indirizzi IPv4 casuali e, se ho ricevuto una risposta, il mio cliente si è impegnato in una serie di strette di mano interrotte per calcolare quali suite di crittografia sono effettivamente supportate dal server. Ho provato alcuni milioni di indirizzi e ho trovato circa 13000 server che parlano SSL / TLS sulla porta 443.

Di questi, circa 7,5% supportava una suite di crittografia ECDHE.

Attenzione ai dettagli:

  • Questo era un anno fa. Le cose potrebbero essere cambiate da allora.
  • Il mio cliente non ha inviato alcuna richiesta di supporto per estensione per alcuna curva ellittica specifica. Stava solo sostenendo il supporto ECDHE "generico". Questo potrebbe aver impedito ad alcuni server di provare le suite di crittografia ECDHE. In questo senso, la mia figura potrebbe essere una sottostima.
  • Un corollario è che "il supporto ECDHE" non può essere dichiarato in modo generico. Molte implementazioni ECC sono limitate a tipi di curve alcuni , molti dei quali sono in grado di elaborare solo un paio di curve specifiche (le curve NIST standard P-256 e P-384, la cosiddetta "suite B") .
  • Esistono diversi modi per effettuare misure di campionamento. Il mio codice utilizzava indirizzi IPv4 casuali, trovando non solo siti Web ma anche molti sistemi come modem / router domestici. Sondaggi SSL esistenti, pubblicati come che utilizzano il "primo milione di server Web" da Alexa ; questo favorisce una nozione di "significato economico" che può o meno mappare a ciò che si desidera. Concentrarsi sui "siti migliori" elimina i server SSL non mantenuti e, in effetti, i modem e i router domestici, che dovrebbero aumentare il supporto ECDHE. In effetti, tale sondaggio (dall'inizio del 2014) rileva che un enorme 21,6% di questi "migliori siti" supporta le suite di crittografia ECDHE.

Come nota a margine, devo dire che nella maggior parte dei casi, è improbabile che l'aumento delle prestazioni implicato da ECDHE (rispetto a DHE) sia pertinente. Ci vuole un sacco di connessioni al secondo a un server Web di base per vedere effettivamente la differenza (stiamo parlando di centinaia al secondo qui). Un altro punto saliente è che ottieni l'aumento delle prestazioni supportando suite di crittografia ECDHE e configura il tuo client o server per preferire tali suite di cifratura quando possibile; non è necessario smettere di supportare suite di crittografia non ECC per ottenere tale presunto bonus di velocità. In questo senso, la decisione di abilitare le suite di cifrari ECDHE non ha bisogno di essere supportata da dati su chi li supporta e chi no; puoi semplicemente attivarli e usarli opportunisticamente.

    
risposta data 23.06.2014 - 17:47
fonte
2

La cosa strana è che Microsoft offre GCM ed ECDHE, ma non entrambi insieme alla certificazione RSA. Le uniche cifre AES-GCM con ECDHE sono legate a ECDSA. Altrimenti GCM è disponibile solo con DHE_RSA.

L'elenco può essere trovato in KB2929781 o IISCrypto lo mostra. IE11 sembra avere le stesse restrizioni.

Vorrei davvero che implementassero TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 e TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 da RFC5289 (come GWS fa).

    
risposta data 04.11.2014 - 23:58
fonte
1

EDIT: c'è un nuovo sondaggio per qualys per i clienti:

Funzionalità degli agenti utente

TLS 1.2 è necessario per ECDHE (afaik), ma avendo abilitato TLS 1.2 non significa necessariamente che ECDHE sia disponibile.

per una panoramica su ssl-setup di alexa top 1 million potresti voler controllare ssl pulse @ qualys

SSL Pulse is a continuous and global dashboard for monitoring the quality of SSL support across the top one million web sites. SSL Pulse is powered by the assessment technology of SSL Labs, which is focused on auditing the SSL ecosystem, raising awareness, and providing tools and documentation to web site owners so they can improve their SSL implementations

per i clienti: tutto quello che ho trovato (e che conosco): i browser più moderni implementano ECDHE, ovvero probabilmente chrome e firefox e le versioni più recenti di Safari e cioè (ma non ne sono sicuro).

devi offrire anche DHE per abilitare PFS sui browser più vecchi. La versione TLS utilizzata potrebbe dipendere dalla versione os utilizzata.

    
risposta data 05.06.2014 - 19:47
fonte
0

Alcune statistiche dalla telemetria di firefox . Il collegamento punta alle statistiche di utilizzo per la variabile SSL_CIPHER_SUITE_FULL per firefox 32, mostrando quale suite è effettivamente utilizzata per la connessione tra il rilascio di firefox 32 (inizio settembre 2014) e oggi (inizio novembre 2014). I suoi valori sono definiti nel codice sorgente di firefox . Abbiamo ridotto:

  • 48% di connessioni che utilizzano TLS_RSA_*

  • 45% di connessioni che utilizzano TLS_ECDHE_*

  • 7% di connessioni che utilizzano TLS_DHE_*

risposta data 05.11.2014 - 00:34
fonte

Leggi altre domande sui tag

Quando si acquisisce la proprietà di un TPM in Windows 7, qual è l'SRK derivato dalla password? Le password WPA2 sono "abbastanza buone" per la sicurezza WiFi?