Kryptografie/Chiffrier Suits: Unterschied zwischen den Versionen
| Zeile 396: | Zeile 396: | ||
* Das NIST [https://csrc.nist.gov/news/2017/update-to-current-use-and-deprecation-of-tdea empfiehlt], 3DES nicht mehr zu verwenden und so bald wie möglich auf AES umzusteigen. | * Das NIST [https://csrc.nist.gov/news/2017/update-to-current-use-and-deprecation-of-tdea empfiehlt], 3DES nicht mehr zu verwenden und so bald wie möglich auf AES umzusteigen. | ||
=== | === Elliptische Kurven Kryptographie === | ||
Jeder weiß, was eine Kurve ist, bis er genug Mathematik studiert hat | |||
Mathematik studiert hat, um durch die unzähligen Ausnahmen verwirrt zu werden | |||
möglicher Ausnahmen zu verwirren. | |||
Die Elliptische-Kurven-Kryptographie (ab jetzt einfach ECC genannt) ist ein Zweig der Kryptographie, der Mitte der 1980er Jahre entstand. | |||
* | * Die Sicherheit des RSA-Algorithmus beruht auf der Annahme, dass die Faktorisierung großer Zahlen nicht möglich ist. | ||
* | * Auch die Sicherheit von ECC, DH und DSA basiert auf dem Problem des diskreten Logarithmus ([https://bettercrypto.org/#bibliography-default-Wikipedia:Discrete i_wikipedia_Diskreter Logarithmusm_, 2013]). | ||
* | * Den diskreten Logarithmus einer elliptischen Kurve von ihrem öffentlichen Basispunkt aus zu finden, gilt als undurchführbar. | ||
* | * Dies ist bekannt als das Elliptic Curve Discrete Logarithm Problem (ECDLP). | ||
* ECC | * ECC und die zugrundeliegenden mathematischen Grundlagen sind nicht leicht zu verstehen - zum Glück gibt es einige gute Einführungen in das Thema. [[https://bettercrypto.org/#_footnotedef_27 27]] [[https://bettercrypto.org/#_footnotedef_28 28]] [[https://bettercrypto.org/#_footnotedef_29 29]]. | ||
ECC | ECC bietet im Vergleich zu traditionellen asymmetrischen Algorithmen eine viel höhere Sicherheit bei weniger rechenintensiven Operationen (siehe Abschnitt [https://bettercrypto.org/#keylengths Schlüssellängen]). | ||
* | * Die Sicherheit von ECC hängt von den elliptischen Kurven und Kurvenpunkten ab, die als Parameter für den jeweiligen Algorithmus gewählt werden. | ||
* | * Schon lange vor dem NSA-Leak-Skandal gab es viele Diskussionen über diese Parameter und ihre mögliche Umgehung. | ||
* | * Ein Teil der Diskussion betraf empfohlene Kurven und Kurvenpunkte, die von verschiedenen Standardisierungsgremien wie dem National Institute of Standards and Technology (NIST) [[https://bettercrypto.org/#_footnotedef_30 30]] ausgewählt und später in den meisten gängigen Krypto-Bibliotheken implementiert wurden. | ||
* | * Diese Parameter wurden von Kryptographen wiederholt in Frage gestellt ([https://bettercrypto.org/#bibliography-default-BL13 Bernstein & Lange, 2013]). | ||
Zum Zeitpunkt der Erstellung dieses Dokuments wird an der Sicherheit verschiedener ECC-Parameter geforscht ([https://bettercrypto.org/#bibliography-default-DJBSC SafeCurves: choosing safe curves for elliptic-curve cryptography, 2013]). | |||
* | * Die meiste Software, die so konfiguriert ist, dass sie sich auf ECC verlässt (sei es ein Client oder ein Server), ist nicht in der Lage, bestimmte Kurven zu fördern oder auf eine schwarze Liste zu setzen. | ||
* | * Die Autoren hoffen, dass eine solche Funktionalität bald weit verbreitet sein wird. | ||
* | * Die Autoren dieses Papiers geben Konfigurationen und Empfehlungen mit und ohne ECC an - der Leser kann sich für die Einstellungen entscheiden, die er für seine Umgebung am besten geeignet findet. | ||
* | * Die Autoren werden diese Entscheidung nicht für den Leser treffen. | ||
; | ; Warnung | ||
: | : Man sollte sich mit ECC, verschiedenen Kurven und Parametern vertraut machen, wenn man sich für ECC-Konfigurationen entscheidet. | ||
* | * Da es viele Diskussionen über die Sicherheit von ECC gibt, können fehlerhafte Einstellungen die Sicherheit des gesamten Systems gefährden! | ||
=== SHA-1 === | === SHA-1 === | ||
Version vom 3. Januar 2023, 10:05 Uhr
Überblick
- Hintergrundinformationen
- Warum in Kapitel [practicalsettings] cipher string B empfohlen wird.
