Kryptografie/Chiffrier Suits: Unterschied zwischen den Versionen

Aus Foxwiki
 
(109 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Überblick ==
== Chiffrier Suits ==
; Hintergrundinformationen
; Sammlung von Kryptografieverfahren
* Warum in Kapitel [[https://bettercrypto.org/#practicalsettings practicalsettings]] ''cipher string B'' empfohlen wird.
* Wir beginnen mit einer Erläuterung der Struktur von Chiffrierzeichenketten in Abschnitt [https://bettercrypto.org/#architecture [Architektur]] (Architektur) und definieren PFS in [https://bettercrypto.org/#pfs [pfs]].
* Als nächstes stellen wir ''Cipher String A'' und ''Cipher String B'' im Abschnitt [https://bettercrypto.org/#recommendedciphers Empfohlene Chiffriersuiten] vor.


; Cipher Strings
=== Komponenten ===
* Theoretisch sollte der Leser nun in der Lage sein, seine eigene Chiffrierkette zu konstruieren.
; Standardisierte Algorithmen
* Die Frage, warum bestimmte Einstellungen gewählt wurden, bleibt jedoch bestehen.
* Schlüsselaustausch
* Um diesen Teil zu beantworten, müssen wir uns die empfohlenen Schlüssellängen, die Probleme bestimmter Algorithmen und Hash-Funktionen sowie andere kryptografische Parameter ansehen.
* Kryptografiealgorithmen (Chiffren)  
* Wie eingangs im Abschnitt [https://bettercrypto.org/#relatedPublications [relatedPublications]] erwähnt, gehen die Berichte von ENISA ([https://bettercrypto.org/#bibliography-default-ENISA2013 ENISA und Vincent Rijmen, Nigel P. Smart, Bogdan warinschi, Gaven Watson, 2013]), ECRYPT 2 ([https://bettercrypto.org/#bibliography-default-ii2011ecrypt II & SYM, 2012]) und BSI ([https://bettercrypto.org/#bibliography-default-TR02102 für Sicherheit in der Informationstechnik (BSI), 2018]) viel mehr auf diese Themen ein und sollten zusätzlich konsultiert werden.
 
; Themen
* Zufallszahlengeneratoren (Abschnitt [https://bettercrypto.org/#rngs Zufallszahlengeneratoren]),
* Keylängen (Abschnitt [https://bettercrypto.org/#keylengths Keylengths]),
* ECC (Abschnitt [https://bettercrypto.org/#EllipticCurveCryptography A note on Elliptic Curve Cryptography]), ein Warnhinweis zu SHA-1 (Abschnitt [https://bettercrypto.org/#sha A note on SHA-1])
* Diffie-Hellman-Schlüsselaustausch (Abschnitt [https://bettercrypto.org/#dh A note on Diffie Hellman Key Exchanges]).
 
; All dies ist wichtig, um zu verstehen, warum bestimmte Entscheidungen für ''Cipher String A und B'' getroffen wurden
* Für die meisten Systemadministratoren ist jedoch die Frage der Kompatibilität eine der dringendsten.
* Die Freiheit, mit jedem beliebigen Client kompatibel zu sein (auch mit veralteten Betriebssystemen), verringert natürlich die Sicherheit unserer Chiffrierzeichenfolgen.
* Wir behandeln diese Themen im Abschnitt [https://bettercrypto.org/#compatibility TODO].
* Alle diese Abschnitte ermöglichen es einem Systemadministrator, seine oder ihre Bedürfnisse nach starker Verschlüsselung mit Benutzerfreundlichkeit und Kompatibilität in Einklang zu bringen.
 
; Themen
* PKIs (Abschnitt [https://bettercrypto.org/#pkis Public Key Infrastructures]),
* Zertifizierungsstellen und über
* Härtung einer PKI
* Die letztgenannten Themen verdienen ein eigenes Buch.
* Daher kann dieser Leitfaden nur einige aktuelle Themen in diesem Bereich erwähnen.
 
== Chiffriersuiten ==
=== Architektonischer Überblick ===
==== Begriffe ====
; Chiffriersuite
Eine Chiffriersuite ist eine standardisierte Sammlung, die authentifizierte Verschlüsselungsverfahren bietet
* Algorithmen für den Schlüsselaustausch
* Verschlüsselungsalgorithmen (Chiffren) und
* Algorithmus für Nachrichtenauthentifizierungscodes (MAC)  
* Algorithmus für Nachrichtenauthentifizierungscodes (MAC)  
* Authentifizierung 
* Authentifizierte Kryptografie mit zugehörigen Daten (AEAD)


; Komponenten
=== Aufbau einer Chiffrierzeichenfolge ===
# Schlüsselaustauschprotokoll 
{| class="wikitable"
# Authentifizierung 
|-
# Chiffre 
| DHE  
# Nachrichten-Authentifizierungs-Code (MAC) 
| RSA  
# Authentifizierte Verschlüsselung mit zugehörigen Daten (AEAD)
| AES256
 
| SHA256
=== Zusammensetzung einer typischen Chiffrierzeichenfolge ===
{|border="2" cellspacing="0" cellpadding="5" style="border-collapse:collapse;"
| style="background-color:#aaffcc;" | DHE
| style="background-color:#aaddcc;" | RSA
| style="background-color:#aaeecc;" | AES256
| style="background-color:#aaffbb;" | SHA256
|}
|}


