Kryptografie/Chiffrier Suits

Aus Foxwiki

Überblick

Hintergrundinformationen
  • Warum in Kapitel [practicalsettings] cipher string B empfohlen wird.
  • Wir beginnen mit einer Erläuterung der Struktur von Chiffrierzeichenketten in Abschnitt [Architektur] (Architektur) und definieren PFS in [pfs].
  • Als nächstes stellen wir Cipher String A und Cipher String B im Abschnitt Empfohlene Chiffriersuiten vor.
Cipher Strings
Themen
All dies ist wichtig, um zu verstehen, warum bestimmte Entscheidungen für Cipher String A und B getroffen wurden
  • Für die meisten Systemadministratoren ist jedoch die Frage der Kompatibilität eine der dringendsten.
  • Die Freiheit, mit jedem beliebigen Client kompatibel zu sein (auch mit veralteten Betriebssystemen), verringert natürlich die Sicherheit unserer Chiffrierzeichenfolgen.
  • Wir behandeln diese Themen im Abschnitt TODO.
  • Alle diese Abschnitte ermöglichen es einem Systemadministrator, seine oder ihre Bedürfnisse nach starker Verschlüsselung mit Benutzerfreundlichkeit und Kompatibilität in Einklang zu bringen.
Themen
  • PKIs (Abschnitt Public Key Infrastructures),
  • Zertifizierungsstellen und über
  • Härtung einer PKI
  • Die letztgenannten Themen verdienen ein eigenes Buch.
  • Daher kann dieser Leitfaden nur einige aktuelle Themen in diesem Bereich erwähnen.

Chiffriersuiten

Architektonischer Überblick

Begriffe

Chiffriersuite

Eine Chiffriersuite ist eine standardisierte Sammlung, die authentifizierte Verschlüsselungsverfahren bietet

  • Algorithmen für den Schlüsselaustausch
  • Verschlüsselungsalgorithmen (Chiffren) und
  • Algorithmus für Nachrichtenauthentifizierungscodes (MAC)
Komponenten
  1. Schlüsselaustauschprotokoll
  2. Authentifizierung
  3. Chiffre
  4. Nachrichten-Authentifizierungs-Code (MAC)
  5. Authentifizierte Verschlüsselung mit zugehörigen Daten (AEAD)

Zusammensetzung einer typischen Chiffrierzeichenfolge

DHE RSA AES256 SHA256

Nomenklatur

Gängige Benennungsschemata für Chiffrierstrings
  • IANA-Namen (siehe Anhang Links) und
  • die bekannteren OpenSSL-Namen
Hier werden OpenSSL-Namen verwenden
es sei denn, ein bestimmter Dienst verwendet IANA-Namen

Forward Secrecy

Forward Secrecy oder Perfect Forward Secrecy ist eine Eigenschaft einer Cipher Suite, die die Vertraulichkeit auch dann gewährleistet, wenn der Serverschlüssel kompromittiert wurde.

Empfohlene Chiffriersuiten

Cipher suites

Architektonischer Überblick

Begriffe

Cipher Suite

Eine Chiffriersuite ist eine standardisierte Sammlung, die authentifizierte Verschlüsselungsverfahren bietet

  • Algorithmen für den Schlüsselaustausch
  • Verschlüsselungsalgorithmen (Chiffren) und
  • Algorithmus für Nachrichtenauthentifizierungscodes (MAC)
Sie besteht aus den folgenden Komponenten
  1. Schlüsselaustauschprotokoll
  2. Authentifizierung
  3. Chiffre
  4. Nachrichten-Authentifizierungs-Code (MAC)
  5. Authentifizierte Verschlüsselung mit zugehörigen Daten (AEAD)
Cipher suite

A cipher suite is a standardized collection that provides authenticated encryption schemes

  • key exchange algorithms
  • encryption algorithms (ciphers) and
  • Message authentication codes (MAC) algorithm
It consists of the following components
  1. Key exchange protocol
  2. Authentication
  3. Cipher
  4. Message authentication code (MAC)
  5. Authenticated Encryption with Associated Data (AEAD)

Composition of a typical cipher string

DHE RSA AES256 SHA256

Nomenclature

  • There are two common naming schemes for cipher strings
  • IANA names (see appendix Links) and
  • the more well known OpenSSL names

In this document we will always use OpenSSL names unless a specific service uses IANA names.

