1
whx20202 OP 不光是 ECC 啊 RSA 也一样
ECDHE-RSA-AES256-GCM-SHA384 是可以的 ECDHE-RSA-AES256-GCM-SHA256 是不行的 |
2
billlee 2017-01-08 01:33:18 +08:00 1
因为生日攻击,理想摘要算法的强度只有长度的一半
|
3
miyuki 2017-01-08 01:44:22 +08:00 via Android
New cipher suites MUST explicitly specify a PRF and, in general, SHOULD use the TLS PRF with SHA-256 or a stronger standard hash function.
https://tools.ietf.org/html/rfc5246#section-5 https://blog.helong.info/blog/2015/09/07/tls-protocol-analysis-and-crypto-protocol-design/ |
4
iF2007 2017-01-08 01:46:20 +08:00
对称加密用的 Key size 和 Hash function 的长度没有关系。
TLS 1.2 标准定义了很多加密 Key size 比 Hash 长度大的 Ciphersuite ,并且最新的 Chrome 和 Firefox 也支持一些这样的 Ciphersuite 。 可以用 https://cc.dcsec.uni-hannover.de/ 看浏览器支持哪些 Ciphersuite |
5
iF2007 2017-01-08 01:49:25 +08:00
TLS 1.2 定义的 Ciphersuites 见 https://tools.ietf.org/html/rfc5246#page-75
|
6
edsgerlin 2017-01-08 11:34:17 +08:00
根据木桶理论, Cipher Suite 中加密最弱的算法决定 Cipher Suite 强度。一般来说 hash function 是比同等位数的 AES 弱的,比如说 MD5(128bit)已经能被攻破了而 AES 128bit 还是好好的。所以一般来说都是配合比 AES 位数更长的 hash function 用。
此外还有一个原因是 NSA Suite B 也是这么推荐的。 128bit AES + 256bit SHA2 + 256bit Elliptic Curve 或者 256bit AES + 384bit SHA2 + 384bit Elliptic Curve 。 国产的商密 Cipher Suite 是 128bit SM1(只有硬件实现)/SM4(允许软件实现) + 256bit SM3 Hash + 256bit SM2 Elliptic Curve ,也差不多是按这个原则设计的。 |