¿Qué algoritmo es más fuerte para TLS: AES-256 o Camellia-256?

Question

Introducción: Para mi servidor web personal he configurado apache con un certificado autofirmado para habilitar la seguridad de TLS para aprender y probar. tengo esta línea en host virtual:

SSLProtocol -all -SSLv3 +TLSv1 
SSLCipherSuite TLSv1:+HIGH:!MEDIUM 

con Firefox, consigo conexión cifrada Camellia-256, y con la ópera consigo TLS v1.0 AES de 256 bits (1024 bits DHE_RSA/SHA) con la misma configuración en mismo servidor.

Eso me lleva a la pregunta, ¿cuál es más fuerte, AES o Camelia?

Me di cuenta de que si deshabilito Camelia con SSLCipherSuite TLSv1:+HIGH:!MEDIUM:!CAMELLIA, entonces, firefox toma la misma suite que opera.

En mi configuración, también trato de desactivar todas las versiones SSL para habilitar solo TLS (aconsejar si no lo hice correctamente), pero la pregunta original sigue en pie: ¿Cuál debería ser más fuerte?

Answer 1

Estaría más preocupado por el hecho de que su encriptación SSL no es segura porque solo está usando encriptación asimétrica de 1024 bits para proteger sus claves.

Adi Shamir (la 'S' en RSA) recomendó mover las llaves de 2048 bit en 2006, incluso el instituto de estándares americano (NIST) ha hecho 2048 bit una resistencia mínima requerida desde enero de 2011 (ver NIST SP800-57 para Resistencias mínimas recomendadas: esto indica 2048 bit para RSA y DH/el-gamal.

En resumen, asegúrese de que su encriptación RSA sea lo suficientemente fuerte en primer lugar, ya que se utiliza para proteger las claves simétricas (AES/Camellia). Nunca confíe en una clave que esté protegida por una tecla más débil (esto es como usar una clave segura WPA 2 aleatoria de 256 bits en un punto de acceso inalámbrico y confiar en WPS, que revelará en unas pocas horas)

Incluso si se trata de un sistema de prueba, aprenda a usar criptografía de la forma en que pretende avanzar; No comprometa la fortaleza clave de certificado (todas las autoridades competentes en estos días deberían rechazar las solicitudes de 1024 bits o CSR utilizando MD5 a la vista, si no no los utilizan, para crear sus propios certs de prueba como lo haría una petición real, y no usar por defecto tamaños de clave).

difícil comparar las fortalezas, ambos han recibido el análisis criptográfico (AES más públicamente) y son adecuadas para proteger los datos.

A riesgo de repetirme, estaría más preocupado por los 1024 bits utilizados para asegurar la negociación de la clave.

Answer 2

Es difícil juzgar la fortaleza de estos algoritmos. Camelia se considera aproximadamente equivalente a AES en seguridad (source). En cualquier caso, la diferencia probablemente no importará. Cualquiera de los algoritmos es lo suficientemente seguro como para hacer que su canal de datos ya no sea el más débil en su sistema, por lo que no necesita molestarse en modificar ninguna configuración.

Answer 3

El OpenSSL cipherlist TLSv1: + ALTA es una muy mala elección. La notación "+ something" significa mover todas las cifras que coinciden con "algo" al final de la lista. Por lo tanto, está utilizando HIGH solo como último recurso, con cualquier elemento que no sea ALTO preferido.

Una opción mucho mejor es "DEFAULT:! MEDIUM:! LOW:! EXPORT: + 3DES", que comienza con valores predeterminados razonables, elimina MEDIO, BAJO y EXPORT, y usa 3DES pasado (que probablemente sea de todos modos, pero en algunos sistemas viene antes de AES128 porque puede considerarse de 168 bits).