SSLにはAES-GCMが推奨されますか?
私が管理しているWebサイトでサイト全体のSSLを有効にすることを検討しており、SSL構成のベストプラクティスを考えています。古いブラウザとの互換性やあまり目立たないモバイルデバイスについてはあまり心配していません。そのため、サポートされている暗号スイートのリストを削減したいと思います。
私が避けようとしている主な問題は、CRIMEとBEASTです。 1つ目は圧縮を無効にすることで簡単に軽減できますが、2つ目は私にはそれほど明確ではありません。私の理解では、BEASTは特定の暗号ではなくCBCモードに対する攻撃ですが、通常はAESを対象としています。そのため、AES-GCMはSSLに使用する暗号の良い選択でしょうか?
GCMが推奨されます。それは偶数です NISTによって承認されています 。ただし、 [〜#〜] aead [〜#〜] 暗号は TLS 1.2 以降、TLSでのみサポートされています。 TLS 1.1 と比較した場合の新しいセクション6.2.3.3を参照してください。実際のGCM対応の暗号スイートは RFC 5288 で定義されています。 CBCを使用する場合、TLS 1.2(さらに言えば、TLS 1.1も)はBEASTのような攻撃の影響を受けないことに注意してください。
したがって、GCMをサポートするWebブラウザーを今すぐ見つけるのは困難です(これらの行は2013年1月に書きます。うまくいけば、TLS 1.2 + GCMのサポートがいずれ普及するでしょう。時間内に)。それを有効にすることはまだ問題ありません、そしてifクライアントがそれをサポートするので、はるかに良いです。 GCMは、最近のx86プロセッサーで AES-NI opcodes (これらのオペコードは特にGF(2)で乗算を実装するPCLMULQDQ)のために特別に設計された[バツ])。従来のTLS暗号スイートのCPUコストはそれほど高くありませんが、各サーバーコアが5ギガビット/秒の帯域幅をサポートできることを知れば、それは知的に喜ばしいことです。
ただし、既存のブラウザで実際にbrowseサーバーを使用する場合は、フォールバックとしてのみ、さらに「プリミティブ」な暗号スイートも許可する必要があります。
この投稿は2013年からのものだと思いますが、2016年5月3日に発表された最新のopenSSLの脆弱性に対するパッチを調査しているときにこの投稿に遭遇しました(情報- https://www.openssl.org/news/secadv/20160503。 txt )。推奨パッチはTLS1.2 + AES-GCM暗号スイートです。
この時点で、最新のOS上の最新のブラウザーがAES-GCMをサポートしているはずです。これを確認したい場合は、このツール( https://cc.dcsec.uni-hannover.de/ )が、ブラウザでサポートされているSSL暗号スイートに関する情報を提供します。