=== Nomenklatur ===
=== Nomenklatur ===
; Gängige Benennungsschemata für Chiffrierstrings
; Benennungsschemata für Chiffrezeichenfolgen
* IANA-Namen (siehe Anhang [https://bettercrypto.org/#links Links]) und
* IANA-Namen
* die bekannteren OpenSSL-Namen
* OpenSSL-Namen
 
; Hier werden OpenSSL-Namen verwenden
: es sei denn, ein bestimmter Dienst verwendet IANA-Namen


=== Forward Secrecy ===
=== Forward Secrecy ===
Forward Secrecy oder Perfect Forward Secrecy ist eine Eigenschaft einer Cipher Suite, die die Vertraulichkeit auch dann gewährleistet, wenn der Serverschlüssel kompromittiert wurde.
; Vertraulichkeit auch dann gewährleisten, wenn der Serverschlüssel kompromittiert wurde
* Wenn also Datenverkehr aufgezeichnet wurde, kann er nicht entschlüsselt werden, selbst wenn ein Angreifer in den Besitz des Serverschlüssels gelangt ist.
* [https://en.wikipedia.org/wiki/Forward_secrecy Vorwärtsgeheimnis] (Wikipedia)
* [https://www.eff.org/deeplinks/2013/08/pushing-perfect-forward-secrecy-important-web-privacy-protection Pushing for Perfect Forward Secrecy, an Important Web Privacy Protection] (EFF)
* [https://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html SSL: Heute abgefangen, morgen entschlüsselt] (Netcraft)


=== Empfohlene Chiffriersuiten ===
{{:Perfect Forward Secrecy}}


== Cipher suites ==
== Cipher Strings ==
=== Architektonischer Überblick ===
; Wann sollten welche Einstellungen gewählt werden?
==== Begriffe ====
* Schlüssellängen
; Cipher Suite
* Algorithmen
Eine Chiffriersuite ist eine standardisierte Sammlung, die authentifizierte Verschlüsselungsverfahren bietet
* Hash-Funktionen
* Algorithmen für den Schlüsselaustausch
* Andere kryptografische Parameter
* Verschlüsselungsalgorithmen (Chiffren) und
* Algorithmus für Nachrichtenauthentifizierungscodes (MAC)


;Sie besteht aus den folgenden Komponenten
; Entscheidungen
# Schlüsselaustauschprotokoll 
# Sicherheit der Kommunikation
# Authentifizierung 
# Hohen Sicherheit der Cipher-Suite bei
# Chiffre 
#* Ausschluss einiger Benutzer
# Nachrichten-Authentifizierungs-Code (MAC) 
#* Unterstützung möglichst vieler Benutzer
# Authentifizierte Verschlüsselung mit zugehörigen Daten (AEAD)


; Cipher suite
; Qualys SSL Labs
A cipher suite is a standardized collection that provides authenticated encryption schemes
Werkzeug zum Test der Einrichtung und Kompatibilität des Webservers
* key exchange algorithms
: https://www.ssllabs.com
* encryption algorithms (ciphers) and
* Message authentication codes (MAC) algorithm


; It consists of the following components
; Achtung
# Key exchange protocol 
: '''Hier gewählte Einstellungen sind nur beispielhaft und MÜSSEN angepasst werden!'''
# Authentication 
# Cipher 
# Message authentication code (MAC) 
# Authenticated Encryption with Associated Data (AEAD)
 
=== Composition of a typical cipher string ===
{|border="2" cellspacing="0" cellpadding="5" style="border-collapse:collapse;"
| style="background-color:#aaffcc;" | DHE
| style="background-color:#aaddcc;" | RSA
| style="background-color:#aaeecc;" | AES256
| style="background-color:#aaffbb;" | SHA256
|}
 
=== Nomenclature ===
* There are two common naming schemes for cipher strings
* IANA names (see appendix [https://bettercrypto.org/#links Links]) and
* the more well known OpenSSL names
 
In this document we will always use OpenSSL names unless a specific service uses IANA names.
 
=== Forward Secrecy ===
Forward Secrecy oder Perfect Forward Secrecy ist eine Eigenschaft einer Cipher Suite, die die Vertraulichkeit auch dann gewährleistet, wenn der Serverschlüssel kompromittiert wurde.
* Wenn also Datenverkehr aufgezeichnet wurde, kann er nicht entschlüsselt werden, selbst wenn ein Angreifer in den Besitz des Serverschlüssels gelangt ist.
* [https://en.wikipedia.org/wiki/Forward_secrecy Vorwärtsgeheimnis] (Wikipedia)
* [https://www.eff.org/deeplinks/2013/08/pushing-perfect-forward-secrecy-important-web-privacy-protection Pushing for Perfect Forward Secrecy, an Important Web Privacy Protection] (EFF)
* [https://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html SSL: Heute abgefangen, morgen entschlüsselt] (Netcraft)
 
