暗号スイート
暗号スイート とは何ですか?
暗号スイート鍵交換、認証、データ暗号化、完全性のアルゴリズム群を 1 つの名前にまとめた組み合わせで、TLS などの協議によりセッションごとに選ばれる。
暗号スイートは、セッション保護のためにセキュリティプロトコルが利用するアルゴリズムの組み合わせを指定します。TLS 1.2 では、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 のようなスイートが、鍵交換に ECDHE、認証に RSA、暗号化に AES-128-GCM、PRF に SHA-256 を選びます。TLS 1.3 では鍵交換・署名と AEAD を分離し、TLS_AES_128_GCM_SHA256 や TLS_CHACHA20_POLY1305_SHA256 など 5 種類のみに整理されました。強いスイートを選び、RC4、3DES、輸出規制相当の DH、匿名 (aDH/aECDH) など弱い・古いものを無効化することは TLS 強化の鍵です。SSL Labs、testssl.sh、Mozilla、NIST、BSI のガイドラインに安全な既定値が示されています。
● 例
- 01
TLS_AES_256_GCM_SHA384 は TLS 1.3 で推奨される暗号スイートのひとつ。
- 02
TLS_RSA_WITH_3DES_EDE_CBC_SHA を提供し続けているレガシーシステムは廃止すべき。
● よくある質問
暗号スイート とは何ですか?
鍵交換、認証、データ暗号化、完全性のアルゴリズム群を 1 つの名前にまとめた組み合わせで、TLS などの協議によりセッションごとに選ばれる。 サイバーセキュリティの 暗号 カテゴリに属します。
暗号スイート とはどういう意味ですか?
鍵交換、認証、データ暗号化、完全性のアルゴリズム群を 1 つの名前にまとめた組み合わせで、TLS などの協議によりセッションごとに選ばれる。
暗号スイート からどのように防御しますか?
暗号スイート に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。