なぜGoogleはECDHE-RSA-AES128-GCM-SHA256を好むのですか?
新しいメールサーバーをできる限り安全に構成し、GoogleのSMTPサーバーに接続するときに使用される暗号について疑問に思っています。
なぜECDHE-RSA-AES128-GCM-SHA256よりもECDHE-RSA-AES256-GCM-SHA384の方が暗号を好むのか、興味があります。これはもっと弱いのでは?
openssl s_client -connect gmail-smtp-in.l.google.com:25 -starttls smtp -cipher ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256でテストすると、接続は暗号ECDHE-RSA-AES128-GCM-SHA256とネゴシエートします。暗号ECDHE-RSA-AES256-GCM-SHA384のみをサーバーに提示すると、それが使用されます。
最も重要な質問:最強の暗号のみを使用するようにpostfixを強制する方法はありますか? tls_policyを使用してAES128を除外すると、さらに悪化します。
AES-128は実際にはAES-256よりも弱くありません。 AES-128は十分に堅牢であり、キーの徹底的な検索によって壊れることはありません(詳細については この答え を参照してください)。アルゴリズムは「壊れていない」よりも「壊れにくい」、したがって、キーサイズを256ビットに上げることによるセキュリティの追加の利点はありません。
(ただし、マーケティングにはメリットがあります:より長いキーは非技術者の心を奪うことができます)。
一方、AES-256を使用することには、AES-128と比べて40%余分なCPUを使用するという実用上の欠点があります。これは、非常に高速なネットワーク接続(たとえば、10ギガビットの光ファイバー)を備えているサーバーや、CPUが弱いサーバーでは問題になる可能性があります。 GoogleのSMTPサーバーは前者の種類だと思います。強力ですが、受信データのlotsを処理します。