Internet Infrastructure Review（IIR）Vol.31
2016年6月13日発行

3.2 適切な暗号スイート

TLS 1.2を定めたRFC 5246で実装が必須とされている暗号スイートは、TLS_RSA_WITH_AES_128_CBC_SHAです。これは以下のような意味です。

• 鍵交換はRSA
• サーバ認証もRSA
• 通信の暗号化はAESのCBCモード
• MACを生成する関数がSHA1

HTTP/2で必須とされ、RFC 7525で第一候補にすべきとされているTLS 1.2の暗号スイートは、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256です。これは、以下のように解釈します。

• 鍵交換は使い捨て楕円Diffie Hellman（ECDHE：EllipticCurve Diffie Hellman, Ephemeral）
• サーバ認証はRSA
• 通信の暗号化はAES 128のGCM（Galois/Counter Model）モード
• ハッシュ関数がSHA256

TLS 1.3では、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256に加えてTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256の実装も必須としています。サーバ認証が、RSAからECDSA（楕円暗号を用いたDSA）に変わっただけですね。

次に、このように推奨される暗号スイートが変化した理由を説明します。