O que é um Cipher Suite e como baixar um?
Se você já visitou um site que usa HTTPS, provavelmente já encontrou o termo "conjunto de cifras". Mas o que isso significa e por que é importante? Neste artigo, explicaremos o que é um conjunto de cifras, como ele funciona, como fazer o download de um e como escolher o melhor para segurança.
Introdução
Um conjunto de cifras é um conjunto de algoritmos criptográficos que permitem conexões de rede seguras por meio de TLS/SSL. TLS significa Transport Layer Security e SSL significa Secure Sockets Layer. São protocolos que criptografam e autenticam os dados trocados entre um servidor web e um navegador web. Um conjunto de cifras especifica um algoritmo para cada tarefa de criação de chaves, criptografia de informações e fornecimento de integridade, autenticação e confidencialidade dos dados. Um conjunto de cifras é acordado entre o servidor da Web e o navegador durante um handshake TLS/SSL, que é um processo que utiliza várias funções criptográficas para obter uma conexão HTTPS.
download cipher suite
Um conjunto de cifras consiste em quatro componentes principais:
Um algoritmo de troca de chaves, que determina como o servidor web e o navegador geram e trocam uma chave secreta compartilhada que é usada para criptografar e descriptografar os dados. Exemplos de algoritmos de troca de chaves são RSA, DHE, ECDHE e PSK.
Um algoritmo de autenticação ou assinatura digital, que verifica a identidade do servidor da Web e, opcionalmente, do navegador usando certificados digitais. Exemplos de algoritmos de autenticação são RSA, ECDSA e DSA.
Um algoritmo de criptografia em massa, que criptografa os dados usando a chave secreta compartilhada. Exemplos de algoritmos de criptografia em massa são AES, CHACHA20, Camellia e ARIA.
Um algoritmo de código de autenticação de mensagem (MAC), que garante que os dados não foram adulterados ou corrompidos durante a transmissão. Exemplos de algoritmos MAC são SHA-256, SHA-384 e POLY1305.
Cada conjunto de cifras possui um nome exclusivo que o identifica e descreve seus componentes. Por exemplo, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 significa que este conjunto de cifras usa TLS como protocolo, ECDHE como algoritmo de troca de chaves, RSA como algoritmo de autenticação, AES-128 como algoritmo de criptografia em massa, GCM como modo de operação e SHA-256 como algoritmo MAC.
Como um conjunto de cifras funciona em uma conexão TLS/SSL? Aqui está uma visão geral simplificada das etapas envolvidas:
O navegador envia uma lista de conjuntos de cifras suportados para o servidor web em ordem de preferência.
O servidor da Web seleciona um conjunto de cifras da lista que também suporta e o envia de volta ao navegador junto com seu certificado digital.
O navegador verifica a validade do certificado do servidor web usando sua chave pública e verifica se ele confia na autoridade certificadora (CA) que o emitiu.
O navegador e o servidor da Web usam o algoritmo de troca de chaves para gerar e trocar uma chave secreta compartilhada.
O navegador e o servidor da Web usam o algoritmo de autenticação para confirmar a identidade um do outro usando assinaturas digitais.
O navegador e o servidor da Web usam o algoritmo de criptografia em massa e a chave secreta compartilhada para criptografar os dados.
O navegador e o servidor web usam o algoritmo MAC e a chave secreta compartilhada para gerar e verificar um código de autenticação de mensagem para cada pacote de dados.
Ao usar um conjunto de cifras, o navegador e o servidor da Web podem estabelecer um canal de comunicação seguro e privado que evita espionagem, adulteração e representação.
Como baixar um pacote de cifras
Se você deseja baixar um conjunto de cifras para o seu sistema operacional Windows, siga estas etapas:
Abra o Painel de Controle e clique em Sistema e Segurança.
Clique em Windows Update e verifique se há atualizações.
Procure atualizações relacionadas a TLS/SSL ou conjuntos de cifras e instale-as.
Reinicie o computador, se solicitado.
Como alternativa, você pode baixar um conjunto de cifras no site do Catálogo do Microsoft Update. Aqui você pode pesquisar conjuntos de cifras específicos por seus nomes ou números de KB e baixá-los manualmente. Por exemplo, você pode procurar por "TLS_DHE_RSA_WITH_AES_256_GCM_SHA384" ou "KB4462917" e baixar o pacote de atualização correspondente para sua versão do Windows.