- Wir beginnen mit einer Erläuterung der Struktur von Chiffrierzeichenketten in Abschnitt [Architektur] (Architektur) und definieren PFS in [pfs].
- Als nächstes stellen wir Cipher String A und Cipher String B im Abschnitt Empfohlene Chiffriersuiten vor.
- Cipher Strings
- Theoretisch sollte der Leser nun in der Lage sein, seine eigene Chiffrierkette zu konstruieren.
- Die Frage, warum bestimmte Einstellungen gewählt wurden, bleibt jedoch bestehen.
- Um diesen Teil zu beantworten, müssen wir uns die empfohlenen Schlüssellängen, die Probleme bestimmter Algorithmen und Hash-Funktionen sowie andere kryptografische Parameter ansehen.
- Wie eingangs im Abschnitt [relatedPublications] erwähnt, gehen die Berichte von ENISA (ENISA und Vincent Rijmen, Nigel P. Smart, Bogdan warinschi, Gaven Watson, 2013), ECRYPT 2 (II & SYM, 2012) und BSI (für Sicherheit in der Informationstechnik (BSI), 2018) viel mehr auf diese Themen ein und sollten zusätzlich konsultiert werden.
- Themen
- Zufallszahlengeneratoren (Abschnitt Zufallszahlengeneratoren),
- Keylängen (Abschnitt Keylengths),
- ECC (Abschnitt A note on Elliptic Curve Cryptography), ein Warnhinweis zu SHA-1 (Abschnitt A note on SHA-1)
- Diffie-Hellman-Schlüsselaustausch (Abschnitt A note on Diffie Hellman Key Exchanges).
- All dies ist wichtig, um zu verstehen, warum bestimmte Entscheidungen für Cipher String A und B getroffen wurden
- Für die meisten Systemadministratoren ist jedoch die Frage der Kompatibilität eine der dringendsten.
- Die Freiheit, mit jedem beliebigen Client kompatibel zu sein (auch mit veralteten Betriebssystemen), verringert natürlich die Sicherheit unserer Chiffrierzeichenfolgen.
- Wir behandeln diese Themen im Abschnitt TODO.
- Alle diese Abschnitte ermöglichen es einem Systemadministrator, seine oder ihre Bedürfnisse nach starker Verschlüsselung mit Benutzerfreundlichkeit und Kompatibilität in Einklang zu bringen.
- Themen
- PKIs (Abschnitt Public Key Infrastructures),
- Zertifizierungsstellen und über
- Härtung einer PKI
- Die letztgenannten Themen verdienen ein eigenes Buch.
- Daher kann dieser Leitfaden nur einige aktuelle Themen in diesem Bereich erwähnen.
Chiffriersuiten
Architektonischer Überblick
Begriffe
- Chiffriersuite
Eine Chiffriersuite ist eine standardisierte Sammlung, die authentifizierte Verschlüsselungsverfahren bietet
- Algorithmen für den Schlüsselaustausch
- Verschlüsselungsalgorithmen (Chiffren) und
- Algorithmus für Nachrichtenauthentifizierungscodes (MAC)
- Komponenten
- Schlüsselaustauschprotokoll
- Authentifizierung
- Chiffre
- Nachrichten-Authentifizierungs-Code (MAC)
- Authentifizierte Verschlüsselung mit zugehörigen Daten (AEAD)
Zusammensetzung einer typischen Chiffrierzeichenfolge
| DHE | RSA | AES256 | SHA256 |
Nomenklatur
- Gängige Benennungsschemata für Chiffrierstrings
- IANA-Namen (siehe Anhang Links) und
- die bekannteren OpenSSL-Namen
- Hier werden OpenSSL-Namen verwenden
- es sei denn, ein bestimmter Dienst verwendet IANA-Namen
Forward Secrecy
Forward Secrecy oder Perfect Forward Secrecy ist eine Eigenschaft einer Cipher Suite, die die Vertraulichkeit auch dann gewährleistet, wenn der Serverschlüssel kompromittiert wurde.
