Encryption 对于TLS，哪种算法更强：AES-256还是Camellia-256？

导言： 对于我的个人Web服务器，我使用自签名证书设置了apache，以使TLS安全性能够学习和测试。 我在virtualhost中有一行：

SSLProtocol -all -SSLv3 +TLSv1  
SSLCipherSuite TLSv1:+HIGH:!MEDIUM

使用firefox，我可以获得Camellia-256加密连接，使用opera，我可以获得TLS v1.0 256位AES（1024位DHE_RSA/SHA），在同一台服务器上使用相同的配置

这就引出了一个问题，到底是艾斯，还是茶花

我注意到，如果我用

sslciphersuitetlsv1:+HIGH:+禁用camellia！中等：！CAMELLIA

那么，firefox与opera拥有相同的套件

---

在我的配置中，我还尝试禁用所有SSL版本以仅启用TLS（如果我没有正确执行，则需要提供建议），但最初的问题仍然存在：哪一个更强大？

很难判断这些算法的强大程度。Camellia被认为在安全性方面大致相当于AES（）。在任何情况下，差异可能都无关紧要。这两种算法都足够安全，使您的数据通道不再是系统中最薄弱的环节，因此您无需修改任何配置

我更担心的是，您的SSL加密不安全，因为您仅使用1024位非对称加密来保护密钥

Adi Shamir（RSA中的“S”）在2006年建议迁移到2048位密钥，甚至美国标准协会（NIST）也从2011年1月起将2048位作为所需的最小密钥强度（请参阅NIST SP800-57了解建议的最小密钥强度——这说明RSA和DH/el gamal的最小密钥强度均为2048位）

简而言之，首先确保RSA加密足够强大，因为它用于保护对称密钥（AES/Camellia）。永远不要依赖受较弱密钥保护的密钥（这就像在无线接入点上使用安全的256位随机WPA 2密钥，然后将其信任给WPS，WPS将在几小时内泄露！）

即使这是一个测试系统，也要学会按照你想要的方式使用密码；不要在证书密钥强度上妥协（现在所有CA都应该拒绝1024位请求或使用MD5的CSR，如果不使用它们的话；像创建真实请求一样创建自己的测试证书，并且不要使用默认密钥大小）

很难比较两者的优势，它们都接受过加密分析（AES更公开），并且足以保护数据

---

冒着重复我自己的风险，我会更担心用于保护密钥协商的1024位。

OpenSSL密码列表TLSv1:+HIGH是一个非常糟糕的选择。“+something”表示将与“something”匹配的所有密码移到列表的末尾。 因此，您使用HIGH只是作为最后的手段，任何不高的东西都是首选的

---

更好的选择是“DEFAULT:！MEDIUM:！LOW:！EXPORT:+3DES”，它以合理的默认值开始，删除MEDIUM、LOW和EXPORT，最后使用3DES（无论如何可能是这样，但在某些系统上它在AES128之前，因为它可能被认为是168位强的）.

可能更适合IT安全：在那里没有帐户，但如果有人可以将它移动到那里@OleksiThanks，这是我需要知道的。但出于好奇，你知道为什么opera默认选择AES，firefox默认选择Camelia吗？@StormByte：推理包含在NSS库源代码中，有些复杂，但与安全性无关。这与支持国家虚荣算法的愿望有关。这里有更详细的解释：鉴于最近的Sweet32漏洞，你应该真正停止使用3DES，除非你被迫支持Windows XP，在这种情况下，我怀疑安全性是一个问题。