Alguns exemplos de conjuntos de cifras para diferentes versões de TLS são:
Versão TLSNome do Conjunto de Cifras
TLS 1.0TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS 1.1TLS_RSA_WITH_AES_128_CBC_SHA
TLS 1.2TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS 1.3TLS_AES_256_GCM_SHA384
Como configurar a ordem e a prioridade do conjunto de cifras no Windows? Você pode usar o Editor de Diretiva de Grupo ou o Editor do Registro para alterar a ordem e a prioridade dos conjuntos de criptografia no Windows. A ordem e a prioridade dos conjuntos de cifras determinam qual conjunto de cifras será selecionado pelo servidor web durante o handshake TLS/SSL. Quanto maior a prioridade, maior a probabilidade de o conjunto de cifras ser escolhido. Você pode usar as seguintes etapas para configurar a ordem e a prioridade do conjunto de cifras no Windows:
Abra o Editor de Diretiva de Grupo digitando gpedit.msc na caixa de diálogo Executar.
Navegue até Configuração do computador > Modelos administrativos > Rede > Configurações de SSL.
Clique duas vezes em SSL Cipher Suite Order e habilite-o.
Edite a lista de conjuntos de cifras na ordem de preferência. Você pode usar vírgulas para separá-los e traços para indicar intervalos. Por exemplo, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA-TLS_RSA_WITH_AES_128_CBC_SHA.
Clique em OK e feche o Editor de Diretiva de Grupo.
Reinicie o computador para que as alterações entrem em vigor.
Como escolher o melhor conjunto de cifras para segurança
Escolher o melhor conjunto de cifras para segurança não é uma tarefa fácil, pois há muitos fatores a serem considerados, como compatibilidade, desempenho e conformidade.No entanto, existem algumas diretrizes gerais que podem ajudá-lo a tomar uma decisão informada. Aqui estão alguns fatores a serem considerados ao escolher um conjunto de cifras:
A versão do protocolo: você deve sempre usar a versão mais recente do TLS, que atualmente é o TLS 1.3. O TLS 1.3 oferece melhor segurança, desempenho e simplicidade do que as versões anteriores. Ele também remove alguns conjuntos de cifras fracos e obsoletos que são vulneráveis a ataques. Se você não puder usar o TLS 1.3, deverá usar o TLS 1.2 como requisito mínimo.
O algoritmo de troca de chaves: você deve preferir algoritmos de troca de chaves que forneçam sigilo direto, o que significa que, mesmo que um invasor obtenha a chave secreta compartilhada, ele não poderá descriptografar sessões passadas ou futuras. Exemplos de algoritmos de troca de chaves que fornecem sigilo direto são ECDHE e DHE. Você deve evitar algoritmos de troca de chaves que não fornecem sigilo de encaminhamento, como RSA.
O algoritmo de autenticação: você deve preferir algoritmos de autenticação que usam criptografia de curva elíptica (ECC), que oferece melhor segurança e desempenho do que a criptografia de chave pública tradicional (PKC). Exemplos de algoritmos de autenticação que usam ECC são ECDSA e EdDSA. Você deve evitar algoritmos de autenticação que usam PKC, como RSA e DSA.
O algoritmo de criptografia em massa: você deve preferir algoritmos de criptografia em massa que usam criptografia autenticada com dados associados (AEAD), que combina criptografia e autenticação em uma etapa e evita ataques de oráculo de preenchimento. Exemplos de algoritmos de criptografia em massa que usam AEAD são AES-GCM, CHACHA20-POLY1305 e ARIA-GCM. Você deve evitar algoritmos de criptografia em massa que usam encadeamento de bloco cifrado (CBC), que é vulnerável a ataques de oráculo de preenchimento. Exemplos de algoritmos de criptografia em massa que usam CBC são AES-CBC, Camellia-CBC e DES-CBC.
O algoritmo MAC: Você deve preferir algoritmos MAC que usam funções hash seguras, que são resistentes a ataques de colisão e pré-imagem.Exemplos de algoritmos MAC que usam funções hash seguras são SHA-256, SHA-384 e POLY1305. Você deve evitar algoritmos MAC que usam funções hash fracas, como MD5 e SHA-1.
Algumas recomendações para proteção de cifra TLS/SSL são:
Use apenas conjuntos de cifras compatíveis com TLS 1.2 ou superior.
Use apenas conjuntos de cifras que forneçam sigilo de encaminhamento.
Use apenas conjuntos de cifras que usam ECC para autenticação.
Use apenas conjuntos de cifras que usam AEAD para criptografia.
Use apenas conjuntos de cifras que usam funções hash seguras para MAC.
Desative todos os conjuntos de cifras que usam criptografia RC4, DES, 3DES, nula ou de nível de exportação.