=== Recommended cipher suites ===


== Recommended cipher suites ==
; Chiffriersuiten auszuwählen und überprüfen
Im Prinzip müssen Systemadministratoren, die die Sicherheit ihrer Kommunikation verbessern wollen, eine schwierige Entscheidung zwischen dem effektiven Ausschluss einiger Benutzer und der Beibehaltung einer hohen Sicherheit der Cipher-Suite bei gleichzeitiger Unterstützung möglichst vieler Benutzer treffen.
* Eigenen Chiffriersuiten auszuwählen und überprüfen
* Die Website [https://www.ssllabs.com/ Qualys SSL Labs] gibt Administratoren und Sicherheitsingenieuren ein Werkzeug an die Hand, mit dem sie ihre Einrichtung testen und die Kompatibilität mit Clients vergleichen können.
* basierend auf den Anweisungen im Abschnitt [[https://bettercrypto.org/#ChoosingYourOwnCipherSuites ChoosingYourOwnCipherSuites]]
* Die Autoren haben ssllabs.com genutzt, um eine Reihe von Cipher Suites zu finden, die wir in diesem Dokument empfehlen werden.
 
; Achtung
* Diese Einstellungen können nur eine subjektive Wahl der Autoren zum Zeitpunkt der Erstellung des Dokuments darstellen.
* Es könnte eine kluge Entscheidung sein, Ihre eigenen Chiffriersuiten auszuwählen und zu überprüfen, basierend auf den Anweisungen im Abschnitt [[https://bettercrypto.org/#ChoosingYourOwnCipherSuites ChoosingYourOwnCipherSuites]].


=== Strong ciphers, fewer clients ===
=== Starke Chiffren ===
Zum Zeitpunkt der Erstellung dieses Dokuments empfehlen wir die Verwendung der folgenden Reihe von starken Chiffriersuiten, die in einer Umgebung nützlich sein können, in der man nicht von vielen verschiedenen Clients abhängig ist und in der Kompatibilität kein großes Problem darstellt.
; Starken Chiffriersuiten = Weniger Clients  


Ein Beispiel für eine solche Umgebung wäre die Maschine-zu-Maschine-Kommunikation oder der Einsatz in Unternehmen, wo die zu verwendende Software ohne Einschränkungen definiert werden kann.
; Umgebung
* Lokales Netzwerk
* Einheitliche Client-Infrastruktur
* Maschine-zu-Maschine-Kommunikation


; We arrived at this set of cipher suites by selecting
; Cipher suites
* TLS 1.2
* TLS 1.2
* Perfect forward secrecy / ephemeral Diffie Hellman
* Perfect forward secrecy / ephemeral Diffie Hellman
Zeile 144: Zeile 67:
* GCM as Authenticated Encryption scheme
* GCM as Authenticated Encryption scheme


; This results in the OpenSSL string
; OpenSSL string
: <tt>EDH+aRSA+AES256:EECDH+aRSA+AES256:!SSLv3</tt>
: <tt>EDH+aRSA+AES256:EECDH+aRSA+AES256:!SSLv3</tt>


Zeile 192: Zeile 115:


; Compatibility
; Compatibility
Zum Zeitpunkt der Erstellung dieses Dokuments waren nur Win 7 und Win 8.1 Crypto Stack, OpenSSL >= 1.0.1e, Safari 6 / iOS 6.0.1 und Safari 7 / OS X 10.9 von diesem Cipher String abgedeckt.
Zeitweise waren von diesem Cipher String nur abgedeckt
* Win 7  
* Win 8.1 Crypto Stack,  
* OpenSSL >= 1.0.1e,  
* Safari 6 / iOS 6.0.1 und Safari 7 / OS X 10.9


=== Weaker ciphers but better compatibility ===
=== Schwächere Chiffren ===
In diesem Abschnitt schlagen wir einen etwas schwächeren Satz von Chiffriersuiten vor.
; Schwächere Chiffren = bessere Kompatibilität
* Zum Beispiel gibt es bekannte Schwachstellen für die SHA-1-Hash-Funktion, die in diesem Satz enthalten ist.  
* Zum Beispiel gibt es bekannte Schwachstellen für die SHA-1-Hash-Funktion, die in diesem Satz enthalten ist.  
* Der Vorteil dieses Satzes von Chiffriersuiten ist nicht nur die bessere Kompatibilität mit einer breiten Palette von Clients, sondern auch die geringere Rechenlast für die Bereitstellungshardware.


Alle Beispiele in dieser Veröffentlichung verwenden Konfiguration B.
; Vorteil
Wir haben diesen Satz von Cipher Suites durch Auswahl von:
* bessere Kompatibilität mit einer breiten Palette von Clients
* TLS 1.2, TLS 1.1, TLS 1.0
* geringere Rechenlast für die Bereitstellungshardware
* Erlauben von SHA-1 (siehe die Kommentare zu SHA-1 im Abschnitt [https://bettercrypto.org/#SHA [SHA]])
 
; Nachteil


; Daraus ergibt sich die OpenSSL-Zeichenkette
; Cipher Suites
: EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA'
* TLS 1.2
* TLS 1.1
* TLS 1.0
* Erlauben von '''[[SHA-1]]'''
 
; OpenSSL-Zeichenkette
EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA'


; Konfiguration B-Chiffren
; Konfiguration B-Chiffren
{| class="wikitable sortable options"
{| class="wikitable sortable options"
! align=center| ID
! align=center| ID
Zeile 365: Zeile 297:


