Vlákno názorů k článku TLS 1.3 plné novinek: vylepšená bezpečnost a vyšší rychlost od Miroslav Šilhavý - Co mi na TLS 1.3 není jasné je...

Co mi na TLS 1.3 není jasné je to, že podle specifikace musí být zapnuta podpora secp256r1 a AES128 (konkrétně TLS_AES_128_GCM_S­HA256), které jsou dnes považovány za bezpečné, ale rozhodně ne už na špici bezpečnosti.

Přemýšlím, jakým způsobem bude TLS 1.3 reagovat na požadavky vývoje, až bude AES128 definitivně považován za slabý. V tu chvíli, jestli tomu správně rozumím, bude muset vzniknout TLS 1.4 s novou specifikací, reflektující dobu...? Neví někdo, jak je to míněno?

Asi je užitečné mít nějakou spodní hranici/nejjed­nodušší společný standard, ony ty silnější šifry asi budou i HW náročné.

AES 128 už tu je nějako dobu a i na embeded zařízeních už bude celkem slušně optimalizovaný.

> Přemýšlím, jakým způsobem bude TLS 1.3 reagovat na požadavky vývoje, až
> bude AES128 definitivně považován za slabý. V tu chvíli, jestli tomu správně
> rozumím, bude muset vzniknout TLS 1.4 s novou specifikací, reflektující dobu...?
> Neví někdo, jak je to míněno?

Reakce může být podobná jako v případě TLS 1.2, tzn. vznikne nové RFC (viz např. RFC 7465 zakazující RC4 pro TLS 1.2).

Přijde mi rozumné, že do povinných šifrovacích sad zahrnuli jak blokovou (AES), tak proudovou šifru (Chacha).

… až na to, že AES-GCM je fakticky proudová šifra. Módy jako GCM, CTR a CCM z blokových šifer dělají proudové.