パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SSH での AES-GCM の利用」記事へのコメント

  • なにやら「AES-GCMは危険だと誤解している人がいる」とミスリードさせたがっているようだが
    AES-GCMは危険が危ないからどうたら、という話ではなく
    登場早々、なにやら早速ケチがつき始めているようなので、aes256-gcm@openssh.comすっ飛ばして
    一気にchacha20-poly1305@openssh.com行こうずって人が多いだけの話だろ
    TeraTermがChaCha20未対応で、未だ有志パッチすら存在しないからといって
    いくらAES-GCMの安全性を叫んで布教に励んだところで、問題の本質はそこではないのでその流れも変わらない

    • > AES-GCMは危険が危ないからどうたら、という話ではなく

      このIVの再利用の話を挙げてSSHで使用する暗号方式からAES-GCMを外している人が居たので、実際に危険だと誤解している人はいるようですよ。

      > 登場早々、なにやら早速ケチがつき始めているようなので、

      これが誤解だという話をしています。
      問題の本質は「TLS 1.2の特定の実装でIVを再利用する場合がある」という事で、
      AES-GCMの安全性に問題が見つかったという話ではないので。

      > 一気にchacha20-poly1305@openssh.com行こうずって人が多いだけの話だろ

      chacha20-poly1305はこの話には関係ないのですが。
      AES-GCMよりchacha20-poly1305を優先して使おうというのならば特に問題はありませんが、
      誤解が元でAES-GCMを使わないように設定して、その結果、より劣る方式を使ってしまうのは
      本末転倒なので避けた方がいいよという事で書いています。
      # EtMなMACが使えるのならば AES-CTR + EtM MAC というのもいい選択肢だとは思います

      > TeraTermがChaCha20未対応で、未だ有志パッチすら存在しないからといって

      Tera Termでは次のバージョンでchacha20-poly1305をサポートする予定ですが、
      たとえ現時点でサポートしていてもこの話は書いていました。
      せっかく安定した複数の方式があるのに、誤解が原因で選択肢を狭めるのは問題だと思いますので。

      親コメント

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...