src/cipher_suites/recommended.tex

   1 %%\subsection{Recommended cipher suites}
   2
   3 In principle system administrators who want to improve their communication security
   4 have to make a difficult decision between effectively locking out some users and
   5 keeping high cipher suite security while supporting as many users as possible.
   6 The website \url{https://www.ssllabs.com/} gives administrators and security engineers
   7 a tool to test their setup and compare compatibility with clients. The authors made
   8 use of ssllabs.com to arrive at a set of cipher suites which we will recommend
   9 throughout this document.\\
  10
  11 \textbf{Caution: these settings can only represent a subjective
  12 choice of the authors at the time of writing. It might be a wise choice to
  13 select your own and review cipher suites based on the instructions in section
  14 \ref{section:ChoosingYourOwnCipherSuites}}.
  15
  16
  17 \subsubsection{Configuration A: Strong ciphers, fewer clients}
  18
  19 At the time of writing we recommend the following set of strong cipher
  20 suites which may be useful in an environment where one does not depend on many,
  21 different clients and where compatibility is not a big issue.  An example
  22 of such an environment might be machine-to-machine communication or corporate
  23 deployments where software that is to be used can be defined freely.
  24
  25
  26 We arrived at this set of cipher suites by selecting:
  27
  28 \begin{itemize}
  29 \item TLS 1.2
  30 \item Perfect forward secrecy / ephemeral Diffie Hellman
  31 \item strong MACs (SHA-2) or
  32 \item GCM as Authenticated Encryption scheme
  33 \end{itemize}
  34
  35 This results in the OpenSSL string:
  36
  37 \begin{lstlisting}[breaklines]
  38 'EECDH+aRSA+AES256:EDH+aRSA+AES256:!SSLv3'
  39 \end{lstlisting}
  40
  41 %$\implies$ resolves to
  42 %
  43 %\begin{verbatim}
  44 %openssl ciphers -V $string
  45 %\end{verbatim}
  46
  47
  48
  49 %\todo{make a column for cipher chaining mode} --> not really important, is it?
  50 \begin{center}
  51
  52 \begin{tabular}{lllllll}
  53 \toprule
  54 \textbf{ID}   & \textbf{OpenSSL Name}       & \textbf{Version} & \textbf{KeyEx} & \textbf{Auth} & \textbf{Cipher} & \textbf{MAC}\\\cmidrule(lr){1-7}
  55 \verb|0xC030| & ECDHE-RSA-AES256-GCM-SHA384 & TLSv1.2          & ECDH           &  RSA          & AESGCM(256)     & AEAD         \\
  56 \verb|0xC028| & ECDHE-RSA-AES256-SHA384     & TLSv1.2          & ECDH           &  RSA          & AES(256) (CBC)  & SHA384       \\
  57 \verb|0x009F| & DHE-RSA-AES256-GCM-SHA384   & TLSv1.2          & DH             &  RSA          & AESGCM(256)     & AEAD         \\
  58 \verb|0x006B| & DHE-RSA-AES256-SHA256       & TLSv1.2          & DH             &  RSA          & AES(256) (CBC)  & SHA256       \\
  59 \bottomrule
  60 \end{tabular}
  61 \end{center}
  62
  63
  64 \textbf{Compatibility}
  65
  66 Only clients which support TLS 1.2 are covered by these cipher suites (Chrome 30,
  67 Win 7 and Win 8.1 crypto stack, Opera 17, OpenSSL $\ge$ 1.0.1e, Safari 6 / iOS
  68 6.0.1, Safari 7 / OS X 10.9).
  69
  70
  71
  72 \subsubsection{Configuration B: Weaker ciphers, more compatability}
  73
  74 In this section we propose a slightly weaker set of cipher suites.  For
  75 example, there are some known weaknesses for the SHA-1 hash function that is
  76 included in this set.  The advantage of this set of cipher suites is not only
  77 the compatibility with a broad range of clients, but also less computational
  78 workload on the provisioning hardware.
