Какой алгоритм сильнее для TLS: AES-256 или Camellia-256?
введение: Для моего личного веб-сервера я установил apache с самозаверяющим сертификатом, чтобы включить безопасность TLS для изучения и тестирования. У меня есть эта строка в virtualhost:
SSLProtocol -all -SSLv3 +TLSv1
SSLCipherSuite TLSv1:+HIGH:!MEDIUM
С firefox я получаю зашифрованное соединение Camellia-256, а с opera я получаю TLS v1.0 256 бит AES (1024 бит DHE_RSA/SHA) с той же конфигурацией на том же сервере.
это приводит меня к вопросу, что сильнее, AES или Камелия?
Я заметил, что если отключить камелии с SSLCipherSuite TLSv1:+HIGH:!MEDIUM:!CAMELLIA
затем firefox принимает тот же набор, что и opera.
в моей конфигурации я также пытаюсь отключить все версии SSL, чтобы включить только TLS (советую, если я не сделал это правильно), но исходный вопрос все еще стоит: какой из них должен быть сильнее?
3 ответов
Я бы больше беспокоился о том, что ваше SSL-шифрование небезопасно, потому что вы используете только 1024-битное асимметричное шифрование для защиты своих ключей.
Ади Шамир ("S" в RSA) рекомендовал перейти на 2048-битные ключи еще в 2006 году, даже американский институт стандартов (NIST) сделал 2048 бит требуемой минимальной силой с января 2011 года (см. NIST SP800-57 для рекомендуемых ключевых сильных сторон minumum - это состояние 2048 бит для RSA и DH / el-gamal).
короче говоря, сначала убедитесь, что ваше шифрование RSA достаточно сильное, поскольку оно используется для защиты симметричных ключей (AES/Camellia). Никогда не полагайтесь на ключ, который защищен более слабым ключом (это похоже на использование безопасного 256-битного случайного ключа WPA 2 на беспроводной точке доступа, а затем доверяя его WPS, который откроется через несколько часов!)
даже если это тестовая система, научитесь использовать криптографию так, как вы собираетесь идти вперед; не компрометируйте ключ сертификата сила (все CAs в эти дни должны отклонять 1024-битные запросы или CSR с использованием MD5 на виду, если не использовать их; создайте свои собственные тестовые сертификаты, как вы бы реальный запрос, и не используйте размеры ключей по умолчанию).
трудно сравнить сильные стороны, оба получили криптографический анализ (AES более публично) и адекватны для обеспечения безопасности данных.
рискуя повторить себя, я бы больше беспокоился о 1024 битах, используемых для обеспечения ключевых переговоров.
трудно судить о силе этих алгоритмов. Камелия считается примерно эквивалентной AES в безопасности (источник). В любом случае разница, вероятно, не будет иметь значения. Любой алгоритм достаточно безопасен, чтобы сделать ваш канал данных больше не самым слабым звеном в вашей системе, поэтому вам не нужно беспокоиться об изменении какой-либо конфигурации.
шифровальщик OpenSSL TLSv1: + HIGH-очень плохой выбор. Обозначение " + something "означает перемещение всех шифров, которые соответствуют" something", в конец списка. Поэтому вы используете HIGH только в крайнем случае, с чем-либо, что не является предпочтительным.
гораздо лучший выбор- " DEFAULT:!Средний:!Лоу:!EXPORT:+3DES", который начинается с разумных значений по умолчанию, удаляет средний, низкий и экспорт и использует 3DES последним (что, вероятно, так или иначе, но в некоторых системах это происходит раньше AES128, потому что его можно считать 168-битным).