Zum Hauptinhalt springen

4.1 General Guidelines (Allgemeine Richtlinien)

4.1 General Guidelines (Allgemeine Richtlinien)

Kryptografische Algorithmen werden im Laufe der Zeit schwächer, da sich die Kryptoanalyse verbessert: Algorithmen, die einst als stark galten, werden schwach. Solche Algorithmen müssen im Laufe der Zeit auslaufen und durch sicherere Cipher-Suiten ersetzt werden. Dies hilft sicherzustellen, dass die gewünschten Sicherheitseigenschaften weiterhin gelten. SSL/TLS existiert seit fast 20 Jahren, und viele der Cipher-Suiten, die in verschiedenen Versionen von SSL/TLS empfohlen wurden, gelten heute als schwach oder zumindest nicht so stark wie gewünscht. Daher modernisiert dieser Abschnitt die Empfehlungen zur Auswahl von Cipher-Suiten.

  • Implementierungen DÜRFEN die Cipher-Suiten mit NULL-Verschlüsselung NICHT verhandeln.

    Begründung: Die NULL-Cipher-Suiten verschlüsseln den Verkehr nicht und bieten daher keine Vertraulichkeitsdienste. Jede Entität im Netzwerk mit Zugriff auf die Verbindung kann den Klartext der Inhalte sehen, die zwischen Client und Server ausgetauscht werden. (Dennoch rät dieses Dokument nicht davon ab, dass Software NULL-Cipher-Suiten implementiert, da sie für Tests und Debugging nützlich sein können.)

  • Implementierungen DÜRFEN RC4-Cipher-Suiten NICHT verhandeln.

    Begründung: Die RC4-Stream-Cipher hat eine Vielzahl kryptografischer Schwächen, wie in [RFC7465] dokumentiert. Beachten Sie, dass DTLS die Verwendung von RC4 bereits ausdrücklich verbietet.

  • Implementierungen DÜRFEN keine Cipher-Suiten verhandeln, die weniger als 112 Bits Sicherheit bieten, einschließlich sogenannter "Export-Level"-Verschlüsselung (die 40 oder 56 Bits Sicherheit bietet).

    Begründung: Basierend auf [RFC3766] sind mindestens 112 Bits Sicherheit erforderlich. 40-Bit- und 56-Bit-Sicherheit gelten heute als unsicher. TLS 1.1 und 1.2 verhandeln niemals 40-Bit- oder 56-Bit-Export-Cipher.

  • Implementierungen SOLLTEN keine Cipher-Suiten verhandeln, die Algorithmen verwenden, die weniger als 128 Bits Sicherheit bieten.

    Begründung: Cipher-Suiten, die zwischen 112 Bits und 128 Bits Sicherheit bieten, werden derzeit nicht als schwach angesehen; es wird jedoch erwartet, dass ihre nützliche Lebensdauer kurz genug ist, um die Unterstützung stärkerer Cipher-Suiten zu diesem Zeitpunkt zu rechtfertigen. 128-Bit-Cipher werden voraussichtlich mindestens mehrere Jahre lang sicher bleiben, und 256-Bit-Cipher bis zum nächsten grundlegenden technologischen Durchbruch. Beachten Sie, dass aufgrund sogenannter "Meet-in-the-Middle"-Angriffe [Multiple-Encryption] einige Legacy-Cipher-Suiten (z.B. 168-Bit-3DES) eine effektive Schlüssellänge haben, die kleiner ist als ihre nominale Schlüssellänge (112 Bits im Fall von 3DES). Solche Cipher-Suiten sollten nach ihrer effektiven Schlüssellänge bewertet werden.

  • Implementierungen SOLLTEN keine Cipher-Suiten verhandeln, die auf RSA-Schlüsseltransport basieren, auch bekannt als "static RSA".

    Begründung: Diese Cipher-Suiten, die zugewiesene Werte haben, die mit der Zeichenfolge "TLS_RSA_WITH_*" beginnen, haben mehrere Nachteile, insbesondere die Tatsache, dass sie Forward Secrecy nicht unterstützen.

  • Implementierungen MÜSSEN Cipher-Suiten unterstützen und bevorzugen verhandeln, die Forward Secrecy bieten, wie die der Ephemeral Diffie-Hellman und Elliptic Curve Ephemeral Diffie-Hellman ("DHE" und "ECDHE") Familien.

    Begründung: Forward Secrecy (manchmal "perfect forward secrecy" genannt) verhindert die Wiederherstellung von Informationen, die mit älteren Session-Schlüsseln verschlüsselt wurden, und begrenzt somit die Zeit, während der Angriffe erfolgreich sein können. Siehe Abschnitt 6.3 für eine detaillierte Diskussion.

Letztes Update am