Recommended Cipher Suites 2022

Recommended Cipher Suites 2024

Security

Welche Cipher Suiten sind sicher und PCI konform?

Es gibt unmengen an Cipher Suiten die entweder als empfohlen, sicher, schwach oder gebrochen eingestuft sind.

Eine Chiffre gilt als gebrochen (kompromittiert), wenn eine Schwachstelle in der Chiffre mit weniger Aufwand (Komplexität) als einer Brute-Force-Attacke ausgenutzt werden kann.

Recommended Cipher Suites 2024

Die in diesem Bild empfohlenden Cipher Suiten für TLS v1.2, die auch PFS unterstützen, können bedenkenlos bis weit über das Jahr 2026 eingesetzt werden.

Das Bild enthält ebenso die korrespondierenden OpenSSL Cipher Suites sowie weitere wichtige Details zur Anwendung. Weiter unten können die Recommended Cipher Suites 2024 heruntergeladen werden.

Recommended-Cipher-Suites-2024

Welche Ciphers, Hashes und Key Exchange für welche Cipher Suiten

In diesem Artikel habe ich eine Tabelle hinterlegt, aus der hervorgeht, mit welchen Ciphers man welche Cipher Suiten nutzen kann.

Welches Zertifikat korrespondiert mit welcher Cipher Suite

Ich habe mir mal die Mühe gemacht aufzuzeigen, welche Cipher Suite mit welchem Zertifikat eingesetzt werden kann.

Recommended Cipher Suites

Alle „empfohlenen“ Chiffren sind per Definition „sichere“ Chiffren. Empfohlen bedeutet, dass diese Chiffren auch PFS (Perfect Forward Secrecy) unterstützen und Ihre erste Wahl sein sollten, wenn Sie das höchste Sicherheitsniveau wünschen. Es können jedoch Kompatibilitätsprobleme mit älteren Clients auftreten, die PFS-Chiffren nicht unterstützen. In solchen Fällen könnte es notwendig sein, eine Balance zwischen Sicherheit und Kompatibilität zu finden. Welche Strategien oder Ansätze könnten in Betracht gezogen werden, um sowohl Sicherheit als auch Kompatibilität zu gewährleisten?

Downlod signierte Excelliste empfohlener Cipher Suiten für TLS 1.2 mit PFS:

Recommended Cipher Suites 2024

Secure Cipher Suiten

Sichere Chiffren gelten als Stand der Technik und wenn Sie Ihren Webserver absichern möchten, sollten Sie unbedingt aus diesem Set wählen. Diese modernen Verschlüsselungsalgorithmen bieten ein hohes Maß an Sicherheit und sind in der Lage, Ihre Daten effektiv vor unbefugtem Zugriff zu schützen. Es ist wichtig zu beachten, dass nur sehr alte Betriebssysteme, Browser oder Anwendungen möglicherweise Schwierigkeiten haben, mit diesen fortschrittlichen Chiffren umzugehen. Daher ist es ratsam, regelmäßig Updates durchzuführen und sicherzustellen, dass alle verwendeten Systeme und Anwendungen auf dem neuesten Stand sind, um die Kompatibilität und Sicherheit zu gewährleisten. Haben Sie bereits überprüft, ob Ihre Systeme mit den neuesten Sicherheitsstandards kompatibel sind?

Download signierte Excelliste sehr starker Cipher Suiten TLS 1.2:

Secure Cipher Suites 2024

Das Bundesamt für Sicherheit in der Informationstechnik hat auch eine Checkliste für Diensteanbieter erstellt. Ziel dieser Checkliste ist es, Diensteanbieter bei der Konfiguration von TLS gemäß den Vorgaben und Empfehlungen der Technischen Richtlinie BSI TR-03116-4 zu unterstützen.

TLS-Checkliste

Empfohlene Verschlüsselungssammlungen und Algorithmen

Recommended Key Exchange:

  • ECDHE
  • RSA

Recommended Signature:

  • ECDSA
  • RSA

Recommended Bulk Encryption:

  • AES 128 GCM
  • AES 256 GCM

Recommended Message Authentication:

  • SHA 256
  • SHA 384

Optionales Wissen

Wenn sich jemand außerhalb der empfohlenen Listen für Cipher Suiten entscheidet, der sollte folgendes beachten:

  • Das Schlüsselaustauschverfahren sollte auf Diffie-Hellman basieren (ECDHE). Dieses Verfahren verhindert zusammen mit Perfect Forward Secrecy (PFS), dass eine in der Vergangenheit verschlüsselt aufgezeichnete Kommunikation irgendwann später entschlüsselt werden kann
  • RSA oder ECDSA als Signaturverfahren zur Sicherstellung der Authentizität
  • Die eigentliche Kommunikation wird symmetrisch mit AES-GCM 128-Bit oder höher verschlüsselt
  • SHA-2 als Hashfunktion besser höher, für die Sicherstellung der Datenintegrität

Die Aufgabe einer TLS-Verschlüsselung

Das TLS-Protokoll verfolgt folgende Ziele und gewährleistet Datenschutz, Sicherheit und Datenintegrität zwischen den kommunizierenden Anwendungen.

  • Verschlüsselung (Verbergen der übertragenen Daten)
  • Authentifizierung (authentifiziert die Identität der Endparteien)
  • Integrität (überprüft, ob die Daten vor Manipulation oder Hacking sicher sind).

Aufbau einer Cipher Suite

Eine Cipher Suite besteht aus einer Kombination von Algorithmen, die für verschiedene Aspekte der sicheren Kommunikation zuständig sind. Hier sind die Hauptkomponenten und ihre jeweiligen Funktionen:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

1. Schlüsselaustauschalgorithmus: Dieser Algorithmus ist dafür verantwortlich, wie die Verschlüsselungsschlüssel zwischen den Kommunikationsparteien sicher ausgetauscht werden. Beispiele sind RSA, Diffie-Hellman und ECDHE.

2. Authentifizierungsalgorithmus: Dieser Algorithmus stellt sicher, dass die Identitäten der Kommunikationsparteien überprüft und bestätigt werden können. Häufig verwendete Algorithmen sind RSA und ECDSA.

3. Verschlüsselungsalgorithmus: Dieser Algorithmus verschlüsselt die Daten, die zwischen den Parteien übertragen werden. Beispiele sind AES, 3DES und ChaCha20.

4. MAC-Algorithmus (Message Authentication Code): Dieser Algorithmus sorgt für die Integrität und Authentizität der Nachrichten, indem er sicherstellt, dass die Daten während der Übertragung nicht verändert wurden. Beispiele sind HMAC-SHA256 und HMAC-SHA384.

Zusammen ermöglichen diese Algorithmen eine sichere und vertrauliche Kommunikation über Netzwerke, indem sie sicherstellen, dass die Daten verschlüsselt, authentifiziert und vor Manipulation geschützt sind.

Aktualisiert am 30.10.2024