哪种算法更适合TLS: AES-256和Camellia-256？

Question

简介:对于我的个人and服务器，我已经使用自签名证书设置了apache，以便能够学习和测试TLS安全性。我在virtualhost中有这一行：

SSLProtocol -all -SSLv3 +TLSv1  
SSLCipherSuite TLSv1:+HIGH:!MEDIUM

在firefox上，我得到了Camellia-256加密连接，在opera上，我在同一台服务器上得到了TLSV1.0 256位AES (1024位DHE_RSA/SHA)和相同的配置。

这让我产生了疑问，AES和Camellia哪个更强？

我注意到，如果我用SSLCipherSuite TLSv1:+HIGH:!MEDIUM:!CAMELLIA禁用camellia，那么火狐就会使用与opera相同的套件。

在我的配置中，我还试图禁用所有的SSL版本，只启用TLS (如果我没有正确地这样做，建议需要)，但原始的问题仍然存在:哪个版本应该更强？

Answer 1

我更担心的是你的SSL加密是不安全的，因为你只使用1024位非对称加密来保护你的密钥。

Adi Shamir ( RSA中的“S”)建议迁移到2048位密钥早在2006年，即使是美国标准协会( NIST )也从2011年1月起将2048位作为最低要求(参见NIST SP800-57以了解建议的最小密钥强度-这说明RSA和DH/el-gamal的密钥强度均为2048位)。

简而言之，首先要确保您的RSA加密足够强大，因为它用于保护对称密钥(AES/Camellia)。永远不要依赖由较弱的密钥保护的密钥(这就像在无线接入点上使用安全的256位随机WPA 2密钥，然后将其信任给WPS，这将在几个小时内揭示出来！)

即使这是一个测试系统，也要学会按照您打算继续下去的方式使用加密；不要在证书密钥强度上妥协(目前所有CA都应该拒绝1024位请求或使用MD5的CSR，如果没有，就不要使用它们；像创建真正的请求一样创建自己的测试证书，并且不要使用默认密钥大小)。

很难比较优势，两者都接受了密码分析(更公开的AES)，并且足以保护数据。

冒着重复自己的风险，我更担心用于确保密钥协商安全的1024位。

Answer 2

很难判断这些算法的强弱。Camellia被认为在安全性上大致相当于AES (source)。在任何情况下，差异可能都无关紧要。任何一种算法都足够安全，使您的数据通道不再是系统中最薄弱的一环，因此您不需要费心修改任何配置。

Answer 3

OpenSSL密码表TLSv1:+HIGH是一个非常糟糕的选择。"+something“符号表示将所有匹配"something”的密码移到列表的末尾。因此，您只能将高作为最后的手段，任何不是高优先级的都可以使用。

一个更好的选择是"DEFAULT:! MEDIUM :! LOW :!EXPORT:+3DES"，它从合理的默认值开始，删除MEDIUM、LOW和EXPORT，最后使用3DES (无论如何它可能是这样的，但在某些系统中它出现在AES128之前，因为它可能被认为是168位强)。