Forward Secrecy

Forward Secrecy oder Perfect Forward Secrecy ist eine Eigenschaft einer Cipher Suite, die die Vertraulichkeit auch dann gewährleistet, wenn der Serverschlüssel kompromittiert wurde.

Recommended cipher suites

Recommended cipher suites

Im Prinzip müssen Systemadministratoren, die die Sicherheit ihrer Kommunikation verbessern wollen, eine schwierige Entscheidung zwischen dem effektiven Ausschluss einiger Benutzer und der Beibehaltung einer hohen Sicherheit der Cipher-Suite bei gleichzeitiger Unterstützung möglichst vieler Benutzer treffen.

  • Die Website Qualys SSL Labs gibt Administratoren und Sicherheitsingenieuren ein Werkzeug an die Hand, mit dem sie ihre Einrichtung testen und die Kompatibilität mit Clients vergleichen können.
  • Die Autoren haben ssllabs.com genutzt, um eine Reihe von Cipher Suites zu finden, die wir in diesem Dokument empfehlen werden.
Achtung
  • Diese Einstellungen können nur eine subjektive Wahl der Autoren zum Zeitpunkt der Erstellung des Dokuments darstellen.
  • Es könnte eine kluge Entscheidung sein, Ihre eigenen Chiffriersuiten auszuwählen und zu überprüfen, basierend auf den Anweisungen im Abschnitt [ChoosingYourOwnCipherSuites].

Strong ciphers, fewer clients

Zum Zeitpunkt der Erstellung dieses Dokuments empfehlen wir die Verwendung der folgenden Reihe von starken Chiffriersuiten, die in einer Umgebung nützlich sein können, in der man nicht von vielen verschiedenen Clients abhängig ist und in der Kompatibilität kein großes Problem darstellt.

Ein Beispiel für eine solche Umgebung wäre die Maschine-zu-Maschine-Kommunikation oder der Einsatz in Unternehmen, wo die zu verwendende Software ohne Einschränkungen definiert werden kann.

We arrived at this set of cipher suites by selecting
  • TLS 1.2
  • Perfect forward secrecy / ephemeral Diffie Hellman
  • strong MACs (SHA-2) or
  • GCM as Authenticated Encryption scheme
This results in the OpenSSL string
EDH+aRSA+AES256:EECDH+aRSA+AES256:!SSLv3
Configuration A ciphers
ID OpenSSL Name Version KeyEx Auth Cipher MAC
0x009F DHE-RSA-AES256-GCM-SHA384 TLSv1.2 DH RSA AESGCM(256) AEAD
0x006B DHE-RSA-AES256-SHA256 TLSv1.2 DH RSA AES(256) (CBC) SHA256
0xC030 ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 ECDH RSA AESGCM(256) AEAD
0xC028 ECDHE-RSA-AES256-SHA384 TLSv1.2 ECDH RSA AES(256) (CBC) SHA384
Compatibility

Zum Zeitpunkt der Erstellung dieses Dokuments waren nur Win 7 und Win 8.1 Crypto Stack, OpenSSL >= 1.0.1e, Safari 6 / iOS 6.0.1 und Safari 7 / OS X 10.9 von diesem Cipher String abgedeckt.

Weaker ciphers but better compatibility

In diesem Abschnitt schlagen wir einen etwas schwächeren Satz von Chiffriersuiten vor.

  • Zum Beispiel gibt es bekannte Schwachstellen für die SHA-1-Hash-Funktion, die in diesem Satz enthalten ist.
  • Der Vorteil dieses Satzes von Chiffriersuiten ist nicht nur die bessere Kompatibilität mit einer breiten Palette von Clients, sondern auch die geringere Rechenlast für die Bereitstellungshardware.

