コンピュータ セキュリティ

SSLv3・TLSの暗号スイート

2019年12月9日

HTTPSなどTLS通信では暗号スイート(Cipher Suite)を使用して暗号化を行っている。

暗号スイートとは暗号アルゴリズム及びハッシュ関数を組み合わせたものであり、プロトコルでは既にどの組み合わせで通信するのか定義されている。
暗号化スイートはSSLv3ではRFC 6101 、TLS1.0ではRFC 2246 、TLS1.1ではRFC 4346 、TLS1.2ではRFC 5246 、TLS1.3ではRFC 8446 で定義されている。(暗号スイートはIANAで定義)
WireSharkで暗号化スイートを確認する場合やcurlなどで特定の暗号スイートを指定して接続試験を行う際に何を参照すればいいのかわからなかったのでここで暗号スイートの一覧を表記する。
ちなみに、RHELやCentOS標準の curlを使う場合、OpenSSLではなくNSSを使用している上記で記載されている暗号スイートの名称では接続できない場合があります。

暗号スイート一覧

SSLv3以降のものを記載しました。
TLS1.1から使用できないものがあり、TLS1.3ではざっくりと新規のみになってます。(互換性なし)
DHの組み合わせは中間攻撃対策として秘密鍵だけでは復号できないので注意。(TLS1.3は全て?)

アドレス プロトコル RFC表記
(NSS表記)
SSL
v3
TLS
1.0
TLS
1.1
TLS
1.2
TLS
1.3
0x00 0x00   SSL_NULL_WITH_NULL_NULL
0x00 0x01   SSL_RSA_WITH_NULL_MD5
(NULL-MD5)
0x00 0x02   SSL_RSA_WITH_NULL_SHA
(NULL-SHA)
0x00 0x03     SSL_RSA_EXPORT_WITH_RC4_40_MD5
(EXP-RC4-MD5)
0x00 0x04     SSL_RSA_WITH_RC4_128_MD5
(RC4-MD5)
0x00 0x05     SSL_RSA_WITH_RC4_128_SHA
(RC4-SHA)
0x00 0x06       SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
0x00 0x07     SSL_RSA_WITH_IDEA_CBC_SHA
(IDEA-CBC-SHA)
0x00 0x08       SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
(EXP-DES-CBC-SHA)
0x00 0x09     SSL_RSA_WITH_DES_CBC_SHA
(DES-CBC-SHA)
0x00 0x0A   SSL_RSA_WITH_3DES_EDE_CBC_SHA
(DES-CBC3-SHA)
0x00 0x0B       SSL_DH_DSS_EXPORT_WITH_DES40_CBC_SHA
0x00 0x0C     SSL_DH_DSS_WITH_DES_CBC_SHA
0x00 0x0D   SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA
0x00 0x0E       SSL_DH_RSA_EXPORT_WITH_DES40_CBC_SHA
0x00 0x0F     SSL_DH_RSA_WITH_DES_CBC_SHA
0x00 0x10   SSL_DH_RSA_WITH_3DES_EDE_CBC_SHA
0x00 0x11       SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
(EXP-EDH-DSS-DES-CBC-SHA)
0x00 0x12     SSL_DHE_DSS_WITH_DES_CBC_SHA
(EDH-DSS-CBC-SHA)
0x00 0x13   SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
(EDH-DSS-DES-CBC3-SHA)
0x00 0x14       SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
(EXP-EDH-RSA-DES-CBC-SHA)
0x00 0x15     SSL_DHE_RSA_WITH_DES_CBC_SHA
(EDH-RSA-DES-CBC-SHA)
0x00 0x16   SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
(EDH-RSA-DES-CBC3-SHA)
0x00 0x17     SSL_DH_anon_EXPORT_WITH_RC4_40_MD5
(EXP-ADH-RC4-MD5)
0x00 0x18   SSL_DH_anon_WITH_RC4_128_MD5
(ADH-RC4-MD5)
0x00 0x19     SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA
(EXP-ADH-DES-CBC-SHA)
0x00 0x1A     SSL_DH_anon_WITH_DES_CBC_SHA
(ADH-DES-CBC-SHA)
0x00 0x1B   SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
(ADH-DES-CBC3-SHA)
0x00 0x1C        

