Welches Zertifikat korrespondiert mit welches Cipher Suite

Which Cipher Suite for which Certificate

Welches Zertifikat korrespondiert mit welcher Cipher Suite

Ich habe mir mal die Mühe gemacht aufzuzeigen, welches Cipher Suite mit welchem Zertifikat eingesetzt werden kann.

Zum besseren Verständnis sollte man sich vorher mit den Begrifflichkeiten RSA, ECDSA oder ECC vertraucht machen.

Which Cipher Suite for which Certificate

Was bedeutet ECDSA?

Der Algorithmus mit der Bezeichnung ECDSA (Elliptic Curve Digital Signature Algorithm) wurde erstmals 1992 von Scott Vanstone vorgeschlagen. Signaturen, die auf dem Algorithmus von ECS, dem Vorfahren von ECDSA, basieren, haben gegenüber RSA-Algorithmen mehrere wichtige Vorteile: Sie sind kleiner und werden viel schneller erstellt. Die Verifizierung basierend auf dem ECC-Algorithmus ist sehr schnell, was zu einer weiten Verbreitung von ECDSA-Zertifikaten führte.

Vorteile der Verwendung von ECDSA zu RSA

Die Verwendung von ECDSA für die digitale Signatur bietet eine Reihe wichtiger Vorteile, wie zum Beispiel:

  • ein hohes Maß an Sicherheit;
  • keine Probleme mit der Anwendungsleistung;
  • schneller Signier- und Verifizierungsprozess (40% schneller als RSA);
  • Umsetzung der wachsenden Anforderungen an die Anwendungssicherheit;
  • Unterstützung staatlicher Standards zum Schutz von Informationen;
  • Erfüllung der modernen Anforderungen der Industrie.

Zertifikate mit ECDSA können die Gesamtmenge der zu authentifizierenden Daten reduzieren, was zu erheblichen Kosteneinsparungen im Zusammenhang mit der Datenspeicherung führt.

Which Cipher Suite for which Certificate

TLS1.2 Cipher Suite for RSA CertificatesSigned by signature algorithm
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256RSA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384RSA
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256RSA
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384RSA
TLS_DHE_RSA_WITH_AES_128_CCMRSA
TLS_DHE_RSA_WITH_AES_256_CCMRSA
TLS_DHE_RSA_WITH_AES_128_CCM_8RSA
TLS_DHE_RSA_WITH_AES_256_CCM_8RSA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256RSA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384RSA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256RSA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256RSA
TLS1.2 Cipher Suites for ECDH CertificatesSigned by signature algorithm
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256ECDSA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ECDSA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256ECDSA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256RSA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384RSA
TLS1.2 Cipher Suite for DSA CertificatesSigned by signature algorithm
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256DSA
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384DSA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256DSA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256DSA
TLS1.2 Cipher Suite for DH CertificatesSigned by signature algorithm
TLS_DH_DSS_WITH_AES_128_GCM_SHA256DSA
TLS_DH_DSS_WITH_AES_256_GCM_SHA384DSA
TLS_DH_DSS_WITH_AES_128_CBC_SHA256DSA
TLS_DH_DSS_WITH_AES_256_CBC_SHA256DSA
TLS_DH_RSA_WITH_AES_128_GCM_SHA256RSA
TLS_DH_RSA_WITH_AES_256_GCM_SHA384RSA
TLS_DH_RSA_WITH_AES_128_CBC_SHA256RSA
TLS_DH_RSA_WITH_AES_256_CBC_SHA256RSA
TLS1.3 Cipher Suites for RSA or ECDSA CertificatesSigned by signature algorithm
TLS_AES_128_GCM_SHA256RSA or ECDSA
TLS_AES_256_GCM_SHA384RSA or ECDSA
TLS_AES_128_CCM_SHA256RSA or ECDSA
TLS_AES_128_CCM_8_SHA256RSA or ECDSA

Da diese Cipher Suites keine spezifische Key-Exchange-Methode wie RSA oder ECDHE angeben kann man verschiedene Zertifikate verwenden, solange sie den Anforderungen von TLS 1.3 entsprechen. Das umfasst in der Regel X.509-Zertifikate mit RSA, ECDSA oder anderen unterstützten Algorithmen.

Kurze Zusammenfassung:

Bei Cipher Suites hängt das passende Zertifikat oft von der Key Exchange Methode und dem Signaturalgorithmus ab. Hier ein paar Beispiele:

  1. **TLS_RSA_WITH_AES_128_GCM_SHA256**: Verwendet RSA-Zertifikate für Key Exchange und Authentifizierung.
  2. **TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256**: Benötigt ein RSA-Zertifikat, nutzt aber Elliptic Curve Diffie-Hellman (ECDHE) für Key Exchange.
  3. **TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256**: Setzt ein ECDSA-Zertifikat voraus und nutzt ebenfalls ECDHE für Key Exchange.

Ein Kommentar

Kommentare sind geschlossen.