Alle Beispiele in dieser Veröffentlichung verwenden Konfiguration B. Wir haben diesen Satz von Cipher Suites durch Auswahl von:

  • TLS 1.2, TLS 1.1, TLS 1.0
  • Erlauben von SHA-1 (siehe die Kommentare zu SHA-1 im Abschnitt [SHA])
Daraus ergibt sich die OpenSSL-Zeichenkette
EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA'
Konfiguration B-Chiffren
ID OpenSSL Name Version KeyEx Auth Cipher MAC
0x009F DHE-RSA-AES256-GCM-SHA384 TLSv1.2 DH RSA AESGCM(256) AEAD
0x006B DHE-RSA-AES256-SHA256 TLSv1.2 DH RSA AES(256) SHA256
0xC030 ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 ECDH RSA AESGCM(256) AEAD
0xC028 ECDHE-RSA-AES256-SHA384 TLSv1.2 ECDH RSA AES(256) SHA384
0x009E DHE-RSA-AES128-GCM-SHA256 TLSv1.2 DH RSA AESGCM(128) AEAD
0x0067 DHE-RSA-AES128-SHA256 TLSv1.2 DH RSA AES(128) SHA256
0xC02F ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 ECDH RSA AESGCM(128) AEAD
0xC027 ECDHE-RSA-AES128-SHA256 TLSv1.2 ECDH RSA AES(128) SHA256
0x0088 DHE-RSA-CAMELLIA256-SHA SSLv3 DH RSA Camellia(256) SHA1
0x0039 DHE-RSA-AES256-SHA SSLv3 DH RSA AES(256) SHA1
0xC014 ECDHE-RSA-AES256-SHA SSLv3 ECDH RSA AES(256) SHA1
0x0045 DHE-RSA-CAMELLIA128-SHA SSLv3 DH RSA Camellia(128) SHA1
0x0033 DHE-RSA-AES128-SHA SSLv3 DH RSA AES(128) SHA1
0xC013 ECDHE-RSA-AES128-SHA SSLv3 ECDH RSA AES(128) SHA1
0x0084 CAMELLIA256-SHA SSLv3 RSA RSA Camellia(256) SHA1
0x0035 AES256-SHA SSLv3 RSA RSA AES(256) SHA1
0x0041 CAMELLIA128-SHA SSLv3 RSA RSA Camellia(128) SHA1
0x002F AES128-SHA SSLv3 RSA RSA AES(128) SHA1
Kompatibilität
Beachten Sie, dass diese Cipher Suites nicht mit dem Crypto Stack von Windows XP funktionieren (z.B. IE, Outlook),
Erläuterung
Für eine ausführliche Erklärung der gewählten Chiffriersuiten siehe [ChoosingYourOwnCipherSuites].
  • Kurz gesagt, es ist praktisch unmöglich, eine einzige perfekte Chiffrierkette zu finden, und es muss ein Kompromiss zwischen Kompatibilität und Sicherheit gefunden werden.
  • Auf der einen Seite gibt es obligatorische und optionale Chiffren, die in einigen RFCs definiert sind, auf der anderen Seite gibt es Clients und Server, die nur Teilmengen der Spezifikation implementieren.
Die Autoren wollten starke Chiffren, vorwärts gerichtete Geheimhaltung [25] und die bestmögliche Kompatibilität mit den Clients, während sie gleichzeitig einen Chiffrierstring sicherstellen wollten, der auf älteren Installationen (z. B. OpenSSL 0.9.8) verwendet werden kann.
Out of the box

Die von uns empfohlenen Chiffrierzeichenfolgen sind für die Verwendung durch Kopieren und Einfügen gedacht und müssen "out of the box" funktionieren.

  • TLSv1.2 wird gegenüber TLSv1.0 bevorzugt (und bietet dennoch eine brauchbare Chiffrierkette für TLSv1.0-Server).
  • AES256 und CAMELLIA256 gelten derzeit als sehr starke Verschlüsselungen.
  • AES128 und CAMELLIA128 gelten derzeit als starke Verschlüsselungen.
  • DHE oder ECDHE für Vorwärtsgeheimnis
  • RSA, da dies für die meisten heutigen Konfigurationen geeignet ist
  • AES256-SHA als letzter Ausweg: Mit dieser Chiffre am Ende funktionieren sogar Serversysteme mit sehr alten OpenSSL-Versionen (Version 0.9.8 bietet zum Beispiel keine Unterstützung für ECC und TLSv1.1 oder höher).
  • Beachten Sie jedoch, dass diese Cipher-Suite keine Vorwärtsverschlüsselung bietet.
  • Sie soll die gleiche Client-Abdeckung bieten (z.B. Unterstützung der Microsoft Krypto-Bibliotheken) auf älteren Systemen.

