Camellia y ECDHE_ECDSA -ECDSA en TLS1.2

2

Estoy configurando un servidor usando nginx. Lo tengo trabajando con un certificado ECC autofirmado y si lo conecto, informa ECDHE-ECDSA, que es lo que quería. Pero también me preguntaba si podría usar Camellia con esto.

  • RFC 4492 especifica las extensiones de ECC.
  • RFC 5932 : especifica los conjuntos de cifrado de Camellia para TLS

pero no veo ninguna intersección entre los dos? ¿Me estoy perdiendo algo o esto no es posible?

    
pregunta Jeremy French 22.11.2013 - 15:44
fuente

1 respuesta

4

Las suites de cifrado que busca se definen en RFC 6367 , como se indica en TLS Cipher Suite Registry . (Para encontrarlos en la página de Registro, desplácese hacia abajo hasta "0xC0,0x72" o "RFC6367".)

Sin embargo, tiene otro problema: OpenSSL no los admite. Si realmente quiere usarlos, tendrá que encontrar un servidor proxy / terminador SSL / servidor inverso - y ¡cliente! - Eso usa algo como GnuTLS o PolarSSL.

(Espero que alguien agregue soporte para las suites de cifrado Camellia modernas a OpenSSL, solo porque creo que Camellia está bien, pero me temo que alguien no será yo).

Por cierto, si te referías a efímera curva elíptica Diffie-Hellman, querías decir "ECDH E -ECDSA". "ECDH-ECDSA" es en realidad una cosa diferente, también definida para Camellia en el RFC anterior, que no es efímero y que la mayoría de las personas nunca usa.

En agosto de 2014, el soporte para los ocho conjuntos de cifrado basados en HMAC de RFC 6367 fue comprometido con OpenSSL . Las suites GCM no se agregaron, pero Camellia ahora se puede usar con ECC, si ejecutas OpenSSL desde git, de todos modos. No sé en qué lanzamiento estará. (¡Por lo que sé, el compromiso podría revertirse mañana! En cualquier caso, es un progreso).

    
respondido por el Matt Nordhoff 22.11.2013 - 16:25
fuente

Lea otras preguntas en las etiquetas