Name : BETA-TESTERS
Project name : ZW3B-API-BETA-TESTERS
Authorized. - 200 - Client API Name and Origin Wildcard OK
La commande ciphers convertit les listes textuelles de chiffrement OpenSSL en listes de préférences de chiffrement SSL ordonnées. Il peut être utilisé comme outil de test pour déterminer la liste de chiffrement appropriée.
NdM : 2023/11/14 - Traduction française du man1 d'OpenSSL Ciphers
openssl-ciphers, openssl ciphers
-s
Répertoriez uniquement les chiffrements pris en charge : ceux cohérents avec le niveau de sécurité et la version minimale et maximale du protocole. Ceci est plus proche de la liste de chiffrement réelle qu'une application prendra en charge.
Les chiffrements PSK et SRP ne sont pas activés par défaut : ils nécessitent -psk ou -srp pour les activer.
Cela ne modifie pas non plus la liste par défaut des algorithmes de signature pris en charge.
Sur un serveur, la liste des chiffrements pris en charge peut également exclure d'autres chiffrements en fonction des certificats configurés et de la présence de paramètres DH.
Si cette option n'est pas utilisée, tous les chiffrements correspondant à la liste de chiffrements seront répertoriés.
-psk
Lorsqu'il est combiné avec -s, il inclut les suites de chiffrement qui nécessitent PSK.
-srp
Lorsqu'il est combiné avec -s, il inclut les suites de chiffrement qui nécessitent SRP.
-v
Sortie détaillée : pour chaque suite de chiffrement, répertoriez les détails fournis par SSL_CIPHER_description (https://www.openssl.org/docs/man1.1.1/man3/SSL_CIPHER_description.html).
-V
Comme -v, mais inclut les valeurs officielles de la suite de chiffrement en hexadécimal.
-tls1_3, -tls1_2, -tls1_1, -tls1, -ssl3
En combinaison avec l'option -s, répertorie les chiffrements qui pourraient être utilisés si le protocole spécifié était négocié.
Notez que tous les protocoles et indicateurs peuvent ne pas être disponibles, selon la manière dont OpenSSL a été construit.
-stdname
Faites précéder chaque suite de chiffrement de son nom standard.
-convert name
Convertissez un nom de chiffrement standard en son nom OpenSSL.
-ciphersuites val
Définit la liste des suites de chiffrement TLSv1.3. Cette liste sera combinée avec toutes les suites de chiffrement TLSv1.2 et inférieures configurées.
Le format de cette liste est une simple liste de noms de suites de chiffrement TLSv1.3 séparés par deux points (« : »).
Par défaut cette valeur est :
Script avec 1 ligne
001TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
cipherlist
Une liste de chiffrements de suites de chiffrement TLSv1.2 et inférieures à convertir en liste de préférences de chiffrement.
Cette liste sera combinée avec toutes les suites de chiffrement TLSv1.3 configurées. S'il n'est pas inclus, la liste de chiffrement par défaut sera utilisée. Le format est décrit ci-dessous.
La liste de chiffrement se compose d'une ou plusieurs chaînes de chiffrement séparées par des deux-points. Les virgules ou les espaces sont également des séparateurs acceptables, mais les deux-points sont normalement utilisés.
La chaîne de chiffrement réelle peut prendre plusieurs formes différentes.
Il peut s’agir d’une seule suite de chiffrement telle que RC4-SHA.
Il peut représenter une liste de suites de chiffrement contenant un certain algorithme, ou des suites de chiffrement d'un certain type. Par exemple, SHA1 représente toutes les suites de chiffrement utilisant l'algorithme de digestion, SHA1 et SSLv3 représente tous les algorithmes SSL v3.
Les listes de suites de chiffrement peuvent être combinées en une seule chaîne de chiffrement à l'aide du caractère +. Ceci est utilisé comme une logique et une opération. Par exemple, SHA1+DES représente toutes les suites de chiffrement contenant les algorithmes SHA1 et DES.
Chaque chaîne de chiffre peut éventuellement être précédée des caractères !, - ou +.
Si ! est utilisé, les chiffrements sont définitivement supprimés de la liste. Les chiffres supprimés ne pourront jamais réapparaître dans la liste même s'ils sont explicitement indiqués.
