SSL/TLS関連
- 業務中に暗号化方式を確認するタイミングがあったのだがいまいちどれが何やら いまいちわからなかったので、少し書いて覚えることとしたい。
ガイドライン
SSLバージョン毎の脆弱性
- SSL2.0(1994)
- ダウングレード攻撃(最弱のアルゴリズムを強制的に使用させる)
バージョンロールバック(SSL2.0を強制的に使用させる)
SSL3.0(1995)
- POODLE(2014) 特定状況下でCBCモードを利用した際の、パディングチェックの脆弱性、回避策は現状なし
暗号アルゴリズム
鍵交換
- RSA
- DHE
- ECDH
- ECDHE
暗号化
- RC4
- Triple DES
- AES
- Camellia
Hash関数
- SHA-1
- SHA-256
- SHA-384
暗号利用モード
ブロック暗号を利用して、ブロック長よりも長いメッセージを暗号化する