NOM¶
ciphers - Outil d'affichage et de liste de chiffrements SSL
SYNOPSIS¶
openssl ciphers [
-v] [
-V] [
-ssl2]
[
-ssl3] [
-tls1] [
listechiffrements]
DESCRIPTION¶
La commande
ciphers convertit les listes de chiffrements OpenSSL au
format texte en listes de chiffrements SSL triées par
préférence. Elle peut être employée comme test afin de
déterminer la liste de chiffrements appropriée.
OPTIONS DE LA COMMANDE¶
- -v
- Option bavarde. Affiche des types de chiffrement avec une
description complète du protocole (SSLv2 ou SSLv3 ; ce dernier inclut
TLS), échange de clef, authentification, chiffrement et algorithmes
mac utilisés ainsi que les restrictions sur la longueur des clefs et
une indication si l'algorithme est classé en tant que chiffrement
« export ». Remarquez que sans l'option -v, les
chiffrements peuvent sembler apparaître en double dans une
liste ; c'est le cas lorsque des chiffrements similaires sont
disponibles pour SSL v2 et SSL v3 ou TLS v1.
- -V
- Comme -v, mais contient les codes des suites de
chiffrement dans la sortie (format hexadécimal).
- -ssl3
- N'afficher que les chiffrements SSL v3.
- -ssl2
- N'afficher que les chiffrements SSL v2.
- -tls1
- N'afficher que les chiffrements TLS v1.
- -h, -?
- Afficher un bref descriptif d'utilisation.
- listechiffrements
- Une liste de types de chiffrement à convertir en liste
de préférences de chiffrement. Sans cette option, la liste de
chiffrements par défaut sera utilisée. Le format est décrit
ci-dessous.
La liste de chiffrements contient une ou plusieurs chaînes de chiffrements,
séparées par des deux-points (« : »). Les
virgules et points-virgules sont également des séparateurs valables,
mais d'habitude, les deux-points sont utilisés.
La chaîne de chiffrements se présente sous différentes formes.
Elle peut être une seule suite de chiffrements comme
RC4-SHA.
Elle peut être une liste de suites de chiffrements, contenant un certain
algorithme, ou des suites de chiffrements d'un type précis. Par exemple,
SHA1 représente toutes les suites utilisant l'algorithme de
signature SHA1 et
SSLv3 tous les algorithmes SSL v3.
Les listes de suites de chiffrements peuvent être combinées en une
seule chaîne de chiffrements en utilisant le caractère
+.
Cela correspond à une opération logique
ET. Par exemple,
SHA1+DES représente toutes les suites de chiffrements contenant
à la fois les algorithmes SHA1
ET DES.
Toute chaîne de chiffrements peut être précédée par les
caractères
!,
- ou
+.
Si
! est utilisé, alors les chiffrements sont définitivement
supprimés de la liste. Les chiffrements supprimés ne peuvent pas
réapparaître dans la liste même s'ils sont nommés
explicitement.
Si
- est utilisé, les chiffrements sont également
supprimés de la liste, mais certains ou tous les chiffrements peuvent
être rajoutés par la suite par des options supplémentaires.
Si
+ est utilisé, les chiffrements sont déplacés en fin de
liste. Cette option n'ajoute aucun nouveau chiffrement, seuls les chiffrements
existants sont déplacés.
Si aucun de ces caractères n'est présent, la chaîne est
uniquement interprétée en tant que liste de chiffrements à
ajouter à la liste de préférences actuelle. Tous les
chiffrements qui sont déjà présents sont ignorés ;
ils ne seront pas déplacés à la fin de la liste.
De plus, la chaîne de chiffrements
@STRENGTH peut
être employée à n'importe quel endroit afin de trier la liste
de chiffrements actuelle en fonction de la longueur de la clef de l'algorithme
de codage.
CHAÎNES DE CHIFFREMENT¶
Voici une liste de toutes les chaînes de chiffrements permises et de leur
signification.
- DEFAULT
- La liste de chiffrements par défaut. Elle est
déterminée lors de la compilation et, depuis OpenSSL 1.0.0,
vaut normalement ALL:!aNULL:!eNULL. Si présente, elle doit
être la première chaîne de chiffrements indiquée.
- COMPLEMENTOFDEFAULT
- Les algorithmes inclus dans ALL, mais
désactivés par défaut. Actuellement il s'agit de
ADH. Notez que cette règle ne couvre pas eNULL, qui
n'est pas inclus dans ALL (utilisez COMPLEMENTOFALL si
nécessaire).
- ALL
- Toutes les suites de chiffrements à part les
chiffrements eNULL qui doivent être activés
explicitement. Avec OpenSSL, les suites de chiffrements ALL sont
ordonnées de façon raisonnable par défaut.
