web-dev-qa-db-ja.com

2016年にCAMELLIA、IDEA、およびWebサーバー上のSEEDベースの暗号スイートを使用することに問題はありますか?

最近、CAMELLIA、SEED、およびIDEA暗号スイートがHTTPSでWebサーバーで使用されていることを確認しました。所有者に何を提案すべきかわかりません。使用中のキーは、長さが128ビットを超え、標準のOpenSSLが使用されています。

IDEAは rfc5469 で非推奨になりました。広範囲に使用されていないためですが、実際には安全ではない可能性があります。

上記の暗号スイートを使用する考えられる理由には、NSA干渉の可能性について過度に偏執的であり、代わりに日本/ヨーロッパ/韓国の暗号スイートを使用したい場合があります。ローカルの法的要件の影響を受けません。これらの暗号を使用します。

これらの暗号を使用しない理由として考えられるのは、業界全体で広く使用されていないため、AESや他の代替手段と比較して、セキュリティコミュニティによる調査が少ない可能性が高いことです。他の暗号に対して使用されているものを適応させることにより、誰かがサイドチャネル攻撃を開発できる可能性がありますが、これはこのサーバーでは非常にまれです。それらからのサポートはほとんどの最新のブラウザーから削除されており、これらの暗号スイートを使用できるクライアントが、利用可能なAESをサポートしない状況を考えることはできません。

IDEAの廃止をオーナーに警告し、事実上の業界標準の暗号スイートを使用することをお勧めします。他に知っておくべきことはありますか?

4
Stu W

一般に、すべての最新の暗号スイートが最新のモードをサポートしていることを願っています(現時点では、一般的にGCMまたはCCM、GCMのみがこれまで広く利用できるようになっています)。

これにより、既知の弱い暗号を無効にし、他の強力な暗号がすでに広く導入されているため、将来のアルゴリズムの弱点(RC4の漸進的な脆弱化など)を緩和できます。それらの1つに欠陥が見つかった場合、さまざまな優れた確実なオプションを用意することが重要です。

IDEAは古く、64ビットであり、お気づきのように RFC5469 で廃止する必要があります。二度と使用しないことをお勧めします。

CAMELLIAは、ヨーロッパの [〜#〜] nessie [〜#〜] プロジェクトで受け入れられている最新の暗号で、他の3つのブロック暗号(AESを含む)とともに アルゴリズムの最終選択 です。 。

CAMELLIAは、日本の [〜#〜] cryptrec [〜#〜] プロジェクトでも承認されています 電子政府推奨暗号の仕様

RFC6367 に従って、GCMモードでCAMELLIAを完全にサポートすることをお勧めします。

SEEDは古い韓国の暗号です。特にTLSでGCMやその他の最新モードが利用できることを知らないので、私はそれをサポートすることはお勧めしません。 RFC4162 の古いモードのみ。

より現代的な韓国の暗号はARIA( RFC5469 )です。 ARIAは RFC6209 でTLSにいくつかの暗号スイートを追加しました。これには、強力な検討に値するGCMモードスイートが含まれます。

5

[〜#〜] idea [〜#〜] は64ビットブロックを使用します。これは、暗号化すると、2つ以上暗号化すると問題が発生し始めることを意味します32 同じキーを持つデータのブロック(CBCモード)。これは32ギガバイトで、非常に大きいですが、今日の標準では達成できません。したがって、それは避けられるべきです。

Camellia[〜#〜] seed [〜#〜] は、主に日本と韓国の政府が苦しんでいるために存在するブロック暗号です NIH症候群 から。私たちの知る限り、これらはかなりまともなアルゴリズムです-AESと同じです。それらがより強いと信じる実質的な理由はありません。パラノイア側にいる場合は、ifと考えてください。AESがスパイクされる可能性がある未知の方法があり、それを信じる理由はありません。カメリアとシードは同じように影響を受けません。

AESを選択する実用的な理由は、AESの一定時間の実装を作成するための多くの作業があったためです。また、一部のCPUはいくつかのハードウェアサポートを提供します。これは、サイドチャネル攻撃に対する保護にさらに優れ、パフォーマンスが向上します。通常のWebサーバーでは、これらのアルゴリズムのいずれでもパフォーマンスの問題は発生しません。サイドチャネル攻撃が実際に適用できるかどうかは誰もが推測するところです。

実際の面では、クライアントがCamelliaやSEEDをサポートしていない場合、サーバーでそれらを有効にしてもまったく意味がありません。とにかく使用されません。

5
Thomas Pornin

私が支持する理由がわかりません。他の十分にテストされた暗号に対するAES。 IDEAおよびその他の暗号は、セキュリティについての研究がそれほど進んでいない場合でも、テストされていません。

より大きな問題は、古いバージョンのTLS(または古いSSL)が使用されていることだと思います。これによって、さらに古いOpenSSLバージョンのバグによって作成された攻撃面は、はるかに大きくなります。

したがって、私の意見では(私は暗号学者でもセキュリティの専門家でもありません)、あまり人気のない十分にテストされた暗号の使用は問題ではありません。ただし、セキュリティは向上しないため、エキゾチックな暗号を使用する特別な理由はありません。

0
John