TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384ECDHEkey exchangeRSAauthAES-256-GCMencryptionSHA384hasheach piece is a separate algorithm choiceTLS 1.3 simplified by separating key exchange from cipher

TLS Cipher Suites

11 min olvasniKriptográfia

Minden TLS-kapcsolat egy titkosítási csomagot egyeztet – a kulcscseréhez, hitelesítéshez, titkosításhoz és integritáshoz használt algoritmusok specifikus kombinációját. A nevek ábécé-levesnek tűnnek (TLS_AES_256_GCM_SHA384, ECDHE-ECDSA-CHACHA20-POLY1305), de kódolják a kapcsolat biztonsági tulajdonságait. Elolvasva világossá válik, mi történik valójában, amikor a böngészőben lakat látható.

A cikk teljes szövege alább olvasható angol nyelven.

A Az TLS titkosítócsomag a TLS-kapcsolat védelmére használt kriptográfiai algoritmusok elnevezett kombinációja. A TLS-kézfogás során az ügyfél és a kiszolgáló megbeszéli, hogy melyik titkosítási csomagot használják a támogatottak alapján. A választás határozza meg a kulcscserét, a hitelesítést, a titkosítást és az integritást a kapcsolat további részére.

TLS 1.2 titkosítási csomag nevének olvasása

A formátum a következő: TLS_KEXAUTH_WITH_CIPHER_MAC vagy OpenSSL konverzióban KEX-AUTH-CIPHER-MAC.

Példa: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 a következőképpen bomlik:

XPLZ1 kulcs9ECDXXHEX1 csere9ECDXXHEX1 elliptikus görbét használ Diffie-Hellman efemer (további titkosítást biztosít)
  • RSA — a szerver RSA-tanúsítvánnyal hitelesít.
  • AES_256_GCM GCM titkosítással, 5CM-encryption2 bulk A-Bit módban (hitelesített titkosítás)
  • SHA384 — handshake MAC és KDF SHA-384

    • TLS 1.3 egyszerűsítés

    TLS elnevezések jelentős tisztítása 1.3 titkosítás. A titkosítási csomagok mostantól csak a szimmetrikus titkosítást és a hash-t határozzák meg. A kulcscsere és a hitelesítés külön megbeszélés tárgya. A nevek így néznek ki:

    • TLS_AES_256_GCM_SHA384 — AES-256-GCM és SHA-384
    • TLS_AES_128_GCM6-AESZHA25_GCXS-AESG428 SHA-256
    • TLS_CHACHA20_POLY1305_SHA256 — ChaCha20-Poly1305 és SHA-256
    • TLS_AES_125HA_5X6 in PLZ8 CCM mód SHA-256
    • TLS_AES_128_CCM_8_SHA256-vel – ugyanaz a 8 bájtos MAC-mal, főleg korlátozott eszközökhöz.

    TLS 1.3 A cipher összesen öt szabványos cipherrel rendelkezik. A TLS 1.2-nek több száz lehetséges kombinációja volt.

    Az egyes darabok jelentése

    Kulcscsere:

    • RSA – a szerver RSA-kulcsa hitelesíti és cseréli is a kulcsot. Nincs előre titkolózás. Eltávolítva a TLS 1.3.
    • DHE-ben – efemer Diffie-Hellman. Továbbítási titok igen. TLS 1.2-ben használatos; a kézfogásba integrálva a TLS 1.3.
    • ECDHE-ben – efemer elliptikus görbe, Diffie-Hellman. Továbbítási titok igen. Gyors. A modern alapértelmezett.

    Authentication (TLS 1.2):

    • RSA — a szerver RSA-tanúsítvánnyal rendelkezik
    • ECDSA — szerver elliptikus görbével rendelkezik előzmény)
    • PSK – előre megosztott kulcs (ritka; IoT és egyes VPN-szcenáriók esetén)

    Tömeges titkosítás:

    • AES_128_GCM, 1 A 25-6 vagy 8 cm-mel ACM 256 bites kulcs, hitelesített titkosítás
    • CHACHA20_POLY1305 — ChaCha20 adatfolyam titkosítás Poly1305 MAC-cal, az AES
    • AES_128_CBC, AES_256_CBC különálló fázisú, HESMAClow-CBC modern alternatívája. ki)
    • 3DES_EDE_CBC – Tripla DES, elavult
    • RC4 – törött adatfolyam titkosítás, már nincs egyetlen modern csomagban sem.

