Passa al contenuto principale

4.1 General Guidelines (Linee guida generali)

4.1 General Guidelines (Linee guida generali)

Gli algoritmi crittografici si indeboliscono nel tempo con il miglioramento della crittoanalisi: algoritmi che un tempo erano considerati forti diventano deboli. Tali algoritmi devono essere gradualmente eliminati nel tempo e sostituiti con cipher suite più sicure. Questo aiuta a garantire che le proprietà di sicurezza desiderate siano ancora valide. SSL/TLS esiste da quasi 20 anni e molte delle cipher suite che sono state raccomandate in varie versioni di SSL/TLS sono ora considerate deboli o almeno non così forti come desiderato. Pertanto, questa sezione modernizza le raccomandazioni concernenti la selezione delle cipher suite.

  • Le implementazioni NON DEVONO negoziare le cipher suite con crittografia NULL.

    Motivazione: Le cipher suite NULL non crittografano il traffico e quindi non forniscono servizi di riservatezza. Qualsiasi entità nella rete con accesso alla connessione può visualizzare il testo in chiaro dei contenuti scambiati dal client e dal server. (Tuttavia, questo documento non scoraggia il software dall'implementare cipher suite NULL, poiché possono essere utili per test e debug.)

  • Le implementazioni NON DEVONO negoziare cipher suite RC4.

    Motivazione: Il cifrario a flusso RC4 ha una varietà di debolezze crittografiche, come documentato in [RFC7465]. Si noti che DTLS vieta specificamente l'uso di RC4 già.

  • Le implementazioni NON DEVONO negoziare cipher suite che offrono meno di 112 bit di sicurezza, inclusa la cosiddetta crittografia a "livello di esportazione" (che fornisce 40 o 56 bit di sicurezza).

    Motivazione: Basandosi su [RFC3766], sono necessari almeno 112 bit di sicurezza. La sicurezza a 40 bit e 56 bit è considerata insicura oggi. TLS 1.1 e 1.2 non negoziano mai cifrari di esportazione a 40 bit o 56 bit.

  • Le implementazioni NON DOVREBBERO negoziare cipher suite che utilizzano algoritmi che offrono meno di 128 bit di sicurezza.

    Motivazione: Le cipher suite che offrono tra 112 bit e 128 bit di sicurezza non sono considerate deboli in questo momento; tuttavia, si prevede che la loro durata utile sia abbastanza breve da giustificare il supporto di cipher suite più forti in questo momento. I cifrari a 128 bit dovrebbero rimanere sicuri per almeno diversi anni, e i cifrari a 256 bit fino alla prossima svolta tecnologica fondamentale. Si noti che, a causa dei cosiddetti attacchi "meet-in-the-middle" [Multiple-Encryption], alcune cipher suite legacy (ad esempio, 3DES a 168 bit) hanno una lunghezza effettiva della chiave che è inferiore alla loro lunghezza nominale della chiave (112 bit nel caso di 3DES). Tali cipher suite dovrebbero essere valutate in base alla loro lunghezza effettiva della chiave.

  • Le implementazioni NON DOVREBBERO negoziare cipher suite basate sul trasporto di chiavi RSA, noto anche come "RSA statico".

    Motivazione: Queste cipher suite, che hanno valori assegnati che iniziano con la stringa "TLS_RSA_WITH_*", hanno diversi svantaggi, specialmente il fatto che non supportano la forward secrecy.

  • Le implementazioni DEVONO supportare e preferire negoziare cipher suite che offrono forward secrecy, come quelle nelle famiglie Ephemeral Diffie-Hellman e Elliptic Curve Ephemeral Diffie-Hellman ("DHE" e "ECDHE").

    Motivazione: La forward secrecy (a volte chiamata "perfect forward secrecy") previene il recupero di informazioni che sono state crittografate con chiavi di sessione precedenti, limitando così la quantità di tempo durante il quale gli attacchi possono avere successo. Vedere Sezione 6.3 per una discussione dettagliata.

Ultimo aggiornamento il