web-dev-qa-db-ja.com

TLS 1.0、1.1、および1.2に推奨される暗号スイート

TLS 1.0、1.1、および1.2の仕様自体には、多くの暗号スイートが定義されています。さらに、特定のバージョンにさらに多くの暗号スイートを追加するRFCが存在します(ECCの場合はRFC 4492、カメリアの場合はRFC 4132など)。

[〜#〜] nist [〜#〜] または BSI Germany のような、安全であると考えられる暗号スイートのリストがある公式の組織はありますか?または、特定のTLSバージョンによって提供されるすべての暗号スイートを使用しても安全ですか?

10
Peter

NISTは、TLSの使用に関するガイダンスとして「Special Publication SP 800-52 "」を維持しています。2014年4月に公開されました SP 800-52リビジョン1

オプションの組み合わせはたくさんありますが、簡単に答えに変えることはできません。 NISTが本当に望んでいるものを確認するには、ドキュメントを読む必要があります。 NISTの推奨事項の概要については、セクション3.9(サーバーの場合)および4.9(クライアントの場合)を参照してください。いくつかのハイライト:

  • NISTではTLS 1.1のサポートが必要ですが、TLS 1.2を強くお勧めします。 SSL 2.0および3.0は明示的に禁止されています。 「政府のみのアプリケーション」用のTLSサーバーは、TLS 1.0もサポートしていないことが必要です(そのため、本当に最新バージョンの使用を強制したいのです)。システム管理者は、2015年1月1日までにTLS 1.2の一般的なサポートの「移行計画を作成」することが期待されています(そのため、NISTは急いでいるほどです)(ただし、すぐに実現するとは思いません)。
  • 彼らは静的なDiffie-Hellmanをドロップし(とにかく誰もサポートしません)、最終的にRSAを採用します。もちろん、2048ビット以上のキー。 P-256またはP-384標準NIST曲線を使用して、ECDSAも許容されます。
  • 彼らはECDHE暗号スイートを推奨しています(そして彼らはDHEよりもECDHEを優先しています)。
  • 暗号化は3DESまたはAESです。 3DESサポートは引き続き維持する必要があります(「相互運用性の理由から」と主張します。AES暗号スイートをサポートしない展開されたシステムがまだたくさんあると想定する必要があります)。
  • TLS 1.2を使用する場合は、もちろんAES-GCMの使用をお勧めします。
  • 証明書の透明性、DANE(DNSSEC)、収束などについての付録が含まれていますが、特定の推奨事項はありません。
  • SRPについては、良い言葉も悪い言葉もありません。彼らはdoPSK暗号スイートについて少し話します(そして、それらを使用しないことをお勧めします)。
9
Tom Leek

RFC 6460-Transport Layer Security(TLS) のSuite Bプロファイルを確認することをお勧めします。 (新しいRFCを強調してくれたJumbogramに感謝します)。

回避すべき既知のweak暗号スイートのリストもいくつかあります。 OWASPから これらのテストに関するいくつかのガイドライン を見つけることができます。

そして、最近、BEASTについて少し騒動が起こっています。stackexchangeへのいくつかの投稿を含みます...これが 私のお気に入りの1つ :)です。

7
Yoav Aner