Si - est utilisé, les chiffrements sont supprimés de la liste, mais tout ou partie des chiffrements peuvent être ajoutés à nouveau par des options ultérieures.
Si + est utilisé, les chiffres sont déplacés à la fin de la liste. Cette option n'ajoute aucun nouveau chiffrement, elle se contente de déplacer celui qui correspond à celui existant.
Si aucun de ces caractères n'est présent, la chaîne est simplement interprétée comme une liste de chiffres à ajouter à la liste de préférences actuelle.
Si la liste comprend des chiffrements déjà présents, ils seront ignorés : c'est-à-dire qu'ils ne seront pas déplacés à la fin de la liste.
La chaîne de chiffrement @STRENGTH (résistance) peut être utilisée à tout moment pour trier la liste de chiffrement actuelle par ordre de longueur de clé d'algorithme de chiffrement.
La chaîne de chiffrement @SECLEVEL=n peut être utilisée à tout moment pour définir le niveau de sécurité sur n, qui doit être un nombre compris entre zéro et cinq inclus.
Voir SSL_CTX_set_security_level pour une description de la signification de chaque niveau.
La liste de chiffrement peut être préfixée par le mot-clé DEFAULT, qui active la liste de chiffrement par défaut telle que définie ci-dessous.
Contrairement aux chaînes de chiffrement, ce préfixe ne peut pas être combiné avec d'autres chaînes utilisant le caractère +. Par exemple, DEFAULT+DES n'est pas valide.
Le contenu de la liste par défaut est déterminé au moment de la compilation et correspond normalement à "ALL:!COMPLEMENTOFDEFAULT:!eNULL".
Ce qui suit est une liste de toutes les chaînes de chiffrement autorisées et de leurs significations.
COMPLEMENTOFDEFAULT
Les chiffrements inclus dans ALL, mais non activés par défaut. Actuellement, cela inclut tous les chiffrements RC4 et anonymes.
Notez que cette règle ne couvre pas eNULL, qui n'est pas inclus par ALL (utilisez COMPLEMENTOFALL si nécessaire).
Notez que les suites de chiffrement basées sur RC4 ne sont pas intégrées à OpenSSL par défaut (voir l'option activate-weak-ssl-ciphers pour configurer).
ALL
Toutes les suites de chiffrement à l'exception des chiffrements eNULL (qui doivent être explicitement activés si nécessaire).
Depuis OpenSSL 1.0.0, the ALL ciphers - les suites de chiffrement sont judicieusement ordonnées par défaut.
COMPLEMENTOFALL
Les suites de chiffrement non activées par ALL, actuellement eNULL.
HIGH
Suites de chiffrement à cryptage « élevé ». Cela signifie actuellement ceux dont la longueur de clé est supérieure à 128 bits et certaines suites de chiffrement avec des clés de 128 bits.
MEDIUM
Suites de chiffrement à chiffrement « moyen », dont certaines utilisent actuellement un chiffrement à 128 bits.
LOW
Suites de chiffrement à « faible » chiffrement, actuellement celles utilisant des algorithmes de chiffrement de 64 ou 56 bits, mais excluant les suites de chiffrement d'exportation.
Toutes ces suites de chiffrement ont été supprimées depuis OpenSSL 1.1.0.
eNULL, NULL
Les chiffrements « NULL » sont ceux qui n’offrent aucun chiffrement.
Étant donné que ceux-ci n'offrent aucun cryptage et constituent un risque pour la sécurité, ils ne sont activés ni via les chaînes de chiffrement DEFAULT ni ALL.
Soyez prudent lorsque vous créez des listes de chiffrement à partir de primitives de niveau inférieur telles que kRSA ou aECDSA, car celles-ci se chevauchent avec les chiffrements eNULL.
En cas de doute, incluez !eNULL dans votre liste de chiffrement.
aNULL
Les suites de chiffrement n'offrant aucune authentification.
Il s'agit actuellement des algorithmes anonymes DH et des algorithmes anonymes ECDH.
Ces suites de chiffrement sont vulnérables aux attaques de type « homme du milieu » et leur utilisation est donc déconseillée.
Ceux-ci sont exclus des chiffrements DEFAULT, mais inclus dans ALL les chiffrements.