;Kompatibilität
;Kompatibilität
: Beachten Sie, dass diese Cipher Suites nicht mit dem Crypto Stack von Windows XP funktionieren (z.B. IE, Outlook),
: Beachten Sie, dass diese Cipher Suites nicht mit dem Crypto Stack von Windows XP funktionieren (z.&nbsp;B.&nbsp;IE, Outlook),


; Erläuterung
; Erläuterung
: Für eine ausführliche Erklärung der gewählten Chiffriersuiten siehe [https://bettercrypto.org/#ChoosingYourOwnCipherSuites [ChoosingYourOwnCipherSuites]].  
: Für eine ausführliche Erklärung der gewählten Chiffriersuiten siehe [[https://bettercrypto.org/#ChoosingYourOwnCipherSuites ChoosingYourOwnCipherSuites]].  
* Kurz gesagt, es ist praktisch unmöglich, eine einzige perfekte Chiffrierkette zu finden, und es muss ein Kompromiss zwischen Kompatibilität und Sicherheit gefunden werden.  
* Kurz gesagt, es ist praktisch unmöglich, eine einzige perfekte Chiffrierkette zu finden, und es muss ein Kompromiss zwischen Kompatibilität und Sicherheit gefunden werden.  
* Auf der einen Seite gibt es obligatorische und optionale Chiffren, die in einigen RFCs definiert sind, auf der anderen Seite gibt es Clients und Server, die nur Teilmengen der Spezifikation implementieren.
* Auf der einen Seite gibt es obligatorische und optionale Chiffren, die in einigen RFCs definiert sind, auf der anderen Seite gibt es Clients und Server, die nur Teilmengen der Spezifikation implementieren.
: Die Autoren wollten starke Chiffren, vorwärts gerichtete Geheimhaltung [[https://bettercrypto.org/#_footnotedef_25 25]] und die bestmögliche Kompatibilität mit den Clients, während sie gleichzeitig einen Chiffrierstring sicherstellen wollten, der auf älteren Installationen (z. B. OpenSSL 0.9.8) verwendet werden kann.
: Die Autoren wollten starke Chiffren, vorwärts gerichtete Geheimhaltung [[https://bettercrypto.org/#_footnotedef_25 25]] und die bestmögliche Kompatibilität mit den Clients, während sie gleichzeitig einen Chiffrierstring sicherstellen wollten, der auf älteren Installationen (z.&nbsp;B.&nbsp;OpenSSL 0.9.8) verwendet werden kann.


; Out of the box
; Out of the box
Die von uns empfohlenen Chiffrierzeichenfolgen sind für die Verwendung durch Kopieren und Einfügen gedacht und müssen "out of the box" funktionieren.
Die von uns empfohlenen Chiffrierzeichenfolgen sind für die Verwendung durch Kopieren und Einfügen gedacht und müssen "out of the box" funktionieren.
* TLSv1.2 wird gegenüber TLSv1.0 bevorzugt (und bietet dennoch eine brauchbare Chiffrierkette für TLSv1.0-Server).
* TLSv1.2 wird gegenüber TLSv1.0 bevorzugt (und bietet dennoch eine brauchbare Chiffrierkette für TLSv1.0-Server).
* AES256 und CAMELLIA256 gelten derzeit als sehr starke Verschlüsselungen.
* AES256 und CAMELLIA256 gelten derzeit als sehr starke Kryptografieen.
* AES128 und CAMELLIA128 gelten derzeit als starke Verschlüsselungen.
* AES128 und CAMELLIA128 gelten derzeit als starke Kryptografieen.
* DHE oder ECDHE für Vorwärtsgeheimnis
* DHE oder ECDHE für Vorwärtsgeheimnis
* RSA, da dies für die meisten heutigen Konfigurationen geeignet ist
* RSA, da dies für die meisten heutigen Konfigurationen geeignet ist
* AES256-SHA als letzter Ausweg: Mit dieser Chiffre am Ende funktionieren sogar Serversysteme mit sehr alten OpenSSL-Versionen (Version 0.9.8 bietet zum Beispiel keine Unterstützung für ECC und TLSv1.1 oder höher).  
* AES256-SHA als letzter Ausweg: Mit dieser Chiffre am Ende funktionieren sogar Serversysteme mit sehr alten OpenSSL-Versionen (Version 0.9.8 bietet zum Beispiel keine Unterstützung für ECC und TLSv1.1 oder höher).  
* Beachten Sie jedoch, dass diese Cipher-Suite keine Vorwärtsverschlüsselung bietet.  
* Beachten Sie jedoch, dass diese Cipher-Suite keine Vorwärtsverschlüsselung bietet.  
* Sie soll die gleiche Client-Abdeckung bieten (z.B. Unterstützung der Microsoft Krypto-Bibliotheken) auf älteren Systemen.
* Sie soll die gleiche Client-Abdeckung bieten (z.&nbsp;B.&nbsp;Unterstützung der Microsoft Krypto-Bibliotheken) auf älteren Systemen.


