Cipher Suite
Eine Cipher Suite, Aussprache [ˈsɑɪ·fər swiːt], (deutsch „Chiffrensammlung“) ist eine standardisierte Sammlung kryptographischer Verfahren, beispielsweise zur Verschlüsselung. Ein Beispiel dafür ist die NSA Suite B Cryptography, die Algorithmen und Protokolle festlegt, die für die Arbeit im Regierungsumfeld geeignet sind.
Im Protokoll Transport Layer Security (TLS) legt die Cipher Suite fest, welche Algorithmen zum Aufbau einer gesicherten Datenverbindung verwendet werden sollen. Dabei identifiziert jede Cipher Suite eine Kombination aus vier Algorithmen:
- Schlüsselaustausch, z. B.: RSA, DH (auch ADH, ECDH), PSK, SRP
- Authentifizierung, bspw.: RSA, DSA (auch ECDSA), PSK
- Verschlüsselung (keine, RC4, DES, 3DES, IDEA, AES, ChaCha20)
- Hashfunktion (MD5, SHA)
Die Spezifikation RFC 2246[1] legt bestimmte Cipher Suites fest, die von TLS-Clients und Servern unterstützt werden können bzw. müssen. Jede dieser Cipher Suites besteht aus zwei Bytes und wird eindeutig benannt. So bezeichnet beispielsweise der Name „TLS_RSA_WITH_3DES_EDE_CBC_SHA“ (Bytefolge 0x00,0x0a) eine Cipher Suite, die RSA für den Schlüsselaustausch, als auch für die Authentifizierung, verwendet sowie 3DES im CBC-Modus für die Verschlüsselung und SHA als Hashfunktion. RFC 3268[2] erweitert das TLS-Protokoll um AES und RFC 4492[3] um Elliptic Curve Cryptography.
Literatur
- Eric Rescorla: SSL and TLS. Designing and Building Secure Systems. Addison-Wesley, Amsterdam 2001, ISBN 0-201-61598-3.
- Richtlinie BSI TR-02102-2 „Kryptographische Verfahren: Verwendung von Transport Layer Security (TLS)“. (PDF) bsi.bund.de, mit Auflistung der empfohlenen Cipher Suiten für TLS 1.2 und 1.3; Stand: Februar 2019