Soyez prudent lorsque vous créez des listes de chiffrement à partir de primitives de niveau inférieur telles que kDHE ou AES, car celles-ci se chevauchent avec les chiffrements aNULL.
En cas de doute, incluez !aNULL dans votre liste de chiffrement.
kRSA, aRSA, RSA
Suites de chiffrement utilisant l'échange de clés RSA ou l'authentification. RSA est un alias pour kRSA.
kDHr, kDHd, kDH
Suites de chiffrement utilisant un accord de clé DH statique et des certificats DH signés par les autorités de certification avec des clés RSA et DSS ou respectivement.
Toutes ces suites de chiffrement ont été supprimées dans OpenSSL 1.1.0.
kDHE, kEDH, DH
Suites de chiffrement utilisant un accord de clé DH éphémère, y compris les suites de chiffrement anonymes.
DHE, EDH
Suites de chiffrement utilisant un accord de clé DH éphémère authentifiée.
ADH
Suites de chiffrement DH anonymes : notez que cela n'inclut pas les suites de chiffrement anonymes à courbe elliptique DH (ECDH).
kEECDH, kECDHE, ECDH
Suites de chiffrement utilisant un accord de clé ECDH éphémère, y compris les suites de chiffrement anonymes.
ECDHE, EECDH
Suites de chiffrement utilisant un accord de clé ECDH éphémère authentifié.
AECDH
Suites de chiffrement Diffie-Hellman à courbe elliptique anonyme.
aDSS, DSS
Suites de chiffrement utilisant l'authentification DSS, c'est-à-dire que les certificats portent des clés DSS.
aDH
Suites de chiffrement utilisant efficacement l'authentification DH, c'est-à-dire que les certificats portent des clés DH.
Toutes ces suites de chiffrement ont été supprimées dans OpenSSL 1.1.0.
aECDSA, ECDSA
Suites de chiffrement utilisant l'authentification ECDSA, c'est-à-dire que les certificats portent des clés ECDSA.
TLSv1.2, TLSv1.0, SSLv3
Répertorie les suites de chiffrement qui ne sont prises en charge que dans au moins TLS v1.2, TLS v1.0 ou SSL v3.0 respectivement.
Remarque : il n'existe aucune suite de chiffrement spécifique à TLS v1.1.
Puisqu'il ne s'agit que de la version minimale, si, par exemple, TLSv1.0 est négocié, les suites de chiffrement TLSv1.0 et SSLv3.0 sont disponibles.
Remarque : ces chaînes de chiffrement ne modifient pas la version négociée de SSL ou TLS, elles affectent uniquement la liste des suites de chiffrement disponibles.
AES128, AES256, AES
Suites de chiffrement utilisant AES 128 bits, AES 256 bits ou AES 128 ou 256 bits.
AESGCM
AES en mode compteur Galois (GCM) : ces suites de chiffrement ne sont prises en charge que dans TLS v1.2.
AESCCM, AESCCM8
AES dans Cipher Block Chaining - Message Authentication Mode (CCM) : ces suites de chiffrement ne sont prises en charge que dans TLS v1.2.
AESCCM fait référence aux suites de chiffrement CCM en utilisant à la fois une valeur de contrôle d'intégrité (ICV) de 16 et 8 octets, tandis que AESCCM8 ne fait référence qu'à une ICV de 8 octets.
ARIA128, ARIA256, ARIA
Suites de chiffrement utilisant ARIA 128 bits, ARIA 256 bits ou ARIA 128 ou 256 bits.
CAMELLIA128, CAMELLIA256, CAMELLIA
Suites de chiffrement utilisant CAMELLIA 128 bits, CAMELLIA 256 bits ou CAMELLIA 128 ou 256 bits.
CHACHA20
Suites de chiffrement utilisant ChaCha20.
3DES
Suites de chiffrement utilisant le triple DES.
DES
Suites de chiffrement utilisant DES (pas triple DES).
Toutes ces suites de chiffrement ont été supprimées dans OpenSSL 1.1.0.
RC4
Suites de chiffrement utilisant RC4.
RC2
Suites de chiffrement utilisant RC2.
IDEA
Suites de chiffrement utilisant IDEA.
SEED
Suites de chiffrement utilisant SEED.
MD5
Suites de chiffrement utilisant MD5.
