SSL/TLS & Perfect Forward Secrecy
vendredi 6 septembre 2013 à 16:36 Famille Michon, le 06/09/2013 à 10:10
Une description détaillée du fonctionnement de PFS, avec Diffie-Helman (1), utilisation en pratique, et des benchmarks.
Voir aussi ici pour le support des navigateurs et des serveurs, et les algorithmes (Cipher) les plus préférables à utiliser :
http://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html
(1) Je m'étais toujours demandé pourquoi OpenVPN avait besoin d'une étape "Diffie-Hellman" lorsqu'on générait les clefs du serveur. Maintenant je sais.
(Permalink)
Sebsauvage, le 06/09/2013 à 11:00
Explication du paramétrage "Perfect Forward Secrecy" en SSL/TLS et benchmarks. (via http://famille-michon.fr/links/?4XfBAg)
(Permalink)
CAFAI, le 06/09/2013 à 16:36
La propriété de forward secrecy1 permet à une information chiffrée aujourd’hui de rester confidentielle en cas de compromission future de la clef privée d’un correspondant. C’est un mécanisme assez coûteux en calculs et de nombreux serveurs font donc l’impasse sur celui-ci. Google a récemment annoncé le support du forward secrecy pour tous ses sites accessibles en HTTPS. Adam Langley a rédigé un article plus détaillé sur ce qui a été réalisé pour améliorer l’efficacité d’un tel mécanisme : avec quelques collègues, il a écrit une implémentation plus efficace pour OpenSSL, basée sur la cryptographie sur les courbes elliptiques.
(Permalink)
Une description détaillée du fonctionnement de PFS, avec Diffie-Helman (1), utilisation en pratique, et des benchmarks.
Voir aussi ici pour le support des navigateurs et des serveurs, et les algorithmes (Cipher) les plus préférables à utiliser :
http://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html
(1) Je m'étais toujours demandé pourquoi OpenVPN avait besoin d'une étape "Diffie-Hellman" lorsqu'on générait les clefs du serveur. Maintenant je sais.
(Permalink)
Sebsauvage, le 06/09/2013 à 11:00
Explication du paramétrage "Perfect Forward Secrecy" en SSL/TLS et benchmarks. (via http://famille-michon.fr/links/?4XfBAg)
(Permalink)
CAFAI, le 06/09/2013 à 16:36
La propriété de forward secrecy1 permet à une information chiffrée aujourd’hui de rester confidentielle en cas de compromission future de la clef privée d’un correspondant. C’est un mécanisme assez coûteux en calculs et de nombreux serveurs font donc l’impasse sur celui-ci. Google a récemment annoncé le support du forward secrecy pour tous ses sites accessibles en HTTPS. Adam Langley a rédigé un article plus détaillé sur ce qui a été réalisé pour améliorer l’efficacité d’un tel mécanisme : avec quelques collègues, il a écrit une implémentation plus efficace pour OpenSSL, basée sur la cryptographie sur les courbes elliptiques.
(Permalink)