- Wenn also Datenverkehr aufgezeichnet wurde, kann er nicht entschlüsselt werden, selbst wenn ein Angreifer in den Besitz des Serverschlüssels gelangt ist.
- Vorwärtsgeheimnis (Wikipedia)
- Pushing for Perfect Forward Secrecy, an Important Web Privacy Protection (EFF)
- SSL: Heute abgefangen, morgen entschlüsselt (Netcraft)
Empfohlene Chiffriersuiten
Cipher suites
Architektonischer Überblick
Begriffe
- Cipher Suite
Eine Chiffriersuite ist eine standardisierte Sammlung, die authentifizierte Verschlüsselungsverfahren bietet
- Algorithmen für den Schlüsselaustausch
- Verschlüsselungsalgorithmen (Chiffren) und
- Algorithmus für Nachrichtenauthentifizierungscodes (MAC)
- Sie besteht aus den folgenden Komponenten
- Schlüsselaustauschprotokoll
- Authentifizierung
- Chiffre
- Nachrichten-Authentifizierungs-Code (MAC)
- Authentifizierte Verschlüsselung mit zugehörigen Daten (AEAD)
- Cipher suite
A cipher suite is a standardized collection that provides authenticated encryption schemes
- key exchange algorithms
- encryption algorithms (ciphers) and
- Message authentication codes (MAC) algorithm
- It consists of the following components
- Key exchange protocol
- Authentication
- Cipher
- Message authentication code (MAC)
- Authenticated Encryption with Associated Data (AEAD)
Composition of a typical cipher string
| DHE | RSA | AES256 | SHA256 |
Nomenclature
- There are two common naming schemes for cipher strings
- IANA names (see appendix Links) and
- the more well known OpenSSL names
In this document we will always use OpenSSL names unless a specific service uses IANA names.
Forward Secrecy
Forward Secrecy oder Perfect Forward Secrecy ist eine Eigenschaft einer Cipher Suite, die die Vertraulichkeit auch dann gewährleistet, wenn der Serverschlüssel kompromittiert wurde.
- Wenn also Datenverkehr aufgezeichnet wurde, kann er nicht entschlüsselt werden, selbst wenn ein Angreifer in den Besitz des Serverschlüssels gelangt ist.
- Vorwärtsgeheimnis (Wikipedia)
- Pushing for Perfect Forward Secrecy, an Important Web Privacy Protection (EFF)
- SSL: Heute abgefangen, morgen entschlüsselt (Netcraft)
Recommended cipher suites
Recommended cipher suites
Im Prinzip müssen Systemadministratoren, die die Sicherheit ihrer Kommunikation verbessern wollen, eine schwierige Entscheidung zwischen dem effektiven Ausschluss einiger Benutzer und der Beibehaltung einer hohen Sicherheit der Cipher-Suite bei gleichzeitiger Unterstützung möglichst vieler Benutzer treffen.
- Die Website Qualys SSL Labs gibt Administratoren und Sicherheitsingenieuren ein Werkzeug an die Hand, mit dem sie ihre Einrichtung testen und die Kompatibilität mit Clients vergleichen können.
- Die Autoren haben ssllabs.com genutzt, um eine Reihe von Cipher Suites zu finden, die wir in diesem Dokument empfehlen werden.
- Achtung
- Diese Einstellungen können nur eine subjektive Wahl der Autoren zum Zeitpunkt der Erstellung des Dokuments darstellen.
- Es könnte eine kluge Entscheidung sein, Ihre eigenen Chiffriersuiten auszuwählen und zu überprüfen, basierend auf den Anweisungen im Abschnitt [ChoosingYourOwnCipherSuites].