SSL_FORTEZZA_KEA_WITH_NULL_SHA

0x00 0x1D         SSL_FORTEZZA_KEA_WITH_FORTEZZA_CBC_SHA
0x00 0x1E       TLS_KRB5_WITH_DES_CBC_SHA
0x00 0x1F         TLS_KRB5_WITH_3DES_EDE_CBC_SHA
0x00 0x20         TLS_KRB5_WITH_RC4_128_SHA
0x00 0x21         TLS_KRB5_WITH_IDEA_CBC_SHA
0x00 0x22         TLS_KRB5_WITH_DES_CBC_MD5
0x00 0x23         TLS_KRB5_WITH_3DES_EDE_CBC_MD5
0x00 0x24         TLS_KRB5_WITH_RC4_128_MD5
0x00 0x25         TLS_KRB5_WITH_IDEA_CBC_MD5
0x00 0x26           TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA
0x00 0x27           TLS_KRB5_EXPORT_WITH_RC2_CBC_40_SHA
0x00 0x28           TLS_KRB5_EXPORT_WITH_RC4_40_SHA
0x00 0x29           TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5
0x00 0x2A           TLS_KRB5_EXPORT_WITH_RC2_CBC_40_MD5
0x00 0x2B           TLS_KRB5_EXPORT_WITH_RC4_40_MD5
0x00 0x2F       TLS_RSA_WITH_AES_128_CBC_SHA
(AES128-SHA)
0x00 0x30       TLS_DH_DSS_WITH_AES_128_CBC_SHA
(DH-DSS-AES128-SHA)
0x00 0x31       TLS_DH_RSA_WITH_AES_128_CBC_SHA
(DH-RSA-AES128-SHA)
0x00 0x32       TLS_DHE_DSS_WITH_AES_128_CBC_SHA
(DHE-DSS-AES128-SHA)
0x00 0x33       TLS_DHE_RSA_WITH_AES_128_CBC_SHA
(DHE-RSA-AES128-SHA)
0x00 0x34       TLS_DH_anon_WITH_AES_128_CBC_SHA
(ADH-AES128-SHA)
0x00 0x35         TLS_RSA_WITH_AES_256_CBC_SHA
(AES256-SHA)
0x00 0x36       TLS_DH_DSS_WITH_AES_256_CBC_SHA
(DH-DSS-AES256-SHA)
0x00 0x37       TLS_DH_RSA_WITH_AES_256_CBC_SHA
(DH-RSA-AES256-SHA)
0x00 0x38       TLS_DHE_DSS_WITH_AES_256_CBC_SHA
(DHE-DSS-AES256-SHA)
0x00 0x39       TLS_DHE_RSA_WITH_AES_256_CBC_SHA
(DHE-RSA-AES256-SHA)
0x00 0x3A       TLS_DH_anon_WITH_AES_256_CBC_SHA
(ADH-AES256-SHA)
0x00 0x3B         TLS_RSA_WITH_NULL_SHA256
0x00 0x3C         TLS_RSA_WITH_AES_128_CBC_SHA256
0x00 0x3D         TLS_RSA_WITH_AES_256_CBC_SHA256
0x00 0x3E         TLS_DH_DSS_WITH_AES_128_CBC_SHA256
0x00 0x3F         TLS_DH_RSA_WITH_AES_128_CBC_SHA256
0x00 0x40         TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
0x00 0x67         TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
0x00 0x68         TLS_DH_DSS_WITH_AES_256_CBC_SHA256
0x00 0x69         TLS_DH_RSA_WITH_AES_256_CBC_SHA256
0x00 0x6A         TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
0x00 0x6B         TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
0x00 0x6C         TLS_DH_anon_WITH_AES_128_CBC_SHA256
0x00 0x6D         TLS_DH_anon_WITH_AES_256_CBC_SHA256
0x13 0x01         TLS_AES_128_GCM_SHA256
0x13 0x01         TLS_AES_256_GCM_SHA384
0x13 0x01         TLS_CHACHA20_POLY1305_SHA256
0x13 0x01         TLS_AES_128_CCM_SHA256
0x13 0x01         TLS_AES_128_CCM_8_SHA256

-コンピュータ, セキュリティ
-,