Welches Zertifikat korrespondiert mit welcher Cipher Suite
Ich habe mir mal die Mühe gemacht aufzuzeigen, welches Cipher Suite mit welchem Zertifikat eingesetzt werden kann.
Zum besseren Verständnis sollte man sich vorher mit den Begrifflichkeiten RSA, ECDSA oder ECC vertraucht machen.
Was bedeutet ECDSA?
Der Algorithmus mit der Bezeichnung ECDSA (Elliptic Curve Digital Signature Algorithm) wurde erstmals 1992 von Scott Vanstone vorgeschlagen. Signaturen, die auf dem Algorithmus von ECS, dem Vorfahren von ECDSA, basieren, haben gegenüber RSA-Algorithmen mehrere wichtige Vorteile: Sie sind kleiner und werden viel schneller erstellt. Die Verifizierung basierend auf dem ECC-Algorithmus ist sehr schnell, was zu einer weiten Verbreitung von ECDSA-Zertifikaten führte.
Vorteile der Verwendung von ECDSA zu RSA
Die Verwendung von ECDSA für die digitale Signatur bietet eine Reihe wichtiger Vorteile, wie zum Beispiel:
- ein hohes Maß an Sicherheit;
- keine Probleme mit der Anwendungsleistung;
- schneller Signier- und Verifizierungsprozess (40% schneller als RSA);
- Umsetzung der wachsenden Anforderungen an die Anwendungssicherheit;
- Unterstützung staatlicher Standards zum Schutz von Informationen;
- Erfüllung der modernen Anforderungen der Industrie.
Zertifikate mit ECDSA können die Gesamtmenge der zu authentifizierenden Daten reduzieren, was zu erheblichen Kosteneinsparungen im Zusammenhang mit der Datenspeicherung führt.
Which Cipher Suite for which Certificate
TLS1.2 Cipher Suite for RSA Certificates | Signed by signature algorithm |
---|---|
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | RSA |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | RSA |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | RSA |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | RSA |
TLS_DHE_RSA_WITH_AES_128_CCM | RSA |
TLS_DHE_RSA_WITH_AES_256_CCM | RSA |
TLS_DHE_RSA_WITH_AES_128_CCM_8 | RSA |
TLS_DHE_RSA_WITH_AES_256_CCM_8 | RSA |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | RSA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | RSA |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | RSA |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | RSA |
TLS1.2 Cipher Suites for ECDH Certificates | Signed by signature algorithm |
---|---|
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDSA |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDSA |
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 | ECDSA |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | RSA |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | RSA |
TLS1.2 Cipher Suite for DSA Certificates | Signed by signature algorithm |
---|---|
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 | DSA |
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 | DSA |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | DSA |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | DSA |
TLS1.2 Cipher Suite for DH Certificates | Signed by signature algorithm |
---|---|
TLS_DH_DSS_WITH_AES_128_GCM_SHA256 | DSA |
TLS_DH_DSS_WITH_AES_256_GCM_SHA384 | DSA |
TLS_DH_DSS_WITH_AES_128_CBC_SHA256 | DSA |
TLS_DH_DSS_WITH_AES_256_CBC_SHA256 | DSA |
TLS_DH_RSA_WITH_AES_128_GCM_SHA256 | RSA |
TLS_DH_RSA_WITH_AES_256_GCM_SHA384 | RSA |
TLS_DH_RSA_WITH_AES_128_CBC_SHA256 | RSA |
TLS_DH_RSA_WITH_AES_256_CBC_SHA256 | RSA |
TLS1.3 Cipher Suites for RSA or ECDSA Certificates | Signed by signature algorithm |
---|---|
TLS_AES_128_GCM_SHA256 | RSA or ECDSA |
TLS_AES_256_GCM_SHA384 | RSA or ECDSA |
TLS_AES_128_CCM_SHA256 | RSA or ECDSA |
TLS_AES_128_CCM_8_SHA256 | RSA or ECDSA |
Da diese Cipher Suites keine spezifische Key-Exchange-Methode wie RSA oder ECDHE angeben kann man verschiedene Zertifikate verwenden, solange sie den Anforderungen von TLS 1.3 entsprechen. Das umfasst in der Regel X.509-Zertifikate mit RSA, ECDSA oder anderen unterstützten Algorithmen.
Kurze Zusammenfassung:
Bei Cipher Suites hängt das passende Zertifikat oft von der Key Exchange Methode und dem Signaturalgorithmus ab. Hier ein paar Beispiele:
- **TLS_RSA_WITH_AES_128_GCM_SHA256**: Verwendet RSA-Zertifikate für Key Exchange und Authentifizierung.
- **TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256**: Benötigt ein RSA-Zertifikat, nutzt aber Elliptic Curve Diffie-Hellman (ECDHE) für Key Exchange.
- **TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256**: Setzt ein ECDSA-Zertifikat voraus und nutzt ebenfalls ECDHE für Key Exchange.
Ein Kommentar
Kommentare sind geschlossen.