== Random Number Generators ==
== Weblinks ==
[[Random Number Generator]]
# https://bettercrypto.org


== Keylengths ==
; ENISA-Berichte
[[Verschlüsselung:Keylengths]]
Gehen viel mehr auf diese Themen ein und sollten zusätzlich konsultiert werden
* [https://bettercrypto.org/#bibliography-default-ENISA2013 ENISA und Vincent Rijmen, Nigel P. Smart, Bogdan warinschi, Gaven Watson, 2013]
* ECRYPT 2 ([https://bettercrypto.org/#bibliography-default-ii2011ecrypt II & SYM, 2012])
* BSI ([https://bettercrypto.org/#bibliography-default-TR02102 für Sicherheit in der Informationstechnik (BSI), 2018])


== Notes ==
; Themen
=== 3DES ===
* [[Zufallszahlengeneratoren]]
We want to note that 3DES theoretically has 168 bits of security, however based on the NIST Special Publication 800-57 [[https://bettercrypto.org/#_footnotedef_26 26]].
* [[Keylängen]]
Due to several [https://en.wikipedia.org/wiki/Triple_DES#Security security problems] the effective key length should be considered 80 bits.
* ECC (Abschnitt [https://bettercrypto.org/#EllipticCurveCryptography A note on Elliptic Curve Cryptography]), ein Warnhinweis zu SHA-1 (Abschnitt [https://bettercrypto.org/#sha A note on SHA-1])
* The NIST [https://csrc.nist.gov/news/2017/update-to-current-use-and-deprecation-of-tdea recommends] not to use 3DES any more and to migrate to AES as soon as possible.
* Diffie-Hellman (Abschnitt [https://bettercrypto.org/#dh A note on Diffie Hellman Key Exchanges]).  


=== Elliptic Curve Cryptography ===
; All dies ist wichtig, um zu verstehen, warum bestimmte Entscheidungen für ''Cipher String A und B'' getroffen wurden
Everyone knows what a curve is, until he has studied enough
* Für die meisten Systemadministratoren ist jedoch die Frage der Kompatibilität eine der dringendsten.  
mathematics to become confused through the countless number
* Die Freiheit, mit jedem beliebigen Client kompatibel zu sein (auch mit veralteten Betriebssystemen), verringert natürlich die Sicherheit unserer Chiffrierzeichenfolgen.  
of possible exceptions.
* Wir behandeln diese Themen im Abschnitt [https://bettercrypto.org/#compatibility TODO].  
Elliptic Curve Cryptography (simply called ECC from now on) is a branch of cryptography that emerged in the mid-1980s.
* Alle diese Abschnitte ermöglichen es einem Systemadministrator, seine oder ihre Bedürfnisse nach starker Kryptografie mit Benutzerfreundlichkeit und Kompatibilität in Einklang zu bringen.
* The security of the RSA algorithm is based on the assumption that factoring large numbers is infeasible.
* Likewise, the security of ECC, DH and DSA is based on the discrete logarithm problem ([https://bettercrypto.org/#bibliography-default-Wikipedia:Discrete i_wikipedia_Discrete logarithm_, 2013]).
* Finding the discrete logarithm of an elliptic curve from its public base point is thought to be infeasible.  
* This is known as the Elliptic Curve Discrete Logarithm Problem (ECDLP).
* ECC and the underlying mathematical foundation are not easy to understand - luckily, there have been some great introductions on the topic. [[https://bettercrypto.org/#_footnotedef_27 27]] [[https://bettercrypto.org/#_footnotedef_28 28]] [[https://bettercrypto.org/#_footnotedef_29 29]].
ECC provides for much stronger security with less computationally expensive operations in comparison to traditional asymmetric algorithms (See the Section [https://bettercrypto.org/#keylengths Keylengths]).
* The security of ECC relies on the elliptic curves and curve points chosen as parameters for the algorithm in question.
* Well before the NSA-leak scandal, there has been a lot of discussion regarding these parameters and their potential subversion.  
* A part of the discussion involved recommended sets of curves and curve points chosen by different standardization bodies such as the National Institute of Standards and Technology (NIST) [[https://bettercrypto.org/#_footnotedef_30 30]] which were later widely implemented in most common crypto libraries.  
* Those parameters came under question repeatedly from cryptographers ([https://bettercrypto.org/#bibliography-default-BL13 Bernstein & Lange, 2013]).
At the time of writing, there is ongoing research as to the security of various ECC parameters ([https://bettercrypto.org/#bibliography-default-DJBSC SafeCurves: choosing safe curves for elliptic-curve cryptography, 2013]).
* Most software configured to rely on ECC (be it client or server) is not able to promote or black-list certain curves.
* It is the hope of the authors that such functionality will be deployed widely soon.
* The authors of this paper include configurations and recommendations with and without ECC - the reader may choose to adopt those settings as he finds best suited to his environment.
* The authors will not make this decision for the reader.


; Warning
; Themen
: One should get familiar with ECC, different curves and parameters if one chooses to adopt ECC configurations.
* [[PKI|Public Key Infrastructures]]
* Since there is much discussion on the security of ECC, flawed settings might very well compromise the security of the entire system!