- COMPLEMENTOFALL
- Les suites d'algorithmes de chiffrement qui ne sont pas
activées par ALL. Actuellement, il s'agit de
eNULL.
- HIGH
- Les suites à chiffrements
« forts ». Cela signifie actuellement que la clef de
chiffrement doit avoir une longueur supérieure ou égale à
128 octets.
- MEDIUM
- Les suites à chiffrements
« moyens ». Certaines d'entre elles ont des clefs de
chiffrement d'une longueur égale à 128 octets.
- LOW
- Les suites à chiffrements
« faibles ». Cela signifie actuellement que la clef de
chiffrement doit avoir une longueur de 56 ou 64 octets, mais les
suites dites d'exportation sont traitées à part.
- EXP, EXPORT
- Les algorithmes de chiffrement d'exportation, incluant les
algorithmes de 40 et 56 octets.
- EXPORT40
- Les algorithmes de chiffrement d'exportation de
40 bits.
- EXPORT56
- Les algorithmes de chiffrement d'exportation de
56 bits. Dans OpenSSL 0.9.8c et les versions suivantes
l'ensemble des chiffrements d'exportation de 56 bits est vide à
moins qu'OpenSSL n'ait été configuré explicitement pour
gérer ces chiffrements expérimentaux.
- eNULL, NULL
- Les chiffrements « NULL » correspondent
à l'absence de chiffrement. Parce qu'il n'y a pas de chiffrement et
qu'ils représentent ainsi un risque de sécurité important,
ils sont désactivés sauf s'ils sont cités
explicitement.
- aNULL
- Les suites de chiffrements sans authentification. Il s'agit
actuellement des algorithmes anonymes DH. Ces suites de chiffrements sont
vulnérables à des attaques dites d'« homme au
milieu » (« man in the middle ») et leur
utilisation est déconseillée.
- kRSA, RSA
- Suites de chiffrements utilisant l'échange de clef
RSA.
- kEDH
- Suites de chiffrements utilisant l'accord de clef
éphémère DH.
- kDHr, kDHd
- Suites de chiffrements utilisant la distribution de clefs
DH ainsi que des certificats DH signés par des autorités de
certification utilisant des clefs RSA et DSS respectivement. Non
implémentés.
- aRSA
- Suites de chiffrements utilisant l'authentification RSA,
c'est-à-dire que les certificats portent une clef RSA.
- aDSS, DSS
- Suites de chiffrements utilisant l'authentification DSS,
c'est-à-dire que les certificats portent une clef DSS.
- aDH
- Suites de chiffrements utilisant effectivement
l'authentification DH, c'est-à-dire que les certificats portent une
clef DH. Non implémentés.
- kFZA, aFZA, eFZA, FZA
- Suites de chiffrements utilisant l'échange de clef,
l'authentification, le chiffrement ou tous les algorithmes FORTEZZA. Non
implémentés.
- TLSv1, SSLv3, SSLv2
- Suites de chiffrements TLS v1.0, SSL v3.0 ou
SSL v2.0 respectivement.
- DH
- Suites de chiffrements utilisant DH, y compris DH
anonyme.
- ADH
- Suites de chiffrements DH anonymes.
- AES
- Suites de chiffrements utilisant AES.
- CAMELLIA
- Suites de chiffrements utilisant Camellia.
- 3DES
- Suites de chiffrements utilisant le triple DES.
- DES
- Suites de chiffrements utilisant le DES simple (pas le
triple DES).
- RC4
- Suites de chiffrements utilisant RC4.
- RC2
- Suites de chiffrements utilisant RC2.
- IDEA
- Suites de chiffrements utilisant IDEA.
- SEED
- Suites de chiffrements utilisant SEED.
- MD5
- Suites de chiffrements utilisant MD5.
- SHA1, SHA
- Suites de chiffrements utilisant SHA1.
- aGOST
- Suites de chiffrements utilisant GOST R 34.10 (2001 ou 94)
pour l'authentification (nécessite un moteur prenant en charge les
algorithmes GOST).
- aGOST01
- Suites de chiffrements utilisant l'authentification GOST R
34.10-2001.
- aGOST94
- Suites de chiffrements utilisant l'authentification GOST R
34.10-94 (remarquez que la norme R 34.10-94 est arrivée à
expiration, l'utilisation de GOST R 34.10-2001 est donc
préférable).
- kGOST
- Suites de chiffrements, utilisant l'échange de clef
VKO 34.10, spécifiés dans la RFC 4357.
- GOST94
- Suites de chiffrements utilisant HMAC basé sur GOST R
34.11-94.
