有没有懂密码学的解释一下为什么对称加密的摘要位数要比 AES 的大？

就是 ECDHE-ECDSA-AES256-GCM-SHA384 这种加密套件是可以的
ECDHE-ECDSA-AES256-GCM-SHA256 就不行了
起码最新版的谷歌 55 和最新版的火狐不承认

whx20202

2017-01-08 00:13:36 +08:00

不光是 ECC 啊 RSA 也一样
ECDHE-RSA-AES256-GCM-SHA384 是可以的
ECDHE-RSA-AES256-GCM-SHA256 是不行的

billlee

2017-01-08 01:33:18 +08:00

因为生日攻击，理想摘要算法的强度只有长度的一半

miyuki

2017-01-08 01:44:22 +08:00

New cipher suites MUST explicitly specify a PRF and, in general, SHOULD use the TLS PRF with SHA-256 or a stronger standard hash function.

https://tools.ietf.org/html/rfc5246#section-5
https://blog.helong.info/blog/2015/09/07/tls-protocol-analysis-and-crypto-protocol-design/

iF2007

2017-01-08 01:46:20 +08:00

对称加密用的 Key size 和 Hash function 的长度没有关系。
TLS 1.2 标准定义了很多加密 Key size 比 Hash 长度大的 Ciphersuite ，并且最新的 Chrome 和 Firefox 也支持一些这样的 Ciphersuite 。
可以用 https://cc.dcsec.uni-hannover.de/ 看浏览器支持哪些 Ciphersuite

iF2007

2017-01-08 01:49:25 +08:00

TLS 1.2 定义的 Ciphersuites 见 https://tools.ietf.org/html/rfc5246#page-75

edsgerlin

2017-01-08 11:34:17 +08:00

根据木桶理论， Cipher Suite 中加密最弱的算法决定 Cipher Suite 强度。一般来说 hash function 是比同等位数的 AES 弱的，比如说 MD5(128bit)已经能被攻破了而 AES 128bit 还是好好的。所以一般来说都是配合比 AES 位数更长的 hash function 用。

此外还有一个原因是 NSA Suite B 也是这么推荐的。 128bit AES + 256bit SHA2 + 256bit Elliptic Curve 或者 256bit AES + 384bit SHA2 + 384bit Elliptic Curve 。

国产的商密 Cipher Suite 是 128bit SM1(只有硬件实现)/SM4(允许软件实现) + 256bit SM3 Hash + 256bit SM2 Elliptic Curve ，也差不多是按这个原则设计的。

whx20202

2017-01-08 12:03:57 +08:00

@miyuki 你这个第二个连接挺厉害啊

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/332978

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.