=== SHA-1 ===
== Siehe auch ==
In the last years several weaknesses have been shown for SHA-1.
# [[3DES]]
* In particular, collisions on SHA-1 can be found using 263 operations, and recent results even indicate a lower complexity.
# [[Elliptische Kurven Kryptographie]]
* Therefore, ECRYPT II and NIST recommend against using SHA-1 for generating digital signatures and for other applications that require collision resistance.
# [[SHA-1]]
* The use of SHA-1 in message authentication, e.g. HMAC, is not immediately threatened.
# [[Diffie Hellman Key Exchanges]]
We recommend using SHA-2 whenever available.
# [[Random Number Generator]]
* Since SHA-2 is not supported by older versions of TLS, SHA-1 can be used for message authentication if a higher compatibility with a more diverse set of clients is needed.
# [[Kryptografie/Schlüssellängen]]
Our configurations A and B reflect this.
# [[Public Key Infrastructure]]
* While configuration A does not include SHA-1, configuration B does and thus is more compatible with a wider range of clients.
# [[TLS]]
 
=== Diffie Hellman Key Exchanges ===
[[Diffie Hellman Key Exchanges]]
 
== Public Key Infrastructures ==
[[Public Key Infrastructure]]
 
== TLS and its support mechanisms ==
[[TLS]]
 
== Weblinks ==
# https://bettercrypto.org


[[Kategorie:Verschlüsselung]]
[[Kategorie:Kryptografie/Algorithmus]]

Aktuelle Version vom 21. April 2024, 09:24 Uhr

Chiffrier Suits

Sammlung von Kryptografieverfahren

Komponenten

Standardisierte Algorithmen
  • Schlüsselaustausch
  • Kryptografiealgorithmen (Chiffren)
  • Algorithmus für Nachrichtenauthentifizierungscodes (MAC)
  • Authentifizierung
  • Authentifizierte Kryptografie mit zugehörigen Daten (AEAD)

Aufbau einer Chiffrierzeichenfolge

DHE RSA AES256 SHA256

Nomenklatur

Benennungsschemata für Chiffrezeichenfolgen
  • IANA-Namen
  • OpenSSL-Namen

Forward Secrecy

Vertraulichkeit auch dann gewährleisten, wenn der Serverschlüssel kompromittiert wurde

Perfect Forward Secrecy - Eigenschaft einer Kryptografie, die Vertraulichkeit auch dann zu gewährleistet, wenn der Serverschlüssel kompromittiert wurde

Beschreibung

Perfect Forward Secrecy (PFS) oder Forward Secrecy
  • perfekte vorwärts gerichtete Geheimhaltung
  • In der Kryptographie eine Eigenschaft bestimmter Schlüsselaustauschprotokolle
  • Eigenschaft einer Cipher Suite
  • Vertraulichkeit gewährleistet, wenn Serverschlüssel kompromittiert wurde
Aufgezeichneter Datenverkehr
  • kann nicht entschlüsselt werden
  • auch, falls ein Angreifer in den Besitz des Serverschlüssels gelangt ist
Ziel

Gemeinsamen Sitzungsschlüssel so vereinbaren

  • dass dieser von einem Dritten auch dann nicht rekonstruiert werden kann, wenn einer der beiden Langzeitschlüssel später einmal kompromittiert werden sollte
Folgenlosigkeit und break-backward protection
  • aufgezeichnete, verschlüsselte Kommunikation auch bei Kenntnis des Langzeitschlüssels nicht nachträglich entschlüsselt werden
  • Gelegentlich wird diese Eigenschaft auch unter dem Schlagwort Folgenlosigkeit behandelt, da ein späteres Aufdecken des Langzeitschlüssels folgenlos für die Sicherheit aller früheren Sitzungen bleibt
  • Diese Eigenschaft betont auch die alternative englische Bezeichnung break-backward protection

Hintergrund

Prinzipiell kann jeder Schlüssel aufgedeckt werden
  • Aufwendige Analyseverfahren
  • Ausspähung
  • Diebstahl
  • Bestechung
  • Erpressung
  • Nachlässigkeit
  • Brute-Force
Sitzungsschlüssel
  • Deswegen werden Sitzungsschlüssel verwendet, die in kurzen Abständen immer wieder neu ausgehandelt werden
  • Ein Angreifer, dem ein derartiger Sitzungsschlüssel bekannt wird, kann deshalb nur den Teil der Kommunikation entschlüsseln, der mit diesem Sitzungsschlüssel verschlüsselt worden war.
Langzeitschlüssel
  • Allerdings sind sämtliche Sitzungsschlüssel der Gefahr ausgesetzt, dass derjenige Langzeitschlüssel kompromittiert wird, der für die gesicherte Übertragung der Sitzungsschlüssel verwendet wird.
  • Durch die Kenntnis dieses Langzeitschlüssels könnte ein möglicher Angreifer sämtlichen Datenverkehr entschlüsseln, insbesondere auch die Übertragung der Sitzungsschlüssel und somit Zugriff auf den gesamten früheren Datenverkehr erhalten.
Perfect Forward Secrecy

Dies wird durch Perfect Forward Secrecy unterbunden

  • Angreifer können trotz Kenntnis des Langzeitschlüssels keinerlei Rückschlüsse auf die ausgehandelten Sitzungsschlüssel ziehen
  • Bei TLS wird dies dadurch erreicht, dass der Langzeitschlüssel zu einem Signaturverfahren gehört und nur benutzt wird, um Kurzzeitschlüssel zu signieren
  • Mit diesen wird jeweils durch einen Diffie-Hellman ein Sitzungsschlüssel ausgehandelt
  • Wird ein Server kompromittiert, erfährt der Angreifer nur den langfristigen Signaturschlüssel und die Sitzungsschlüssel gerade aktiver Verbindungen.
  • Die Sitzungsschlüssel zurückliegender Verbindungen sind bereits gelöscht und lassen sich nicht mehr rekonstruieren.

