Conjuntos de cifrado recomendados para TLS 1.0, 1.1 y 1.2

Navega tus respuestas
10

Hay muchas suites de cifrado definidas en las especificaciones de TLS 1.0, 1.1 y 1.2. Y además, existen RFC que agregan aún más conjuntos de cifrado a una versión específica (por ejemplo, RFC 4492 para ECC o RFC 4132 para Camelia).

¿Existe una organización oficial como, por ejemplo, NIST o BSI Alemania que tiene una lista de conjuntos de cifrado que se consideran seguros. ¿O es seguro usar todas las suites de cifrado que ofrece una versión TLS específica?

    
pregunta Peter 06.02.2012 - 20:52
fuente

2 respuestas

9

El NIST mantiene la "Publicación especial SP 800-52" como guía con respecto al uso de TLS. En abril de 2014 se publicó SP 800-52 Revisión 1 .

Hay muchas combinaciones de opciones que no pueden reducirse fácilmente en una respuesta; Tienes que leer el documento para ver qué quiere realmente el NIST. Consulte las secciones 3.9 (para servidores) y 4.9 (para clientes) para obtener resúmenes de las recomendaciones del NIST. Algunos puntos destacados:

  • NIST requiere compatibilidad con TLS 1.1, y TLS 1.2 se recomienda encarecidamente. SSL 2.0 y 3.0 están explícitamente prohibidos. Los servidores TLS para "aplicaciones solo gubernamentales" tampoco deben ser compatibles con TLS 1.0 (por lo que realmente quieren forzar el uso de versiones recientes). Se espera que los administradores de sistemas "desarrollen planes de migración" para un soporte general de TLS 1.2 a más tardar el 1 de enero de 2015 (por lo que NIST es incluso un poco apurado) (no creo que realmente suceda tan pronto).
  • Eliminan la estática Diffie-Hellman (nadie lo admite de todos modos) y finalmente adoptan RSA. Claves de 2048 bits o más largas, por supuesto. ECDSA también es aceptable, utilizando las curvas NIST estándar P-256 o P-384.
  • Recomiendan suites de cifrado ECDHE (y prefieren mucho ECDHE sobre DHE).
  • El cifrado será 3DES o AES. El soporte de 3DES DEBE seguir manteniéndose (insisten en él, "por razones de interoperabilidad"; hay que asumir que todavía hay muchos sistemas implementados que no son compatibles con las suites de cifrado AES).
  • Cuando se usa TLS 1.2, se recomienda el uso de AES-GCM, por supuesto.
  • Incluyen un apéndice que habla sobre la Transparencia del Certificado, DANE (DNSSEC), Convergencia ... pero no emiten recomendaciones específicas.
  • No hay una sola palabra, buena o mala, sobre SRP. Ellos hablan un poco sobre las suites de cifrado PSK (y recomiendan no usarlas).
respondido por el Tom Leek 17.06.2014 - 14:32
fuente
7

Es posible que desee consultar RFC 6460 - Perfil de Suite B para Seguridad de la capa de transporte (TLS) . (Gracias a Jumbogram por resaltar el nuevo RFC).

También hay algunas listas de conocidos puntos débiles que deben evitarse. Puede encontrar algunas pautas para probar esos .

Y recientemente hay un poco de broma sobre BEAST, incluidas varias publicaciones en stackexchange ... aquí hay uno de mis favoritos :)

    
respondido por el Yoav Aner 06.02.2012 - 21:29
fuente

Lea otras preguntas en las etiquetas

¿Puede alguien lanzar un ataque DOS en mi IP? ¿Puede una VPN descifrar mi tráfico SSL?