Strong ciphers, fewer clients
Zum Zeitpunkt der Erstellung dieses Dokuments empfehlen wir die Verwendung der folgenden Reihe von starken Chiffriersuiten, die in einer Umgebung nützlich sein können, in der man nicht von vielen verschiedenen Clients abhängig ist und in der Kompatibilität kein großes Problem darstellt.
Ein Beispiel für eine solche Umgebung wäre die Maschine-zu-Maschine-Kommunikation oder der Einsatz in Unternehmen, wo die zu verwendende Software ohne Einschränkungen definiert werden kann.
- We arrived at this set of cipher suites by selecting
- TLS 1.2
- Perfect forward secrecy / ephemeral Diffie Hellman
- strong MACs (SHA-2) or
- GCM as Authenticated Encryption scheme
- This results in the OpenSSL string
- EDH+aRSA+AES256:EECDH+aRSA+AES256:!SSLv3
- Configuration A ciphers
| ID | OpenSSL Name | Version | KeyEx | Auth | Cipher | MAC |
|---|---|---|---|---|---|---|
| 0x009F | DHE-RSA-AES256-GCM-SHA384 | TLSv1.2 | DH | RSA | AESGCM(256) | AEAD |
| 0x006B | DHE-RSA-AES256-SHA256 | TLSv1.2 | DH | RSA | AES(256) (CBC) | SHA256 |
| 0xC030 | ECDHE-RSA-AES256-GCM-SHA384 | TLSv1.2 | ECDH | RSA | AESGCM(256) | AEAD |
| 0xC028 | ECDHE-RSA-AES256-SHA384 | TLSv1.2 | ECDH | RSA | AES(256) (CBC) | SHA384 |
- Compatibility
Zum Zeitpunkt der Erstellung dieses Dokuments waren nur Win 7 und Win 8.1 Crypto Stack, OpenSSL >= 1.0.1e, Safari 6 / iOS 6.0.1 und Safari 7 / OS X 10.9 von diesem Cipher String abgedeckt.
Weaker ciphers but better compatibility
In diesem Abschnitt schlagen wir einen etwas schwächeren Satz von Chiffriersuiten vor.
- Zum Beispiel gibt es bekannte Schwachstellen für die SHA-1-Hash-Funktion, die in diesem Satz enthalten ist.
- Der Vorteil dieses Satzes von Chiffriersuiten ist nicht nur die bessere Kompatibilität mit einer breiten Palette von Clients, sondern auch die geringere Rechenlast für die Bereitstellungshardware.
Alle Beispiele in dieser Veröffentlichung verwenden Konfiguration B. Wir haben diesen Satz von Cipher Suites durch Auswahl von:
- TLS 1.2, TLS 1.1, TLS 1.0
- Erlauben von SHA-1 (siehe die Kommentare zu SHA-1 im Abschnitt [SHA])
- Daraus ergibt sich die OpenSSL-Zeichenkette
- EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA'
- Konfiguration B-Chiffren
| ID | OpenSSL Name | Version | KeyEx | Auth | Cipher | MAC |
|---|---|---|---|---|---|---|
| 0x009F | DHE-RSA-AES256-GCM-SHA384 | TLSv1.2 | DH | RSA | AESGCM(256) | AEAD |
| 0x006B | DHE-RSA-AES256-SHA256 | TLSv1.2 | DH | RSA | AES(256) | SHA256 |
| 0xC030 | ECDHE-RSA-AES256-GCM-SHA384 | TLSv1.2 | ECDH | RSA | AESGCM(256) | AEAD |
| 0xC028 | ECDHE-RSA-AES256-SHA384 | TLSv1.2 | ECDH | RSA | AES(256) | SHA384 |
| 0x009E | DHE-RSA-AES128-GCM-SHA256 | TLSv1.2 | DH | RSA | AESGCM(128) | AEAD |
| 0x0067 | DHE-RSA-AES128-SHA256 | TLSv1.2 | DH | RSA | AES(128) | SHA256 |
| 0xC02F | ECDHE-RSA-AES128-GCM-SHA256 | TLSv1.2 | ECDH | RSA | AESGCM(128) | AEAD |