Praxis

Standardverfahren

Bei den heutigen Standardverfahren, bei denen zusammen mit symmetrischen Sitzungsschlüsseln (session key) auch asymmetrische Master-Keys eingesetzt werden, müssen auch die sehr viel langlebigeren Hauptschlüssel (master keys) eines Kommunikationskanals PFS-fähig sein.

  • Die Kenntnis eines oder beider privater Schlüssel der Kommunikationsendpunkte darf Angreifern das Aufdecken der Sitzungsschlüssel nicht erleichtern.
Nachteil

Ein Nachteil von Perfect Forward Secrecy ist der deutlich höhere Aufwand zur Generierung von Sitzungsschlüsseln und die dadurch geringere Verarbeitungsgeschwindigkeit.

  • Aus diesem Grunde kann es bei manchen Kryptografieverfahren (z. B. IPsec) deaktiviert werden.
Empfehlung

Im April 2019 empfahl das deutsche Bundesamt für Sicherheit in der Informationstechnik in seinen Sicherheitsanforderungen für den Einsatz von TLS bei der Übertragung von Daten die Version TLS 1.2 oder TLS 1.3 in Kombination mit Perfect Forward Secrecy zu nutzen.

Unterstützung
  • Von den großen internationalen IT-Unternehmen war Google das Erste, das den Standard unterstützte.
  • Mittlerweile wenden auch Facebook, YouTube und andere dieses Verfahren an.
  • Nach Angabe des Trustworthy Internet Movement vom Januar 2015 waren damals ca. 20,9 Prozent aller Webseiten, die eine TLS-Kryptografie nutzen, dazu konfiguriert, Cipher Suites zu verwenden, die Perfect Forward Secrecy mit modernen Browsern unterstützten.

Dokumentation

RFC

  • RFC 2409, Beispiel bei The Internet Key Exchange (IKE)
  • RFC 2412, Beispiel bei IPsec
  • RFC 4650

Man-Page

Info-Pages

Siehe auch

Links

Projekt

Weblinks

  1. Netcraft: SSL: Intercepted today, decrypted tomorrow
  2. Vorwärtsgeheimnis (Wikipedia)
  3. Pushing for Perfect Forward Secrecy, an Important Web Privacy Protection (EFF)
  4. SSL: Heute abgefangen, morgen entschlüsselt (Netcraft)

Cipher Strings

Wann sollten welche Einstellungen gewählt werden?
  • Schlüssellängen
  • Algorithmen
  • Hash-Funktionen
  • Andere kryptografische Parameter
Entscheidungen
  1. Sicherheit der Kommunikation
  2. Hohen Sicherheit der Cipher-Suite bei
    • Ausschluss einiger Benutzer
    • Unterstützung möglichst vieler Benutzer
Qualys SSL Labs

Werkzeug zum Test der Einrichtung und Kompatibilität des Webservers

https://www.ssllabs.com
Achtung
Hier gewählte Einstellungen sind nur beispielhaft und MÜSSEN angepasst werden!
Chiffriersuiten auszuwählen und überprüfen

Starke Chiffren

Starken Chiffriersuiten = Weniger Clients
Umgebung
  • Lokales Netzwerk
  • Einheitliche Client-Infrastruktur
  • Maschine-zu-Maschine-Kommunikation
Cipher suites
  • TLS 1.2
  • Perfect forward secrecy / ephemeral Diffie Hellman
  • strong MACs (SHA-2) or
  • GCM as Authenticated Encryption scheme
OpenSSL string
EDH+aRSA+AES256:EECDH+aRSA+AES256:!SSLv3
Configuration A ciphers
ID OpenSSL Name Version KeyEx Auth Cipher MAC
0x009F DHE-RSA-AES256-GCM-SHA384 TLSv1.2 DH RSA AESGCM(256) AEAD
0x006B DHE-RSA-AES256-SHA256 TLSv1.2 DH RSA AES(256) (CBC) SHA256
0xC030 ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 ECDH RSA AESGCM(256) AEAD
0xC028 ECDHE-RSA-AES256-SHA384 TLSv1.2 ECDH RSA AES(256) (CBC) SHA384
Compatibility

Zeitweise waren von diesem Cipher String nur abgedeckt

  • Win 7
  • Win 8.1 Crypto Stack,
  • OpenSSL >= 1.0.1e,
  • Safari 6 / iOS 6.0.1 und Safari 7 / OS X 10.9