- GOST89MAC
- Suites de chiffrements utilisant GOST 28147-89 MAC au
lieu de HMAC.
NOMS DES SUITES DE CHIFFREMENTS¶
La liste suivante donne les noms des suites de chiffrements SSL ou TLS partant
de la spécification correspondante et leurs équivalents OpenSSL. Il
faut noter que le nom de plusieurs suites de chiffrements n'inclut pas le type
d'authentification utilisé, par exemple DES-CBC3-SHA. Dans ces cas,
l'authentification RSA est utilisée.
Suites de chiffrements SSL v3.0.¶
SSL_RSA_WITH_NULL_MD5 NULL-MD5
SSL_RSA_WITH_NULL_SHA NULL-SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5 EXP-RC4-MD5
SSL_RSA_WITH_RC4_128_MD5 RC4-MD5
SSL_RSA_WITH_RC4_128_SHA RC4-SHA
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 EXP-RC2-CBC-MD5
SSL_RSA_WITH_IDEA_CBC_SHA IDEA-CBC-SHA
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-DES-CBC-SHA
SSL_RSA_WITH_DES_CBC_SHA DES-CBC-SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHA
SSL_DH_DSS_EXPORT_WITH_DES40_CBC_SHA Pas implémenté.
SSL_DH_DSS_WITH_DES_CBC_SHA Pas implémenté.
SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA Pas implémenté.
SSL_DH_RSA_EXPORT_WITH_DES40_CBC_SHA Pas implémenté.
SSL_DH_RSA_WITH_DES_CBC_SHA Pas implémenté.
SSL_DH_RSA_WITH_3DES_EDE_CBC_SHA Pas implémenté.
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-DSS-DES-CBC-SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA EDH-DSS-CBC-SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA EDH-DSS-DES-CBC3-SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-RSA-DES-CBC-SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA EDH-RSA-DES-CBC-SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHA
SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 EXP-ADH-RC4-MD5
SSL_DH_anon_WITH_RC4_128_MD5 ADH-RC4-MD5
SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA EXP-ADH-DES-CBC-SHA
SSL_DH_anon_WITH_DES_CBC_SHA ADH-DES-CBC-SHA
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA ADH-DES-CBC3-SHA
SSL_FORTEZZA_KEA_WITH_NULL_SHA Pas implémenté.
SSL_FORTEZZA_KEA_WITH_FORTEZZA_CBC_SHA Pas implémenté.
SSL_FORTEZZA_KEA_WITH_RC4_128_SHA Pas implémenté.
Suites de chiffrements TLS v1.0.¶
TLS_RSA_WITH_NULL_MD5 NULL-MD5
TLS_RSA_WITH_NULL_SHA NULL-SHA
TLS_RSA_EXPORT_WITH_RC4_40_MD5 EXP-RC4-MD5
TLS_RSA_WITH_RC4_128_MD5 RC4-MD5
TLS_RSA_WITH_RC4_128_SHA RC4-SHA
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 EXP-RC2-CBC-MD5
TLS_RSA_WITH_IDEA_CBC_SHA IDEA-CBC-SHA
TLS_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-DES-CBC-SHA
TLS_RSA_WITH_DES_CBC_SHA DES-CBC-SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHA
TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA Pas implémenté.
TLS_DH_DSS_WITH_DES_CBC_SHA Pas implémenté.
TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA Pas implémenté.
TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA Pas implémenté.
TLS_DH_RSA_WITH_DES_CBC_SHA Pas implémenté.
TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA Pas implémenté.
TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-DSS-DES-CBC-SHA
TLS_DHE_DSS_WITH_DES_CBC_SHA EDH-DSS-CBC-SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA EDH-DSS-DES-CBC3-SHA
TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-RSA-DES-CBC-SHA
TLS_DHE_RSA_WITH_DES_CBC_SHA EDH-RSA-DES-CBC-SHA
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHA
TLS_DH_anon_EXPORT_WITH_RC4_40_MD5 EXP-ADH-RC4-MD5
TLS_DH_anon_WITH_RC4_128_MD5 ADH-RC4-MD5
TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA EXP-ADH-DES-CBC-SHA
TLS_DH_anon_WITH_DES_CBC_SHA ADH-DES-CBC-SHA
TLS_DH_anon_WITH_3DES_EDE_CBC_SHA ADH-DES-CBC3-SHA
Suites de chiffrements AES de la RFC 3268, extension pour
TLS v1.0¶
TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHA
TLS_RSA_WITH_AES_256_CBC_SHA AES256-SHA
TLS_DH_DSS_WITH_AES_128_CBC_SHA Pas implémenté.