| 0xC027 | ECDHE-RSA-AES128-SHA256 | TLSv1.2 | ECDH | RSA | AES(128) | SHA256 |
| 0x0088 | DHE-RSA-CAMELLIA256-SHA | SSLv3 | DH | RSA | Camellia(256) | SHA1 |
| 0x0039 | DHE-RSA-AES256-SHA | SSLv3 | DH | RSA | AES(256) | SHA1 |
| 0xC014 | ECDHE-RSA-AES256-SHA | SSLv3 | ECDH | RSA | AES(256) | SHA1 |
| 0x0045 | DHE-RSA-CAMELLIA128-SHA | SSLv3 | DH | RSA | Camellia(128) | SHA1 |
| 0x0033 | DHE-RSA-AES128-SHA | SSLv3 | DH | RSA | AES(128) | SHA1 |
| 0xC013 | ECDHE-RSA-AES128-SHA | SSLv3 | ECDH | RSA | AES(128) | SHA1 |
| 0x0084 | CAMELLIA256-SHA | SSLv3 | RSA | RSA | Camellia(256) | SHA1 |
| 0x0035 | AES256-SHA | SSLv3 | RSA | RSA | AES(256) | SHA1 |
| 0x0041 | CAMELLIA128-SHA | SSLv3 | RSA | RSA | Camellia(128) | SHA1 |
| 0x002F | AES128-SHA | SSLv3 | RSA | RSA | AES(128) | SHA1 |
- Kompatibilität
- Beachten Sie, dass diese Cipher Suites nicht mit dem Crypto Stack von Windows XP funktionieren (z.B. IE, Outlook),
- Erläuterung
- Für eine ausführliche Erklärung der gewählten Chiffriersuiten siehe [ChoosingYourOwnCipherSuites].
- Kurz gesagt, es ist praktisch unmöglich, eine einzige perfekte Chiffrierkette zu finden, und es muss ein Kompromiss zwischen Kompatibilität und Sicherheit gefunden werden.
- Auf der einen Seite gibt es obligatorische und optionale Chiffren, die in einigen RFCs definiert sind, auf der anderen Seite gibt es Clients und Server, die nur Teilmengen der Spezifikation implementieren.
- Die Autoren wollten starke Chiffren, vorwärts gerichtete Geheimhaltung [25] und die bestmögliche Kompatibilität mit den Clients, während sie gleichzeitig einen Chiffrierstring sicherstellen wollten, der auf älteren Installationen (z. B. OpenSSL 0.9.8) verwendet werden kann.
- Out of the box
Die von uns empfohlenen Chiffrierzeichenfolgen sind für die Verwendung durch Kopieren und Einfügen gedacht und müssen "out of the box" funktionieren.
- TLSv1.2 wird gegenüber TLSv1.0 bevorzugt (und bietet dennoch eine brauchbare Chiffrierkette für TLSv1.0-Server).
- AES256 und CAMELLIA256 gelten derzeit als sehr starke Verschlüsselungen.
- AES128 und CAMELLIA128 gelten derzeit als starke Verschlüsselungen.
- DHE oder ECDHE für Vorwärtsgeheimnis
- RSA, da dies für die meisten heutigen Konfigurationen geeignet ist
- AES256-SHA als letzter Ausweg: Mit dieser Chiffre am Ende funktionieren sogar Serversysteme mit sehr alten OpenSSL-Versionen (Version 0.9.8 bietet zum Beispiel keine Unterstützung für ECC und TLSv1.1 oder höher).
- Beachten Sie jedoch, dass diese Cipher-Suite keine Vorwärtsverschlüsselung bietet.
- Sie soll die gleiche Client-Abdeckung bieten (z.B. Unterstützung der Microsoft Krypto-Bibliotheken) auf älteren Systemen.
Random Number Generators
Keylengths
Notes
3DES
Wir möchten anmerken, dass 3DES theoretisch 168 Bits Sicherheit bietet, jedoch basierend auf der NIST Special Publication 800-57 [26]. Aufgrund mehrerer Sicherheitsprobleme sollte die effektive Schlüssellänge mit 80 Bit angesetzt werden.
