Aller au contenu principal

4.4. Suites de chiffrement DH exponentiel modulaire vs. courbe elliptique

Toutes les implémentations TLS ne supportent pas à la fois les groupes Diffie-Hellman exponentiels modulaires (MODP) et à courbe elliptique (EC), comme requis par la Section 4.2. Certaines implémentations sont sévèrement limitées dans la longueur des valeurs DH. Lorsque de telles implémentations doivent être prises en compte, les éléments suivants sont RECOMMANDÉS (par ordre de priorité):

  1. DHE à courbe elliptique avec des paramètres négociés de manière appropriée (par exemple, la courbe à utiliser) et un algorithme de code d'authentification de message (MAC) plus robuste que HMAC-SHA1 [RFC5289]

  2. TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 [RFC5288], avec des paramètres Diffie-Hellman de 2048 bits

  3. TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, avec des paramètres de 1024 bits

Justification: Bien que la cryptographie à courbe elliptique soit largement déployée, il existe certaines communautés où son adoption a été limitée pour plusieurs raisons, notamment sa complexité par rapport à l'arithmétique modulaire et des perceptions persistantes de préoccupations relatives à la propriété intellectuelle (qui, pour la plupart, ont maintenant été résolues [RFC6090]). Notez que les suites de chiffrement ECDHE existent à la fois pour les certificats RSA et ECDSA, donc passer aux suites de chiffrement ECDHE ne nécessite pas d'abandonner les certificats basés sur RSA. D'autre part, il existe deux problèmes connexes qui entravent l'utilisation efficace des suites de chiffrement MODP Diffie-Hellman dans TLS:

  • Il n'existe pas de mécanismes de protocole standardisés et largement implémentés pour négocier les groupes DH ou les longueurs de paramètres supportés par le client et le serveur.

  • De nombreux serveurs choisissent des paramètres DH de 1024 bits ou moins.

  • Il existe des implémentations clientes largement déployées qui rejettent les paramètres DH reçus s'ils sont plus longs que 1024 bits. De plus, plusieurs implémentations n'effectuent pas de validation appropriée des paramètres de groupe et sont vulnérables aux attaques référencées dans la Section 2.9 de [RFC7457].

Notez qu'avec les suites de chiffrement DHE et ECDHE, la clé maître TLS ne dépend que des paramètres Diffie-Hellman et non de la force du certificat RSA; de plus, les paramètres MODP DH de 1024 bits sont généralement considérés comme insuffisants à l'heure actuelle.

Avec MODP DH éphémère, les déployeurs devraient soigneusement évaluer les considérations d'interopérabilité par rapport à la sécurité lors de la configuration de leurs points de terminaison TLS.

Dernière mise à jour le