Jos käytössä on TLS 1.2, noudatetaan seuraavia ohjeita.


Avainten vaihto (TLS 1.2)

Jos järjestelmä ei ole kansallisesti turvallisuusluokiteltu, avaintenvaihdossa on käytettävä ECDHE- tai DHE-menetelmiä. Käytettäessä ECDHE-menetelmää tulee avaimen pituuden olla vähintään 256 bittiä, DHE-menetelmää käytettäessä 2048 bittiä. Nämä avaimenpituus- ja algoritmisuositukset tulee säännöllisesti tarkistaa, jotta edistysaskeleet kryptoanalyysissä otetaan huomioon. Pitkäikäisiksi tarkoitetuissa järjestelmissä pitää huomioida se, että käytettyjä algoritmeja ja avainpituuksia pitää pystyä vaihtamaan tarvittaessa.

Jos järjestelmä on kansallisesti turvallisuusluokiteltu, avainpituuksissa pitää noudattaa Kyberturvallisuuskeskuksen asettamia kryptografisia vahvuusvaatimuksia (ks. Lähteet ja lisätietoja).

Elliptisten käyrien menetelmiä (ECC) käytettäessä tulee kaikki käytettävät käyrät luetella konfiguraatiossa.

Suositeltuja käytettäviä käyriä ovat

  • BrainpoolP256r1,
  • BrainpoolP384r1,
  • BrainpoolP512r1,
  • NIST Curve P-224,
  • NIST Curve P-256,
  • NIST Curve P-384 ja
  • NIST Curve P-521.




Allekirjoitus (TLS 1.2)

Jos järjestelmä ei ole kansallisesti turvallisuusluokiteltu, allekirjoitusalgoritmina voidaan käyttää joko ECDSA- tai RSA-algoritmia. ECDSA-avaimen pituus tulee olla vähintään 256 bittiä ja RSA-avaimen 2048 bittiä.

Nämä avaimenpituus- ja algoritmisuositukset tulee säännöllisesti tarkistaa, jotta edistysaskeleet kryptoanalyysissä otetaan huomioon. Pitkäikäisiksi tarkoitetuissa järjestelmissä pitää huomioida se, että käytettyjä algoritmeja ja avainpituuksia pitää pystyä vaihtamaan tarvittaessa.

Jos järjestelmä on kansallisesti turvallisuusluokiteltu, avainpituuksissa pitää noudattaa Kyberturvallisuuskeskuksen asettamia kryptografisia vahvuusvaatimuksia (ks. Lähteet ja lisätietoja).




Symmetrinen salaus (TLS 1.2)

Salausalgoritmina tulee olla AES käyttäen joko 128-bittistä tai 256-bittistä avainta. Salausmoodin on oltava GCM (Galois/Counter Mode). CBC-salausmoodin (Cipher-Block-Chaining) käyttöön liittyy riski ns. padding oracle -hyökkäsiin, joten sen käyttö ei ole enää suositeltavaa.

Nämä avaimenpituus- ja algoritmisuositukset tulee säännöllisesti tarkistaa, jotta edistysaskeleet kryptoanalyysissä otetaan huomioon. Pitkäikäisiksi tarkoitetuissa järjestelmissä pitää huomioida se, että käytettyjä algoritmeja ja avainpituuksia pitää pystyä vaihtamaan tarvittaessa.

Jos järjestelmä on kansallisesti turvallisuusluokiteltu, avainpituuksissa pitää noudattaa Kyberturvallisuuskeskuksen asettamia kryptografisia vahvuusvaatimuksia (ks. Lähteet ja lisätietoja).




Tiivistefunktiot (TLS 1.2)

Tiivistefunktion pitää olla joko SHA-256, SHA-384, SHA-512 tai SHA-3.

Nämä algoritmisuositukset tulee säännöllisesti tarkistaa, jotta edistysaskeleet kryptoanalyysissä otetaan huomioon. Pitkäikäisiksi tarkoitetuissa järjestelmissä pitää huomioida se, että käytettyjä algoritmeja ja avainpituuksia pitää pystyä vaihtamaan tarvittaessa.

Jos järjestelmä on kansallisesti turvallisuusluokiteltu, tiivistefunktion valinnassa pitää noudattaa Kyberturvallisuuskeskuksen asettamia kryptografisia vahvuusvaatimuksia (ks. Lähteet ja lisätietoja).




Salausalgoritmimäärityksistä


Heikot salausalgoritmimääritykset

Alla oleva määritykset ovat heikkoja, koska niissä käytetään CBC-salausmoodia, joten niitä ei tule enää käyttää. Määritykset on nimetty OpenSSL CipherSuiten mukaisesti.

DHE-RSA-AES256-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
DHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256

TLS-salausalgoritmimääritykset (TLS 1.2)

Ehdot täyttävät TLS 1.2 -algoritmit OpenSSL CipherSuite -nimillä (*

DHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256

*) Järjestelmät, joita ei ole turvallisuusluokiteltu

TLS 1.3

TLS 1.3 -protokollan algoritmit määritellään TLS 1.3-protokollan määrittelyissä ja toteutusten tulee seurata tätä, ellei toimivaltainen viranomainen ole antanut eri ohjetta tiettyä käyttötarkoitusta varten.

RFC 8446: TLS 1.3