Hola!

Tengo un amigo que está interesado en usar el cipher Camellia en TLS (TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_GCM_SHA256 y TLS_RSA_WITH_CAMELLIA_128_GCM_SHA256), aunque también para considerar en general.

Las dudas son:

• Alguien conoce alguna objeción para usar, o algun problema, en el cipher?
  
• Hay alguna razon para que no este en la lista de recomendados?

Como no tengo mucho conocimiento de cripto, planteo la cosa aquí, por si alguno puede responder a las preguntas.

Saludos!

Holas, no vi el post a tiempo pero respondo:

Manolo ha hecho énfasis en que AES es más recomendado simplemente porque existen más artículos basados en su criptoanálisis.

Mi recomendación, va más en la línea de la cipher suite. Dile a tu compañero que evite la utilización de las cipher suites que utilicen RSA, como la que mencionaste: TLS_RSA_WITH_CAMELLIA_128_GCM_SHA256

Esto es porque en el handshake, el cliente envía la pre-master key cifrada con la clave pública RSA del servidor. El server con su privada recupera la PMK y deriva las subsecuentes claves.

Entonce si un atacante recupera la clave RSA privada del servidor podrá descifrar todas las comunicaciones derivadas de un hadshake anterior en el tiempo.

Es recomendable emplear las suites que contienen una E delante del protocolo, quiere decir Ephemeral, es decir, que en cada handshake se utilizan par de claves privada-pública distintas. Por lo que recuperando una privada de un handshake sólo te da acceso a descifrar las comunicaciones derivadas de ese handshake.

Si por ejemplo combinamos ECDHE para el key exchange con RSA para la firma digital, pues ni tan mal. No tendría impacto, más que signature forgery. Pero EVITAR a toda cosa el sólo hecho de emplear RSA como key exchange.

Saludos.