密碼套件優先級

我的任務是定義要使用的密碼套件列表。

密碼套件的要求如下：

• 對稱算法：AES-256
• 密鑰交換：ECDH P-384、DH 3072 位、RSA 3072 位
• 密鑰認證：ECDSA P-384，RSA 3072 位
• 雜湊算法：SHA-384

這是我提出的清單（按優先順序排列）：

1. TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0x00C02C)
2. TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0x00C024)
3. TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0x00C030)
4. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0x00C028)
5. TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x00009F)
6. TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384 (0x00C02E)
7. TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 (0x00C026)
8. TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384 (0x00C032)
9. TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384 (0x00C02A)
10. TLS_RSA_WITH_AES_256_GCM_SHA384 (0x00009D)
11. TLS_DH_RSA_WITH_AES_256_GCM_SHA384 (0x0000A1)

你會說我已經對密碼套件進行了正確的優先級排序嗎？這些密碼中的任何一個都被認為是弱密碼嗎？

這些都很好，順序也很合理。這是一個判斷，你認為哪個部分最有可能失敗。我會使用您對橢圓曲線算法的偏好順序。GCM 與 CBC 是一個您發現執行不力的案例。

如果您沒有強制執行這些要求，我會考慮添加 P-256。它應該和 3072 位 RSA 一樣強大，而且它至少曾經比 P-384 得到更廣泛的支持——不過我還沒有看到最近的數字。

引用自：https://crypto.stackexchange.com/questions/44743