Welche Cipher Suiten sind sicher und PCI konform?
Es gibt unmengen an Cipher Suiten die entweder als empfohlen, sicher, schwach oder gebrochen eingestuft sind.
Eine Chiffre gilt als gebrochen (kompromittiert), wenn eine Schwachstelle in der Chiffre mit weniger Aufwand (Komplexität) als einer Brute-Force-Attacke ausgenutzt werden kann.
Recommended Cipher Suites 2024
Die in dieser Liste empfohlenden Cipher Suiten für TLS v1.2 können bedenkenlos eingesetzt werden.
Die Excelliste enthält ebenso die korrespondierenden OpenSSL Cipher Suites sowie weitere wichtige Details zur Anwendung.
Welche Ciphers, Hashes und Key Exchange für welche Cipher Suiten
In diesem Artikel habe ich eine Tabelle hinterlegt, aus der hervorgeht, mit welchen Ciphers man welche Cipher Suiten nutzen kann.
Welches Zertifikat korrespondiert mit welcher Cipher Suite
Ich habe mir mal die Mühe gemacht aufzuzeigen, welche Cipher Suite mit welchem Zertifikat eingesetzt werden kann.
Download signierte Excelliste empfohlener (Standard) Cipher Suiten TLS 1.2:
Recommended Cipher Suites 2024
Download signierte Excelliste sehr starke Cipher Suiten TLS 1.2:
Die in dieser Liste enthaltenen Ciphers sind teilweise schon als weak gekennzeichnet, und zwar alle die mit TLS_DHE anfangen. Weak bedeutet nicht, das die Ciphers nicht mehr eingesetzt werden sollten, aber mit sehr viel Rechenaufwand wahrscheinlich geknackt werden könnten.
Das Bundesamt für Sicherheit in der Informationstechnik hat auch eine Checkliste für Diensteanbieter erstellt. Ziel dieser Checkliste ist es, Diensteanbieter bei der Konfiguration von TLS gemäß den Vorgaben und Empfehlungen der Technischen Richtlinie BSI TR-03116-4 zu unterstützen.
Empfohlene Verschlüsselungssammlungen und Algorithmen
Recommended Key Exchange:
- ECDHE
- RSA
Recommended Signature:
- ECDSA
- RSA
Recommended Bulk Encryption:
- AES 128 GCM
- AES 256 GCM
Recommended Message Authentication:
- SHA 256
- SHA 384
Optionales Wissen
Wenn sich jemand außerhalb der empfohlenen Listen für Cipher Suiten entscheidet, der sollte folgendes beachten:
- Das Schlüsselaustauschverfahren sollte auf Diffie-Hellman basieren (ECDHE). Dieses Verfahren verhindert zusammen mit Perfect Forward Secrecy (PFS), dass eine in der Vergangenheit verschlüsselt aufgezeichnete Kommunikation irgendwann später entschlüsselt werden kann
- RSA oder ECDSA als Signaturverfahren zur Sicherstellung der Authentizität
- Die eigentliche Kommunikation wird symmetrisch mit AES-GCM 128-Bit oder höher verschlüsselt
- SHA-2 als Hashfunktion besser höher, für die Sicherstellung der Datenintegrität
Die Aufgabe einer TLS-Verschlüsselung
Das TLS-Protokoll verfolgt folgende Ziele und gewährleistet Datenschutz, Sicherheit und Datenintegrität zwischen den kommunizierenden Anwendungen.
- Verschlüsselung (Verbergen der übertragenen Daten)
- Authentifizierung (authentifiziert die Identität der Endparteien)
- Integrität (überprüft, ob die Daten vor Manipulation oder Hacking sicher sind).
Aufbau einer Cipher Suite
Eine Cipher Suite besteht aus einer Kombination von Algorithmen, die für verschiedene Aspekte der sicheren Kommunikation zuständig sind. Hier sind die Hauptkomponenten und ihre jeweiligen Funktionen:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
1. Schlüsselaustauschalgorithmus: Dieser Algorithmus ist dafür verantwortlich, wie die Verschlüsselungsschlüssel zwischen den Kommunikationsparteien sicher ausgetauscht werden. Beispiele sind RSA, Diffie-Hellman und ECDHE.
2. Authentifizierungsalgorithmus: Dieser Algorithmus stellt sicher, dass die Identitäten der Kommunikationsparteien überprüft und bestätigt werden können. Häufig verwendete Algorithmen sind RSA und ECDSA.
3. Verschlüsselungsalgorithmus: Dieser Algorithmus verschlüsselt die Daten, die zwischen den Parteien übertragen werden. Beispiele sind AES, 3DES und ChaCha20.
4. MAC-Algorithmus (Message Authentication Code): Dieser Algorithmus sorgt für die Integrität und Authentizität der Nachrichten, indem er sicherstellt, dass die Daten während der Übertragung nicht verändert wurden. Beispiele sind HMAC-SHA256 und HMAC-SHA384.
Zusammen ermöglichen diese Algorithmen eine sichere und vertrauliche Kommunikation über Netzwerke, indem sie sicherstellen, dass die Daten verschlüsselt, authentifiziert und vor Manipulation geschützt sind.