    Hash for kézfogás:

    • SHA256, SHA384 — SHA-2 család, modern szabvány
    • SHA — SHA-1, elavult
    • MD5 — régóta elavult PLZ17PLZ116ReexpededXX Suite in 2026

      Mozilla TLS konfigurációs útmutatója az ipari szabvány referencia. A jelenlegi modern profil a következőket javasolja:

      • TLS 1.3 csak. Ha az ügyfélbázis támogatja (lényegében minden, ami a modern), akkor nincs TLS 1.2 tartalék.
      • CipherZ suites9:XCipherZ12 TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256.
      • Iha a TLS 1.2-t támogatni kell:XPLZ 1.2 és ECDCHE+ECDHE+ECDHA2 csak suites.

      A régebbi kliensekkel való kompatibilitás érdekében több programcsomagra van szükség, köztük néhányra, amelyek nem tartalmaznak titkosítást. A Mozilla "köztes" profilja az ügyfelek ~95%-át lefedi, miközben megőrzi az ésszerű biztonságot.

      Mit távolítanak el és miért?

      A modern TLS konfiguráció eltávolítja:

      • Nem efemer kulcscsere (sima RSA, statikus DH). Nincs továbbítási titok.
      • CBC-módú titkosítások (TLS 1.2-ben újratárgyalással). Támadások története (BEAST,1PLZXX,7PLXXX,7PLXXX, szerencsés). RC4. Kriptográfiailag hibás vagy túl lassú.
      • MD5, SHA-1 a kézfogáshoz. Ütközéses támadások.
      • Névtelen programcsomagok. Nincs kiszolgáló hitelesítés, MITM.
      • EXPORT-minőségű suites. A kriptográfiai export vezérlőinek történelmi műterméke; tervezésüknél fogva gyenge.

      A 2015-ös FREAK és Logjam támadások kihasználták a böngészőket, amelyek még mindig EXPORT-minőségű programcsomagokról tárgyaltak a kompatibilitás érdekében. A mainstream szerverek ezt követően eltávolították őket; néhány hosszú farkú webhelyen még évekkel később is megvoltak.

      A kiszolgáló titkosításának támogatása

      Eszközök:

      • SSL Labs SSL Server Test (ssllabs.com) – a nyilvános webhely TLS átfogó elemzése konfiguráció.
      • testssl.sh — parancssori szkenner.
      • nmap --script ssl-enum-ciphers — gyors felsorolás.
        • XPLZ444OXXPLSSLXs jelzők6PLX kézi teszteléshez.

      Saját kiszolgálón rendszeresen futtassa ezeket; a konfigurációk idővel sodródnak a csomagok frissítésével.

    Gyakran ismételt kérdések

    Kell-e aggódnom felhasználóként a titkosítási csomagok miatt?
    A modern böngészők kezelik az egyeztetést. A kiválasztott rejtjelkészlet megjelenik, amikor a lakatra kattint, és megvizsgálja a tanúsítványt. A legtöbb felhasználó számára ez a színfalak mögött van.
    Miért van a TLS 1.3-ban olyan kevés titkosítási csomag?
    A TLS 1.2 több száz kombinációja megkönnyíti a sebezhető hibás konfigurációkat. A TLS 1.3-at szándékosan kicsinyítették jól érthető kombinációkra, amelyek mindegyike továbbítási titkossággal és hitelesített titkosítással rendelkezik.
    Mi a különbség az AES-128-GCM és az AES-256-GCM között?
    Kulcs hossza. A 128 bites AES gyors és korlátlanul biztonságosnak tekinthető a klasszikus ellenfelekkel szemben; A 256 bites különbséget biztosít a jövőbeli kriptográfiai fejlesztésekkel és a kvantum-tudatos ellenfelekkel szemben. Jelenlegi használatra mindkettő megfelelő.
    Mikor használjam a ChaCha20-Poly1305 vs AES-GCM-et?
    A ChaCha20 gyorsabb hardveren AES-NI gyorsítás nélkül (régebbi mobil, IoT). Az AES-GCM gyorsabb a modern hardvereken az AES-NI-vel. A böngészők megtalálják a legjobb illeszkedést; a szervereknek mindkettőt fel kell kínálniuk.
    Befolyásolja-e a titkosítási program a teljesítményt?
    Szerényen. A hardveres gyorsítású AES-GCM alapvetően ingyenes a modern CPU-kon. A kézfogás overhead (kulcscsere) dominál a tömeges titkosítással szemben a rövid kapcsolatokhoz. Hosszú élettartamú, nagy volumenű kapcsolatok esetén a tömeges titkosítási választás kissé számít.
    A TLS Cipher Suites magyarázata: A kriptográfiai menü olvasása