4.4. モジュラ指数 vs. 楕円曲線 DH暗号スイート
すべてのTLS実装が、セクション4.2で要求されているように、モジュラ指数 (MODP) と楕円曲線 (EC) のDiffie-Hellmanグループの両方をサポートしているわけではありません。一部の実装は、DH値の長さに非常に制限があります。そのような実装に対応する必要がある場合、以下が推奨されます (RECOMMENDED) (優先順):
-
適切にネゴシエーションされたパラメータ (例: 使用される曲線) とHMAC-SHA1 [RFC5289] よりも強力なメッセージ認証コード (MAC) アルゴリズムを使用した楕円曲線DHE
-
2048ビットのDiffie-Hellmanパラメータを使用したTLS_DHE_RSA_WITH_AES_128_GCM_SHA256 [RFC5288]
-
1024ビットパラメータを使用したTLS_DHE_RSA_WITH_AES_128_GCM_SHA256
理由: 楕円曲線暗号は広く展開されていますが、その採用がいくつかの理由で制限されているコミュニティがあります。これには、モジュラ演算と比較した複雑さや、IPRに関する長年の認識 (そのほとんどは現在解決されています [RFC6090]) が含まれます。ECDHE暗号スイートはRSA証明書とECDSA証明書の両方に存在するため、ECDHE暗号スイートへの移行は、RSAベースの証明書から離れることを必要としないことに注意してください。一方、TLSでのMODP Diffie-Hellman暗号スイートの効果的な使用を妨げる2つの関連する問題があります:
-
クライアントとサーバーがサポートするDHグループまたはパラメータ長をネゴシエーションするための標準化された、広く実装されたプロトコルメカニズムがありません。
-
多くのサーバーは1024ビット以下のDHパラメータを選択します。
-
1024ビットより長いDHパラメータを受信した場合にそれを拒否する、広く展開されているクライアント実装があります。さらに、いくつかの実装は、グループパラメータの適切な検証を実行せず、[RFC7457] のセクション2.9で参照されている攻撃に対して脆弱です。
DHEおよびECDHE暗号スイートでは、TLSマスターキーはDiffie-Hellmanパラメータにのみ依存し、RSA証明書の強度には依存しないことに注意してください。さらに、1024ビットのMODP DHパラメータは、現時点では一般に不十分と考えられています。
MODP ephemeral DHを使用する場合、展開者はTLSエンドポイントを構成する際に、相互運用性とセキュリティの考慮事項を慎重に評価する必要があります。