我正在强化我的配置,/etc/ssh/sshd_config并有以下几种选择Ciphers:
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour
其中,有一些我知道不会使用,例如arcfour. 除此之外,我经常需要搜索论坛和博客文章,以了解特定密码套件是否仍然强大。有时,这些信息可能已过时或不准确。我很难相信它。
是否有参考或网站可以更新有关每个密码套件的相对强度的最新信息?理想情况下,我想知道 SSH 和 TLS 设置的当前情况。此外,是否有任何服务会在列表更改时通知您(添加新密码套件或旧密码套件降级)。
假设我愿意并且能够随时升级,我想使用最强大和最安全的设置。
许多国家发布了适合密码的安全标准。
在美国,您可以依赖 pci dss 标准、fips 140-2、ANSI、EAL 等。
在法国,我们有 RGS,它指示可以信任的算法和密钥长度以及我们可以依赖的时间。
我想每个工业化国家都有相同的标准。
我个人选择关注这个网站:https ://syslink.pl/cipherlist/ 它从许多来源收集最佳安全实践。
如果您想了解有关密码估计强度的信息,我仍然推荐2013 ENISA 报告。我不知道任何不断更新的列表,但该报告中的假设可以改变的唯一方法是如果某些密码被破坏(在密码学意义上,在实践中没有必要相关),并且如果它会被广泛报道被公开。
如果您想了解配置服务器的最佳实践,我推荐BetterCrypto.org。他们有一份关于如何配置最常用软件和一些解释的草稿。他们希望能尽快更新草案。还可以像Sibwara建议的那样查看 cipherli.st 。
通常您会参考国际标准的 NIST 网站(美国)。FIPS 系列在这里: https ://csrc.nist.gov/publications/fips
还有很多其他标准,世界上每个机构都有一个标准......