Schwächere Chiffren

Schwächere Chiffren = bessere Kompatibilität
  • Zum Beispiel gibt es bekannte Schwachstellen für die SHA-1-Hash-Funktion, die in diesem Satz enthalten ist.
Vorteil
  • bessere Kompatibilität mit einer breiten Palette von Clients
  • geringere Rechenlast für die Bereitstellungshardware
Nachteil
Cipher Suites
  • TLS 1.2
  • TLS 1.1
  • TLS 1.0
  • Erlauben von SHA-1
OpenSSL-Zeichenkette
EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA'
Konfiguration B-Chiffren
ID OpenSSL Name Version KeyEx Auth Cipher MAC
0x009F DHE-RSA-AES256-GCM-SHA384 TLSv1.2 DH RSA AESGCM(256) AEAD
0x006B DHE-RSA-AES256-SHA256 TLSv1.2 DH RSA AES(256) SHA256
0xC030 ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 ECDH RSA AESGCM(256) AEAD
0xC028 ECDHE-RSA-AES256-SHA384 TLSv1.2 ECDH RSA AES(256) SHA384
0x009E DHE-RSA-AES128-GCM-SHA256 TLSv1.2 DH RSA AESGCM(128) AEAD
0x0067 DHE-RSA-AES128-SHA256 TLSv1.2 DH RSA AES(128) SHA256
0xC02F ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 ECDH RSA AESGCM(128) AEAD
0xC027 ECDHE-RSA-AES128-SHA256 TLSv1.2 ECDH RSA AES(128) SHA256
0x0088 DHE-RSA-CAMELLIA256-SHA SSLv3 DH RSA Camellia(256) SHA1
0x0039 DHE-RSA-AES256-SHA SSLv3 DH RSA AES(256) SHA1
0xC014 ECDHE-RSA-AES256-SHA SSLv3 ECDH RSA AES(256) SHA1
0x0045 DHE-RSA-CAMELLIA128-SHA SSLv3 DH RSA Camellia(128) SHA1
0x0033 DHE-RSA-AES128-SHA SSLv3 DH RSA AES(128) SHA1
0xC013 ECDHE-RSA-AES128-SHA SSLv3 ECDH RSA AES(128) SHA1
0x0084 CAMELLIA256-SHA SSLv3 RSA RSA Camellia(256) SHA1
0x0035 AES256-SHA SSLv3 RSA RSA AES(256) SHA1
0x0041 CAMELLIA128-SHA SSLv3 RSA RSA Camellia(128) SHA1
0x002F AES128-SHA SSLv3 RSA RSA AES(128) SHA1
Kompatibilität
Beachten Sie, dass diese Cipher Suites nicht mit dem Crypto Stack von Windows XP funktionieren (z. B. IE, Outlook),
Erläuterung
Für eine ausführliche Erklärung der gewählten Chiffriersuiten siehe [ChoosingYourOwnCipherSuites].
  • Kurz gesagt, es ist praktisch unmöglich, eine einzige perfekte Chiffrierkette zu finden, und es muss ein Kompromiss zwischen Kompatibilität und Sicherheit gefunden werden.
  • Auf der einen Seite gibt es obligatorische und optionale Chiffren, die in einigen RFCs definiert sind, auf der anderen Seite gibt es Clients und Server, die nur Teilmengen der Spezifikation implementieren.
Die Autoren wollten starke Chiffren, vorwärts gerichtete Geheimhaltung [25] und die bestmögliche Kompatibilität mit den Clients, während sie gleichzeitig einen Chiffrierstring sicherstellen wollten, der auf älteren Installationen (z. B. OpenSSL 0.9.8) verwendet werden kann.
Out of the box

Die von uns empfohlenen Chiffrierzeichenfolgen sind für die Verwendung durch Kopieren und Einfügen gedacht und müssen "out of the box" funktionieren.

  • TLSv1.2 wird gegenüber TLSv1.0 bevorzugt (und bietet dennoch eine brauchbare Chiffrierkette für TLSv1.0-Server).
  • AES256 und CAMELLIA256 gelten derzeit als sehr starke Kryptografieen.
  • AES128 und CAMELLIA128 gelten derzeit als starke Kryptografieen.
  • DHE oder ECDHE für Vorwärtsgeheimnis
  • RSA, da dies für die meisten heutigen Konfigurationen geeignet ist
  • AES256-SHA als letzter Ausweg: Mit dieser Chiffre am Ende funktionieren sogar Serversysteme mit sehr alten OpenSSL-Versionen (Version 0.9.8 bietet zum Beispiel keine Unterstützung für ECC und TLSv1.1 oder höher).
  • Beachten Sie jedoch, dass diese Cipher-Suite keine Vorwärtsverschlüsselung bietet.
  • Sie soll die gleiche Client-Abdeckung bieten (z. B. Unterstützung der Microsoft Krypto-Bibliotheken) auf älteren Systemen.

Weblinks

  1. https://bettercrypto.org
ENISA-Berichte

Gehen viel mehr auf diese Themen ein und sollten zusätzlich konsultiert werden

Themen
All dies ist wichtig, um zu verstehen, warum bestimmte Entscheidungen für Cipher String A und B getroffen wurden
  • Für die meisten Systemadministratoren ist jedoch die Frage der Kompatibilität eine der dringendsten.
  • Die Freiheit, mit jedem beliebigen Client kompatibel zu sein (auch mit veralteten Betriebssystemen), verringert natürlich die Sicherheit unserer Chiffrierzeichenfolgen.
  • Wir behandeln diese Themen im Abschnitt TODO.
  • Alle diese Abschnitte ermöglichen es einem Systemadministrator, seine oder ihre Bedürfnisse nach starker Kryptografie mit Benutzerfreundlichkeit und Kompatibilität in Einklang zu bringen.
Themen

Siehe auch

  1. 3DES
  2. Elliptische Kurven Kryptographie
  3. SHA-1
  4. Diffie Hellman Key Exchanges
  5. Random Number Generator
  6. Kryptografie/Schlüssellängen
  7. Public Key Infrastructure
  8. TLS