Random Number Generators

Random Number Generator

Keylengths

Verschlüsselung:Keylengths

Notes

3DES

Wir möchten anmerken, dass 3DES theoretisch 168 Bits Sicherheit bietet, jedoch basierend auf der NIST Special Publication 800-57 [26]. Aufgrund mehrerer Sicherheitsprobleme sollte die effektive Schlüssellänge mit 80 Bit angesetzt werden.

  • Das NIST empfiehlt, 3DES nicht mehr zu verwenden und so bald wie möglich auf AES umzusteigen.

Elliptic Curve Cryptography

Everyone knows what a curve is, until he has studied enough mathematics to become confused through the countless number of possible exceptions. Elliptic Curve Cryptography (simply called ECC from now on) is a branch of cryptography that emerged in the mid-1980s.

  • The security of the RSA algorithm is based on the assumption that factoring large numbers is infeasible.
  • Likewise, the security of ECC, DH and DSA is based on the discrete logarithm problem (i_wikipedia_Discrete logarithm_, 2013).
  • Finding the discrete logarithm of an elliptic curve from its public base point is thought to be infeasible.
  • This is known as the Elliptic Curve Discrete Logarithm Problem (ECDLP).
  • ECC and the underlying mathematical foundation are not easy to understand - luckily, there have been some great introductions on the topic. [27] [28] [29].

ECC provides for much stronger security with less computationally expensive operations in comparison to traditional asymmetric algorithms (See the Section Keylengths).

  • The security of ECC relies on the elliptic curves and curve points chosen as parameters for the algorithm in question.
  • Well before the NSA-leak scandal, there has been a lot of discussion regarding these parameters and their potential subversion.
  • A part of the discussion involved recommended sets of curves and curve points chosen by different standardization bodies such as the National Institute of Standards and Technology (NIST) [30] which were later widely implemented in most common crypto libraries.
  • Those parameters came under question repeatedly from cryptographers (Bernstein & Lange, 2013).

At the time of writing, there is ongoing research as to the security of various ECC parameters (SafeCurves: choosing safe curves for elliptic-curve cryptography, 2013).

  • Most software configured to rely on ECC (be it client or server) is not able to promote or black-list certain curves.
  • It is the hope of the authors that such functionality will be deployed widely soon.
  • The authors of this paper include configurations and recommendations with and without ECC - the reader may choose to adopt those settings as he finds best suited to his environment.
  • The authors will not make this decision for the reader.
Warning
One should get familiar with ECC, different curves and parameters if one chooses to adopt ECC configurations.
  • Since there is much discussion on the security of ECC, flawed settings might very well compromise the security of the entire system!

SHA-1

In the last years several weaknesses have been shown for SHA-1.

  • In particular, collisions on SHA-1 can be found using 263 operations, and recent results even indicate a lower complexity.
  • Therefore, ECRYPT II and NIST recommend against using SHA-1 for generating digital signatures and for other applications that require collision resistance.
  • The use of SHA-1 in message authentication, e.g. HMAC, is not immediately threatened.

We recommend using SHA-2 whenever available.

  • Since SHA-2 is not supported by older versions of TLS, SHA-1 can be used for message authentication if a higher compatibility with a more diverse set of clients is needed.

Our configurations A and B reflect this.

  • While configuration A does not include SHA-1, configuration B does and thus is more compatible with a wider range of clients.

Diffie Hellman Key Exchanges

Diffie Hellman Key Exchanges

Public Key Infrastructures

Public Key Infrastructure

TLS and its support mechanisms

TLS

Weblinks

  1. https://bettercrypto.org