Foro de elhacker.net

Seguridad Informática => Criptografía => Mensaje iniciado por: MCKSys Argentina en 3 Agosto 2020, 21:12



Título: Recomendaciones de Cipher Camellia
Publicado por: MCKSys Argentina en 3 Agosto 2020, 21:12
Hola!

Tengo un amigo que está interesado en usar el cipher Camellia en TLS (TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_GCM_SHA256 y TLS_RSA_WITH_CAMELLIA_128_GCM_SHA256), aunque también para considerar en general.

Las dudas son:
  • Alguien conoce alguna objeción para usar, o algun problema, en el cipher?
  • Hay alguna razon para que no este en la lista de recomendados?

Como no tengo mucho conocimiento de cripto, planteo la cosa aquí, por si alguno puede responder a las preguntas.

Saludos!


Título: Re: Recomendaciones de Cipher Camellia
Publicado por: @XSStringManolo en 3 Agosto 2020, 22:00
Se puede usar sin problema pero no es recomendado. A pesar de ser muy parecido a AES, hace muchas más rondas. Aún por encima AES es spameado hasta la saciedad, lo que significa que independientemente de cual pueda ser el mejor algoritmo, la implementación va a estar mucho más optimizada, menos propensa a bugs, y demás.

La única razón de no estar recomendado es que ya hay un standart en el que se ha invertido mucho, funciona bien y hacer el cambio no supone ningún beneficio, solo inversión de tiempo/dinero. Entonces no vale la pena.




Título: Re: Recomendaciones de Cipher Camellia
Publicado por: kub0x en 6 Agosto 2020, 18:27
Holas, no vi el post a tiempo pero respondo:

Manolo ha hecho énfasis en que AES es más recomendado simplemente porque existen más artículos basados en su criptoanálisis.

Mi recomendación, va más en la línea de la cipher suite. Dile a tu compañero que evite la utilización de las cipher suites que utilicen RSA, como la que mencionaste: TLS_RSA_WITH_CAMELLIA_128_GCM_SHA256

Esto es porque en el handshake, el cliente envía la pre-master key cifrada con la clave pública RSA del servidor. El server con su privada recupera la PMK y deriva las subsecuentes claves.

Entonce si un atacante recupera la clave RSA privada del servidor podrá descifrar todas las comunicaciones derivadas de un hadshake anterior en el tiempo.

Es recomendable emplear las suites que contienen una E delante del protocolo, quiere decir Ephemeral, es decir, que en cada handshake se utilizan par de claves privada-pública distintas. Por lo que recuperando una privada de un handshake sólo te da acceso a descifrar las comunicaciones derivadas de ese handshake.

Si por ejemplo combinamos ECDHE para el key exchange con RSA para la firma digital, pues ni tan mal. No tendría impacto, más que signature forgery. Pero EVITAR a toda cosa el sólo hecho de emplear RSA como key exchange.

Saludos.