- Das NIST empfiehlt, 3DES nicht mehr zu verwenden und so bald wie möglich auf AES umzusteigen.
Elliptische Kurven Kryptographie
Jeder weiß, was eine Kurve ist, bis er genug Mathematik studiert hat Mathematik studiert hat, um durch die unzähligen Ausnahmen verwirrt zu werden möglicher Ausnahmen zu verwirren. Die Elliptische-Kurven-Kryptographie (ab jetzt einfach ECC genannt) ist ein Zweig der Kryptographie, der Mitte der 1980er Jahre entstand.
- Die Sicherheit des RSA-Algorithmus beruht auf der Annahme, dass die Faktorisierung großer Zahlen nicht möglich ist.
- Auch die Sicherheit von ECC, DH und DSA basiert auf dem Problem des diskreten Logarithmus (i_wikipedia_Diskreter Logarithmusm_, 2013).
- Den diskreten Logarithmus einer elliptischen Kurve von ihrem öffentlichen Basispunkt aus zu finden, gilt als undurchführbar.
- Dies ist bekannt als das Elliptic Curve Discrete Logarithm Problem (ECDLP).
- ECC und die zugrundeliegenden mathematischen Grundlagen sind nicht leicht zu verstehen - zum Glück gibt es einige gute Einführungen in das Thema. [27] [28] [29].
ECC bietet im Vergleich zu traditionellen asymmetrischen Algorithmen eine viel höhere Sicherheit bei weniger rechenintensiven Operationen (siehe Abschnitt Schlüssellängen).
- Die Sicherheit von ECC hängt von den elliptischen Kurven und Kurvenpunkten ab, die als Parameter für den jeweiligen Algorithmus gewählt werden.
- Schon lange vor dem NSA-Leak-Skandal gab es viele Diskussionen über diese Parameter und ihre mögliche Umgehung.
- Ein Teil der Diskussion betraf empfohlene Kurven und Kurvenpunkte, die von verschiedenen Standardisierungsgremien wie dem National Institute of Standards and Technology (NIST) [30] ausgewählt und später in den meisten gängigen Krypto-Bibliotheken implementiert wurden.
- Diese Parameter wurden von Kryptographen wiederholt in Frage gestellt (Bernstein & Lange, 2013).
Zum Zeitpunkt der Erstellung dieses Dokuments wird an der Sicherheit verschiedener ECC-Parameter geforscht (SafeCurves: choosing safe curves for elliptic-curve cryptography, 2013).
- Die meiste Software, die so konfiguriert ist, dass sie sich auf ECC verlässt (sei es ein Client oder ein Server), ist nicht in der Lage, bestimmte Kurven zu fördern oder auf eine schwarze Liste zu setzen.
- Die Autoren hoffen, dass eine solche Funktionalität bald weit verbreitet sein wird.
- Die Autoren dieses Papiers geben Konfigurationen und Empfehlungen mit und ohne ECC an - der Leser kann sich für die Einstellungen entscheiden, die er für seine Umgebung am besten geeignet findet.
- Die Autoren werden diese Entscheidung nicht für den Leser treffen.
- Warnung
- Man sollte sich mit ECC, verschiedenen Kurven und Parametern vertraut machen, wenn man sich für ECC-Konfigurationen entscheidet.
- Da es viele Diskussionen über die Sicherheit von ECC gibt, können fehlerhafte Einstellungen die Sicherheit des gesamten Systems gefährden!
SHA-1
In the last years several weaknesses have been shown for SHA-1.
- In particular, collisions on SHA-1 can be found using 263 operations, and recent results even indicate a lower complexity.
- Therefore, ECRYPT II and NIST recommend against using SHA-1 for generating digital signatures and for other applications that require collision resistance.
- The use of SHA-1 in message authentication, e.g. HMAC, is not immediately threatened.
We recommend using SHA-2 whenever available.
- Since SHA-2 is not supported by older versions of TLS, SHA-1 can be used for message authentication if a higher compatibility with a more diverse set of clients is needed.
Our configurations A and B reflect this.
- While configuration A does not include SHA-1, configuration B does and thus is more compatible with a wider range of clients.