SHA1, SHA
Suites de chiffrement utilisant SHA1.
SHA256, SHA384
Suites de chiffrement utilisant SHA256 ou SHA384.
aGOST
Suites de chiffrement utilisant GOST R 34.10 (2001 ou 94) pour l'authentification (nécessite un moteur prenant en charge les algorithmes GOST).
aGOST01
Suites de chiffrement utilisant l'authentification GOST R 34.10-2001.
kGOST
Suites de chiffrement, utilisant l'échange de clés VKO 34.10, spécifiées dans la RFC4357 (Additional Cryptographic Algorithms for Use with GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms).
GOST94
Suites de chiffrement, utilisant HMAC basées sur GOST R 34.11-94.
GOST89MAC
Suites de chiffrement utilisant GOST 28147-89 MAC au lieu de HMAC.
PSK
Toutes les suites de chiffrement utilisant des clés pré-partagées (PSK).
kPSK, kECDHEPSK, kDHEPSK, kRSAPSK
Suites de chiffrement utilisant l'échange de clés PSK, ECDHE_PSK, DHE_PSK ou RSA_PSK.
aPSK
Suites de chiffrement utilisant l'authentification PSK (actuellement tous les modes PSK sauf RSA_PSK).
SUITEB128, SUITEB128ONLY, SUITEB192
Active le mode de fonctionnement suite B en utilisant respectivement le niveau de sécurité 128 (autorisant le mode 192 bits par homologue), 128 bits (ne permettant pas le mode 192 bits par homologue) ou 192 bits.
Si elles sont utilisées, ces chaînes de chiffrement doivent apparaître en premier dans la liste de chiffrement et tout ce qui les suit est ignoré.
La définition du mode Suite B a des conséquences supplémentaires nécessaires pour se conformer à la RFC6460 (Suite B Profile for Transport Layer Security (TLS)).
En particulier, les algorithmes de signature pris en charge sont réduits pour prendre en charge uniquement ECDSA et SHA256 ou SHA384,
seules les courbes elliptiques P-256 et P-384 peuvent être utilisées et seules les deux suites de chiffrement conformes à la suite B (ECDHE-ECDSA-AES128-GCM-SHA256 et ECDHE-ECDSA-AES256-GCM-SHA384) sont autorisés.
Les listes suivantes donnent les noms des suites de chiffrement SSL ou TLS de la spécification appropriée et leurs équivalents OpenSSL.
Il convient de noter que plusieurs noms de suites de chiffrement n'incluent pas l'authentification utilisée, par ex. DES-CBC3-SHA.
Dans ces cas, l'authentification RSA est utilisée.
Certaines versions compilées d'OpenSSL peuvent ne pas inclure tous les chiffrements répertoriés ici car certains chiffrements ont été exclus au moment de la compilation.
Liste détaillée de tous les chiffrements OpenSSL, y compris les chiffrements NULL :
Script avec 1 ligne
001$ openssl ciphers -v 'ALL:eNULL'
Incluez tous les chiffrements sauf NULL et DH anonyme, puis triez par force :
Script avec 1 ligne
001$ openssl ciphers -v 'ALL:!ADH:@STRENGTH'
Incluez tous les chiffrements sauf ceux sans cryptage (eNULL) ou sans authentification (aNULL) :
Script avec 1 ligne
001$ openssl ciphers -v 'ALL:!aNULL'
Incluez uniquement les chiffrements 3DES, puis placez les chiffrements RSA en dernier :
Script avec 1 ligne
001$ openssl ciphers -v '3DES:+RSA'
Incluez tous les chiffrements RC4 mais omettez ceux sans authentification :
Script avec 1 ligne
001$ openssl ciphers -v 'RC4:!COMPLEMENTOFDEFAULT'
Incluez tous les chiffrements avec authentification RSA, mais laissez de côté les chiffrements sans chiffrement :
Script avec 1 ligne
001$ openssl ciphers -v 'RSA:!COMPLEMENTOFALL'
Définissez le niveau de sécurité sur 2 et affichez tous les chiffrements cohérents avec le niveau 2 :
Script avec 1 ligne
001$ openssl ciphers -s -v 'ALL:@SECLEVEL=2'
Page source :
Saluations,
Romain.