<div dir="ltr"><div><div>Hi,<br><br></div><div>propabely you discussed this already, but I did not find it in the List:<br></div><br>What do you think about to favor generally DHE ciphers over ECDHE, as long it is not clear which EC curves are save available by clients ans servers?<br>
</div><div>I tried to priorize them also according to BSI TR-02102-2:<br><div style="margin-left:40px"><font>TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f)</font><br><font>TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b)</font><br>
<font>

TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39)</font><br><font>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e)</font><br><font>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67)</font><br><font>TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)</font><br>
<font>TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)</font><br><font>

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)</font><br><font>TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)</font><br><font>TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)</font><br><font>TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)</font><br>
<font>TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)</font><br><font>

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)</font><br><font>TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)</font><br><font>TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)</font><font></font><br>...<br></div></div><div>
<br></div>I do think about to suggest this in our OWASP Project 'Top 10 fuer Entwickler' (<a href="https://www.owasp.org/index.php/Germany/Projekte/Top_10_fuer_Entwickler-2013/A6-Verlust_der_Vertraulichkeit_sensibler_Daten">OWASP: Top 10 fuer Entwickler-2013 (Verteidigungs-Option 2a gegen 'Verlust der Vertraulichkeit sensibler Daten') </a><br>
<div><br></div><div>Any pros or cons?<br><br></div><div>Kind regards<br></div><div>Torsten<br></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">2014-03-09 20:37 GMT+01:00 Aaron Zauner <span dir="ltr"><<a href="mailto:azet@azet.org" target="_blank">azet@azet.org</a>></span>:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
Pepi Zawodsky wrote:<br>
> Actually secp256r1 and secp384r1 are supported in all clients that do ECC.<br>
Those are the mentioned NIST curves :)<br>
<br>
> So if we can really specify a list of ECC curves via OpenSSL that would open a whole bunch of curves we can support server side. We'll need to test this of course.<br>
The problem I see is with verifying the security of those curves. We do<br>
not have proper research to base any recommendation on. The safecurve<br>
stuff by bernstein is nice, but we cannot only refer to one publication.<br>
Also he considers some of the curves to be "unsafe" although some of the<br>
mentioned issues might not have any practical relevance to the security<br>
of the mentioned curve when implemented.<br>
<br>
Dan Boneh (stanford) also recently voiced concern about the NIST cuves<br>
at RSA conference [sic!].<br>
<span class=""><font color="#888888"><br>
Aaron<br>
<br>
</font></span><br>_______________________________________________<br>
Ach mailing list<br>
<a href="mailto:Ach@lists.cert.at">Ach@lists.cert.at</a><br>
<a href="http://lists.cert.at/cgi-bin/mailman/listinfo/ach" target="_blank">http://lists.cert.at/cgi-bin/mailman/listinfo/ach</a><br>
<br></blockquote></div><br></div></div></div></div>