  79 \\
  80
  81 \textbf{All further examples in this publication use Configuration B}.\\
  82
  83 We arrived at this set of cipher suites by selecting:
  84
  85 \begin{itemize}
  86 \item TLS 1.2, TLS 1.1, TLS 1.0
  87 \item allow SHA-1
  88
  89 \todo{AK: Note that SHA1 is considered broken but if we are in DHE, we might get around it as long as you can not calculate a SHA1 collision ``live'' on the wire}
  90
  91 \end{itemize}
  92
  93 This results in the OpenSSL string:
  94
  95 \begin{lstlisting}[breaklines]
  96 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA'
  97 \end{lstlisting}
  98
  99 \todo{make a column for cipher chaining mode}
 100 \begin{center}
 101 \begin{tabular}{lllllll}
 102 \toprule
 103 \textbf{ID}   & \textbf{OpenSSL Name}       & \textbf{Version} & \textbf{KeyEx} & \textbf{Auth} & \textbf{Cipher} & \textbf{MAC}\\\cmidrule(lr){1-7}
 104 \verb|0x009F| & DHE-RSA-AES256-GCM-SHA384   & TLSv1.2          & DH             & RSA           & AESGCM(256)     & AEAD         \\
 105 \verb|0x006B| & DHE-RSA-AES256-SHA256       & TLSv1.2          & DH             & RSA           & AES(256)        & SHA256       \\
 106 \verb|0xC030| & ECDHE-RSA-AES256-GCM-SHA384 & TLSv1.2          & ECDH           & RSA           & AESGCM(256)     & AEAD         \\
 107 \verb|0xC028| & ECDHE-RSA-AES256-SHA384     & TLSv1.2          & ECDH           & RSA           & AES(256)        & SHA384       \\
 108 \verb|0x009E| & DHE-RSA-AES128-GCM-SHA256   & TLSv1.2          & DH             & RSA           & AESGCM(128)     & AEAD         \\
 109 \verb|0x0067| & DHE-RSA-AES128-SHA256       & TLSv1.2          & DH             & RSA           & AES(128)        & SHA256       \\
 110 \verb|0xC02F| & ECDHE-RSA-AES128-GCM-SHA256 & TLSv1.2          & ECDH           & RSA           & AESGCM(128)     & AEAD         \\
 111 \verb|0xC027| & ECDHE-RSA-AES128-SHA256     & TLSv1.2          & ECDH           & RSA           & AES(128)        & SHA256       \\
 112 \verb|0x0088| & DHE-RSA-CAMELLIA256-SHA     & SSLv3            & DH             & RSA           & Camellia(256)   & SHA1         \\
 113 \verb|0x0039| & DHE-RSA-AES256-SHA          & SSLv3            & DH             & RSA           & AES(256)        & SHA1         \\
 114 \verb|0xC014| & ECDHE-RSA-AES256-SHA        & SSLv3            & ECDH           & RSA           & AES(256)        & SHA1         \\
 115 \verb|0x0045| & DHE-RSA-CAMELLIA128-SHA     & SSLv3            & DH             & RSA           & Camellia(128)   & SHA1         \\
 116 \verb|0x0033| & DHE-RSA-AES128-SHA          & SSLv3            & DH             & RSA           & AES(128)        & SHA1         \\
 117 \verb|0xC013| & ECDHE-RSA-AES128-SHA        & SSLv3            & ECDH           & RSA           & AES(128)        & SHA1         \\
 118 \verb|0x0084| & CAMELLIA256-SHA             & SSLv3            & RSA            & RSA           & Camellia(256)   & SHA1         \\
 119 \verb|0x0035| & AES256-SHA                  & SSLv3            & RSA            & RSA           & AES(256)        & SHA1         \\
 120 \verb|0x0041| & CAMELLIA128-SHA             & SSLv3            & RSA            & RSA           & Camellia(128)   & SHA1         \\
 121 \verb|0x002F| & AES128-SHA                  & SSLv3            & RSA            & RSA           & AES(128)        & SHA1         \\
 122 \bottomrule
 123 \end{tabular}
 124 \end{center}
 125
 126 \textbf{Compatibility}
 127
 128 Note that these cipher suites will not work with Windows XP's crypto stack (e.g. IE, Outlook),
 129 %%Java 6, Java 7 and Android 2.3. Java 7 could be made compatible by installing the "Java
 130 %%Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files"
 131 %%(JCE) \footnote{\url{http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html}}.
 132 We could not verify yet if installing JCE also fixes the Java 7
 133 DH-parameter length limitation (1024 bit).
 134 \todo{do that!}
 135
 136 \textbf{Explanation}
 137
 138 For a detailed explanation of the cipher suites chosen, please see
 139 \ref{section:ChoosingYourOwnCipherSuites}. In short, finding the perfect cipher
 140 string is impossible and must be a tradeoff between compatibility and security.
 141 On the one hand there are mandatory and optional ciphers defined in a few RFCs,
 142 on the other hand there are clients and servers only implementing subsets of the
 143 specification.
 144
 145 Straight forward, the authors wanted strong ciphers, forward secrecy
 146 \footnote{\url{http://nmav.gnutls.org/2011/12/price-to-pay-for-perfect-forward.html}}
 147 and the best client compatibility possible while still ensuring a cipher string that can be
 148 used on legacy installations (e.g. OpenSSL 0.9.8).
 149
 150 Our recommended cipher strings are meant to be used via copy and paste and need to work
 151 "out of the box".
 152
 153 \begin{itemize}
 154 \item TLSv1.2 is preferred over TLSv1.0/SSLv3 (while still providing a useable cipher
 155       string for SSLv3).
 156 \item AES256 and CAMELLIA256 count as very strong ciphers at the moment; preferrably in
 157       GCM mode.\\
 158           \todo{add a reference here please}
 159 \item AES128 and CAMELLIA128 count as strong enough ciphers at the moment
 160 \item DHE or ECDHE for forward secrecy
 161 \item RSA as this will fit most of todays setups
 162 \item AES256-SHA as a last resort (with this cipher at the end, even systems with
 163       very old versions of openssl like 0.9.8 will just work. Just forward secrecy
 164       will not be used. On systems that do not support elliptic curves, that cipher
 165       offers support for the Microsoft crypto libraries that only support ECDHE.
 166 \end{itemize}
 167
 168 \todo{Adi: review "justification" when next section is written}