web-dev-qa-db-ja.com

暗号化ECDHEを使用したTLSはどの程度広く展開されていますか?

Microsoftはパッチを展開しました Windows 2012 R2およびWindows 8.1の場合、次の暗号を追加します。

Cipher suite                      Exchange  Encryption  Hash
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384     DH  AES         SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256     DH  AES         SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384         RSA AES         SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256         RSA AES         SHA256

ECDHEが欠落しています(TLS_の後の暗号名の最初の文字セットに注意してください)*。このECDHEサポートの欠如についての不満は、CERTにも記載されています forum thread

質問

  • ECDHEのWebサイトでTLS暗号サポートをスキャンするTLS調査はありますか?
  • ECDHEはクライアントでどの程度広くサポートされていますか?

Microsoftの歴史に基づくと、サーバーまたはWebブラウザーで広く使用されるまで、ECDHのサポートを優先しない場合があります。この情報を使用して、MSFTがSChannelにそのようなサポートを含めることができるかどうか、またはいつ含めるかを見積もりたいと思います。

*余談:なぜECDHEが必要なのですか? より速いため

tlscryptographywindowswebserver
7
goodguys_activate

昨年(2013年5月)、SSLサーバーにランダムに接続して実験を行いました:ランダムなIPv4アドレスのポート443に接続していて、応答を受け取った場合、クライアントは一連の中止されたハンドシェイクに従事し、暗号スイートは実際にはサーバーによってサポートされていました。私は数百万のアドレスを試しましたが、ポート443を介してSSL/TLSを話すサーバーが約13000台見つかりました。

これらのうち、約7.5%がECDHE暗号スイートをサポートしました。

詳細に注意してください:

  • これは1年前のことです。その後、状況が変わった可能性があります。
  • 私のクライアントは、特定の楕円曲線のサポートを主張する拡張機能を送信しませんでした。 「一般的な」ECDHEサポートのみを要求していました。これにより、一部のサーバーがECDHE暗号スイートを試行できなくなった可能性があります。その意味で、私の姿は過小評価されているかもしれません。
  • 当然の結果として、「ECDHEサポート」は本当に総称的に述べることはできません。多くのECC実装はいくつかの曲線タイプに制限されており、それらのほとんどはいくつかの特定の曲線(P-256およびP-384標準NIST曲線、いわゆる「スイートB」)。
  • サンプリング測定を行う方法はいくつかあります。私のコードはランダムなIPv4アドレスを使用していたため、Webサイトだけでなく、ホームモデムやルーターなどの多くのシステムも見つかりました。 その1つ のような既存の公開されたSSL調査は Alexa からの「トップ100万Webサーバー」を使用します。これは、「経済的重要性」の概念を支持します。これは、あなたが望むものにマップするかもしれないし、しないかもしれません。 「トップサイト」に集中すると、メンテナンスされていないSSLサーバーと、実際には家庭用のモデムとルーターが排除され、ECDHEのサポートが増加します。実際、その調査(2014年の初めから)では、これらの「トップサイト」のなんと21.6%がECDHE暗号スイートをサポートしていることがわかりました。

余談ですが、ほとんどの場合、ECDHE(DHEよりも)によって示唆されるパフォーマンスの向上は関連性が低いと言えます。基本的なWebサーバーへの1秒あたりの接続数が非常に多くて、実際にその違いを確認できます(ここでは1秒あたり数百の接続について話します)。別の顕著な点は、ECDHE暗号スイートをsupportingしてパフォーマンスを向上させ、可能な場合はそのような暗号スイートを優先するようにクライアントまたはサーバーを構成することです。意図された速度のボーナスを得るために、ECC以外の暗号スイートのサポートを停止する必要はありません。その意味で、ECDHE暗号スイートを有効にする決定は、誰がそれらをサポートし、誰がサポートしないかという数字に裏付けられる必要はありません。あなたはそれらを活性化し、日和見的にそれらを使用することができます。

5
Thomas Pornin

奇妙なことに、MicrosoftはGCMとECDHEを提供していますが、RSA認定と一緒には提供していません。 ECDHEを使用する唯一のAES-GCM暗号は、ECDSAに関連付けられています。それ以外の場合、GCMはDHE_RSAでのみ使用できます。

リストは KB2929781 または IISCrypto ツールで確認できます。 IE11 seems 同じ制限があるようです。

私は彼らがTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256およびTLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384をRFC5289から実装することを本当に望んでいます( [〜#〜] gws [〜#〜] のように)。

2
eckes

編集:qualysによるクライアントの新しい調査があります:

ユーザーエージェント機能

ECDHE(afaik)にはTLS 1.2が必要ですが、TLS 1.2を有効にしても、必ずしもECDHEが使用可能であるとは限りません。

alexaのssl-setupの概要については、100万件を確認してください ssl Pulse @ qualys

SSL Pulseは、上位100万のWebサイト全体でSSLサポートの品質を監視するための継続的かつグローバルなダッシュボードです。 SSL Pulseは、SSLエコシステムの監査、認知度の向上、およびWebサイトの所有者がSSL実装を改善できるようにツールとドキュメントを提供することに重点を置いたSSL Labsの評価テクノロジを利用しています。

クライアントの場合:私が見つけたすべての(そして知っている):ほとんどの最新のブラウザーはECDHEを実装しています。つまり、おそらくchromeとfirefox、そして最新バージョンのSafariとie(わかりません)を意味します。

古いブラウザでPFSを有効にするには、DHEも提供する必要があります。使用されるTLSバージョンは、使用されるosバージョンに依存する場合があります。

1
that guy from over there

firefox telemetry からの統計。リンクは、Firefox 32のSSL_CIPHER_SUITE_FULL変数の使用統計を指し、Firefox 32のリリース(2014年9月上旬)と今日(2014年11月上旬)の間の接続に実際に使用されているスイートを示します。その値 firefoxのソースコードで定義されています 。煮詰めました:

  • TLS_RSA_*を使用した48%の接続

  • TLS_ECDHE_*を使用した45%の接続

  • TLS_DHE_*を使用した7%接続

0
user10008