Quale algoritmo è più forte per TLS: AES-256 o Camellia-256?

Question

Introduzione: Per il mio server web personale ho installato apache con un certificato autofirmato per consentire alla sicurezza TLS di apprendere e testare. Ho questa linea in virtualhost:

SSLProtocol -all -SSLv3 +TLSv1 
SSLCipherSuite TLSv1:+HIGH:!MEDIUM 

con Firefox, ottengo collegamento Camellia-256 criptati, e con l'opera ottengo TLS v1.0 256 bit AES (1024 bit DHE_RSA/SHA) con la stessa configurazione in stesso server.

Questo mi porta alla domanda, che è più forte, AES o Camelia?

Ho notato che se disabilito la camelia con SSLCipherSuite TLSv1:+HIGH:!MEDIUM:!CAMELLIA, Firefox utilizza la stessa suite dell'opera.

Nella mia configurazione, cerco anche di disabilitare tutte le versioni SSL per abilitare solo TLS (consiglio necessario se non l'ho fatto correttamente), ma la domanda originale continua: quale dovrebbe essere più forte?

Answer 1

Sarei più preoccupato per il fatto che la crittografia SSL non è sicura perché si utilizza solo la crittografia asimmetrica a 1024 bit per proteggere le chiavi.

Adi Shamir (la "S" in RSA) ha consigliato il passaggio a chiavi a 2048 bit nel 2006, anche l'istituto di standard americano (NIST) ha reso 2048 bit una resistenza minima richiesta da gennaio 2011 (vedere NIST SP800-57 per punti di forza minimi raccomandati - questo indica 2048 bit per RSA e DH/el-gamal).

In breve, assicurati che la crittografia RSA sia sufficientemente potente, poiché viene utilizzata per proteggere le chiavi simmetriche (AES/Camelia). Mai fare affidamento su una chiave protetta da una chiave più debole (è come utilizzare una chiave WPA 2 a 256 bit casuale su un access point wireless e affidarsi a WPS che rivelerà tra qualche ora!)

Anche se si tratta di un sistema di test, impara a usare cripto nel modo in cui intendi andare avanti; non compromettere la forza della chiave del certificato (tutte le CA in questi giorni dovrebbero rifiutare richieste o CSR a 1024 bit utilizzando MD5 a vista, se non le usano non lo fanno, crea i tuoi test test come se fosse una richiesta reale e non utilizzare l'impostazione predefinita dimensioni della chiave).

Difficile confrontare i punti di forza, entrambi hanno ricevuto un'analisi crittografica (AES più pubblicamente) e sono adeguati per la protezione dei dati.

A rischio di ripetermi, sarei più preoccupato per i 1024 bit utilizzati per garantire la negoziazione delle chiavi.

Answer 2

È difficile valutare la forza di questi algoritmi. La camelia è considerata approssimativamente equivalente a AES in sicurezza (source). In ogni caso, la differenza probabilmente non avrà importanza. Entrambi gli algoritmi sono abbastanza sicuri da rendere il canale dati non più il più debole nel tuo sistema, quindi non devi preoccuparti di modificare alcuna configurazione.

Answer 3

La lista di crittografia OpenSSL TLSv1: + HIGH è una scelta davvero brutta. La notazione "+ qualcosa" significa spostare tutte le cifre che corrispondono a "qualcosa" alla fine della lista. Pertanto, stai utilizzando HIGH solo come ultima risorsa, con tutto ciò che non è ALTO preferito.

Una scelta molto migliore è "DEFAULT:! MEDIUM:! LOW:! EXPORT: + 3DES", che inizia con valori predefiniti, rimuove MEDIO, BASSO ed ESPORTA, e utilizza 3DES l'ultima (che probabilmente è comunque, ma su alcuni sistemi viene prima di AES128 perché potrebbe essere considerato potente a 168 bit).