ywdblog
commented
5 years ago @yexiongkai 今天简单讨论下第一个问题。
关于P-256 的安全性讨论有很长时间了,safecurves.cr.yp.to 上说的不安全不代表就是不安全,它表示相对于其他命名曲线,它的实现可能更危险(比如使用默认参数)。
从本质上说,命名曲线都是公开的,是相对安全的,现在主流的ssl实现基本上还是openssl,优先使用的还是P-256,不过高版本的openssl支持 25519。
选择一条命名曲线:
- 兼容性,包括浏览器和ssl实现,现在很多浏览器还不支持 25519。
- 速度与安全性的平衡,P-256 是做过优化的
现在看来,P-256 还是要支持的,不过在配置顺序上可以以 25519 为主,比如 https://github.com/cloudflare/sslconfig/blob/master/conf
lemon-vanilla
嗯,在書的p416頁說推薦使用NIST P-256作為ecdsa證書的ecc橢圓曲線 可是P-256已被證明是不安全的(留有後門) ecc安全鑒定可見 https://safecurves.cr.yp.to/index.html 對於ECDSA我會傾向於 Ed25519 和 Ed448 ECDHE為 x25519 和 x448 但如果真的要部署一個https網站 (也考慮兼容性)到底應該選擇那一條曲線 (對於 ECDSA 和 ECDHE)
還有,TLS1.2出現了兩個新漏洞,分別是Zombie POODLE 和GOLDENDOODLE(CVE) 它們都是POODLE攻擊的變種。那麼這是否意味著在配置tls密碼套件是時應該徹底禁用CBC套件?(tls1.2) 詳情見 https://www.cnbeta.com/articles/tech/817497.htm