Como verificar o nível de segurança do seu pacote de cifras? Você pode usar ferramentas online como SSL Labs ou CryptCheck para testar o nível de segurança do seu conjunto de cifras. Essas ferramentas examinarão seu servidor ou navegador da Web e fornecerão uma pontuação e uma nota com base na força e compatibilidade de seu conjunto de cifras. Eles também fornecerão informações detalhadas e recomendações sobre como melhorar a configuração do conjunto de cifras.
Conclusão
Um conjunto de cifras é um conjunto de algoritmos criptográficos que permitem conexões de rede seguras por meio de TLS/SSL. Um conjunto de cifras consiste em quatro componentes principais: um algoritmo de troca de chaves, um algoritmo de autenticação, um algoritmo de criptografia em massa e um algoritmo MAC. Um conjunto de cifras é acordado entre o servidor da Web e o navegador durante um handshake TLS/SSL, que é um processo que utiliza várias funções criptográficas para obter uma conexão HTTPS.
Para baixar um conjunto de cifras para Windows, você pode usar o site do Windows Update ou do Catálogo do Microsoft Update. Você também pode configurar a ordem e a prioridade do conjunto de cifras no Windows usando o Editor de Diretiva de Grupo ou o Editor do Registro. Para escolher o melhor conjunto de cifras para segurança, você deve considerar a versão do protocolo, o algoritmo de troca de chaves, o algoritmo de autenticação, o algoritmo de criptografia em massa e o algoritmo MAC.Você também deve seguir algumas diretrizes gerais para proteção de cifras TLS/SSL e verificar o nível de segurança de seu conjunto de cifras usando ferramentas online.
Esperamos que este artigo tenha ajudado você a entender o que é um conjunto de cifras e como fazer o download de um. Se você quiser saber mais sobre TLS/SSL e criptografia, confira estes recursos:
perguntas frequentes
Qual é a diferença entre SSL e TLS?
SSL e TLS são protocolos que criptografam e autenticam conexões de rede. SSL significa Secure Sockets Layer e TLS significa Transport Layer Security. O TLS é o sucessor do SSL e oferece melhor segurança e desempenho do que o SSL. O SSL está obsoleto desde 2015 e não é mais recomendado usá-lo. A versão atual do TLS é o TLS 1.3, lançado em 2018.
Quais são as vantagens de usar ECDHE sobre DHE para troca de chaves?
ECDHE e DHE são algoritmos de troca de chaves que fornecem sigilo direto, o que significa que eles geram uma nova chave secreta compartilhada para cada sessão e não dependem de uma chave privada fixa. ECDHE significa Elliptic Curve Diffie-Hellman Ephemeral, e DHE significa Diffie-Hellman Ephemeral. A principal vantagem de usar ECDHE sobre DHE é que ECDHE usa criptografia de curva elíptica (ECC), que oferece melhor segurança e desempenho do que a criptografia de chave pública tradicional (PKC). O ECDHE pode alcançar o mesmo nível de segurança que o DHE com tamanhos de chave menores, o que reduz o custo computacional e a latência da rede.
Quais são as desvantagens de usar RC4, DES e conjuntos de cifras nulas?
Como posso testar a compatibilidade do meu conjunto de cifras com diferentes navegadores e servidores?
Você pode usar ferramentas online como SSL Labs ou CryptCheck para testar a compatibilidade de seu conjunto de cifras com diferentes navegadores e servidores. Essas ferramentas examinarão seu servidor ou navegador da Web e fornecerão uma pontuação e uma nota com base na força e compatibilidade de seu conjunto de cifras. Eles também mostrarão quais navegadores e servidores oferecem suporte ou não ao seu conjunto de cifras e quais problemas ou erros podem surgir ao usá-lo.
Como posso atualizar meu conjunto de cifras para a versão mais recente do TLS?
Para atualizar seu conjunto de cifras para a versão mais recente do TLS, você precisa atualizar seu servidor web e seu navegador para oferecer suporte a TLS 1.3. O TLS 1.3 é a versão mais nova e segura do TLS e oferece melhor segurança, desempenho e simplicidade do que as versões anteriores. Ele também remove alguns conjuntos de cifras fracos e obsoletos que são vulneráveis a ataques. Para atualizar seu servidor web para suportar TLS 1.3, você precisa instalar as atualizações mais recentes para seu sistema operacional e seu software de servidor web. Para atualizar seu navegador para oferecer suporte ao TLS 1.3, você precisa instalar a versão mais recente do navegador ou habilitar o TLS 1.3 nas configurações do navegador. 0517a86e26
Comments