2016年在网络服务器上使用CAMELLIA、IDEA和基于种子的密码套件有什么问题吗？

Question

我最近在一台网络服务器上看到了用于HTTPS的CAMELLIA、种子和IDEA密码套件，我不知道该向所有者提供什么建议。使用的密钥长度都超过128位，标准的OpenSSL正在使用。

IDEA在rfc5469中被废弃，因为它没有得到广泛的使用，但实际上可能并不不安全。

使用上述密码套件的可能原因可能包括对潜在的NSA干扰过于偏执，并希望使用日本/欧洲/韩国密码套件。使用这些密码不受任何当地法律要求的影响。

不使用这些密码的可能原因包括，它们在整个行业中没有得到广泛使用，因此，与AES或其他替代方案相比，安全界可能对它们进行的研究较少。可能有人可以通过调整针对其他密码的攻击来开发侧信道攻击，但这对于此服务器来说是非常不可能的。他们的支持已经从大多数现代浏览器中删除，我想不出有什么情况是可以使用这些密码套件的客户端不支持AES，因为AES也是可用的。

除了提醒所有者对IDEA的反对，并建议使用事实上的行业标准密码套件通常是一个好主意，因为这些已经对它们进行了最多的研究，还有什么我应该知道的吗？

Answer 1

总的来说，我希望所有支持现代模式的现代密码套件(目前，通常是GCM或CCM，只有GCM开始广泛使用)。

这将允许通过禁用已知的弱密码来缓解未来算法的弱点(例如RC4's的渐进削弱)，同时仍然拥有其他已经广泛部署的强密码。当发现其中之一的缺陷时，拥有各种好的、坚实的选择是至关重要的。

IDEA是古老的，64位，正如您注意到的那样，每一个RFC5469都应该反对它。我建议不要再用了。

CAMELLIA是一种现代密码，与其他三种分组密码(包括AES)一起被欧洲尼西项目在其算法的最终选择中接受。

茶花也被日本CRYPTREC项目的电子政府推荐密码规范项目所接受。

我建议每个RFC6367完全支持GCM模式下的山茶花。

SEED是一个较老的韩国密码；我不建议支持它，特别是因为我不知道TLS中有任何GCM或其他现代模式可用；只有RFC4162中的旧模式。

更现代的韩国密码是ARIA (RFC5469)。ARIA已经在RFC6209中添加了几个加密套件，包括GCM模式套件，这些都是值得考虑的。

Answer 2

我看不出有什么理由喜欢AES而不是其他经过良好测试的密码。即使IDEA和其他密码对他们的安全性没有那么多的研究，他们也不是未经测试的。

我认为更大的问题是，使用了旧版本的TLS (甚至旧的SSL)。由此创建的攻击面以及通过旧版本OpenSSL版本的bug创建的攻击面要大得多。

因此，在我看来(我不是密码学家或安全专家)，使用不太流行的经过良好测试的密码并不是一个问题。然而，它并没有增加安全性，所以没有特别的理由你想要使用外来密码。