¿Dónde encontrar información actual sobre la fortaleza de la suite de cifrado?

Question

¿Dónde encontrar información actual sobre la fortaleza de la suite de cifrado?

#1 de Sibwara (4 votos)
#2 de munkeyoto (3 votos)
#3 de Josef (2 votos)

10

Estoy reforzando la configuración de mi /etc/ssh/sshd_config y tengo algunas opciones para Ciphers :

aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour

De estos, hay algunos que sé que no debo usar, como arcfour . Más allá de eso, a menudo tengo que buscar en foros y publicaciones de blogs para descubrir si un conjunto de cifrado en particular todavía es sólido. A veces esta información puede ser obsoleta o inexacta. Me cuesta mucho confiar en ello.

¿Existe alguna referencia o sitio web que mantenga actualizada la información sobre la fortaleza relativa de cada conjunto de cifrado? Idealmente, me gustaría saber la situación actual para la configuración de SSH y TLS. También, hay algún servicio que le notificará cuando cambie la lista (con la adición de un nuevo conjunto de cifrado o la degradación de antiguo).

Suponiendo que estoy dispuesto y puedo actualizar en cualquier momento, me gustaría usar la configuración más segura y fuerte disponible.

cryptography encryption ssh

pregunta Dylan Klomparens 01.07.2016 - 18:46

fuente

3 respuestas

Lea otras preguntas en las etiquetas cryptography encryption ssh

¿Implicaciones de privacidad de IDFA / IDFV? (iPhone / iOS) Problemas al conservar $ HOME en sudo

score 4 · Answer 1

Muchos países publican estándares de seguridad para el cifrado adecuado.

En EE. UU., puede confiar en el estándar pci dss, fips 140-2, ANSI, EAL, etc.

En Francia tenemos el RGS que indica los algoritmos y la longitud de la clave en los que se puede confiar y en cuánto tiempo podemos confiar.
Supongo que cada país industrializado tiene el mismo estándar.

Elijo personalmente seguir este sitio web: enlace Reúne las mejores prácticas de seguridad de muchas fuentes.

score 3 · Answer 2

La mayoría de los proveedores que usan SSL / TLS suelen usar OpenSSL, que mantiene un registro detallado de vulnerabilidades asociadas con SSL / TLS . Suscribirse a sitios de seguridad como Bugtraq lo mantendrá informado acerca de las vulnerabilidades reveladas (conocidas) asociadas con OpenSSL y le informará sobre las otras < a href="https://en.wikipedia.org/wiki/Transport_Layer_Security#Libraries"> bibliotecas SSL también. También querrá suscribirse a otras listas de correo de seguridad asociadas con un producto. Por ejemplo, seguridad de Microsoft, Red Hat, etc.

score 2 · Answer 3

Si desea información sobre la fuerza estimada de los cifrados, todavía recomiendo el informe ENISA 2013 . No conozco ninguna lista actualizada constantemente, pero la única forma en que las suposiciones en ese informe pueden cambiar es si se rompe algún cifrado (en el sentido criptográfico, no es necesario en la práctica), y eso se informará ampliamente, si se hace público.

Si desea conocer las mejores prácticas para configurar su (s) servidor (es), le recomiendo BetterCrypto.org . Tienen un borrador sobre cómo configurar el software más común y algunas explicaciones. Esperamos que se actualice el proyecto pronto. También eche un vistazo a cipherli.st como Sibwara sugirió .