TLS_DH_DSS_WITH_AES_256_CBC_SHA Pas implémenté.
TLS_DH_RSA_WITH_AES_128_CBC_SHA Pas implémenté.
TLS_DH_RSA_WITH_AES_256_CBC_SHA Pas implémenté.
TLS_DHE_DSS_WITH_AES_128_CBC_SHA DHE-DSS-AES128-SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA DHE-DSS-AES256-SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE-RSA-AES128-SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE-RSA-AES256-SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA ADH-AES128-SHA
TLS_DH_anon_WITH_AES_256_CBC_SHA ADH-AES256-SHA
Suites de chiffrements Camellia de la RFC 4132, extension
pour TLS v1.0¶
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA CAMELLIA128-SHA
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA CAMELLIA256-SHA
TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA Pas implémenté.
TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA Pas implémenté.
TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA Pas implémenté.
TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA Pas implémenté.
TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA DHE-DSS-CAMELLIA128-SHA
TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA DHE-DSS-CAMELLIA256-SHA
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA DHE-RSA-CAMELLIA128-SHA
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA DHE-RSA-CAMELLIA256-SHA
TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA ADH-CAMELLIA128-SHA
TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA ADH-CAMELLIA256-SHA
Suites de chiffrements SEED de la RFC 4162, extension pour
TLS v1.0¶
TLS_RSA_WITH_SEED_CBC_SHA SEED-SHA
TLS_DH_DSS_WITH_SEED_CBC_SHA Pas implémenté.
TLS_DH_RSA_WITH_SEED_CBC_SHA Pas implémenté.
TLS_DHE_DSS_WITH_SEED_CBC_SHA DHE-DSS-SEED-SHA
TLS_DHE_RSA_WITH_SEED_CBC_SHA DHE-RSA-SEED-SHA
TLS_DH_anon_WITH_SEED_CBC_SHA ADH-SEED-SHA
Suites de chiffrements GOST de la draft-chudov-cryptopro-cptls,
extension pour TLS v1.0¶
Remarque : ces chiffrements nécessitent un moteur incluant les
algorithmes cryptographiques GOST, comme le moteur
ccgost inclus dans
la distribution OpenSSL.
TLS_GOSTR341094_WITH_28147_CNT_IMIT GOST94-GOST89-GOST89
TLS_GOSTR341001_WITH_28147_CNT_IMIT GOST2001-GOST89-GOST89
TLS_GOSTR341094_WITH_NULL_GOSTR3411 GOST94-NULL-GOST94
TLS_GOSTR341001_WITH_NULL_GOSTR3411 GOST2001-NULL-GOST94
Suites de chiffrements additionnelles Export 1024 et autres¶
Remarque : ces chiffrements peuvent aussi être utilisés pour
SSL v3.
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA EXP1024-DES-CBC-SHA
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA EXP1024-RC4-SHA
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA EXP1024-DHE-DSS-DES-CBC-SHA
TLS_DHE_DSS_EXPORT1024_WITH_RC4_56_SHA EXP1024-DHE-DSS-RC4-SHA
TLS_DHE_DSS_WITH_RC4_128_SHA DHE-DSS-RC4-SHA
Suites de chiffrements SSL v2.0.¶
SSL_CK_RC4_128_WITH_MD5 RC4-MD5
SSL_CK_RC4_128_EXPORT40_WITH_MD5 EXP-RC4-MD5
SSL_CK_RC2_128_CBC_WITH_MD5 RC2-MD5
SSL_CK_RC2_128_CBC_EXPORT40_WITH_MD5 EXP-RC2-MD5
SSL_CK_IDEA_128_CBC_WITH_MD5 IDEA-CBC-MD5
SSL_CK_DES_64_CBC_WITH_MD5 DES-CBC-MD5
SSL_CK_DES_192_EDE3_CBC_WITH_MD5 DES-CBC3-MD5
NOTES¶
Les modes non éphémères de DH ne sont pas implémentés
actuellement dans OpenSSL car il n'y a pas de prise en charge des certificats
DH.
Certaines versions compilées d'OpenSSL peuvent ne pas inclure tous les
types de chiffrement indiqués ici en raison du paramétrage lors de
la compilation.
EXEMPLES¶
Liste bavarde de tous les chiffrements OpenSSL incluant les chiffrements
NULL :
openssl ciphers -v 'ALL:eNULL'
Inclure tous les chiffrements sauf NULL et DH anonyme, puis trier par
force :
openssl ciphers -v 'ALL:!ADH:@STRENGTH'
Inclure seulement les chiffrements 3DES puis ajouter les chiffrements RSA à
la fin :
openssl ciphers -v '3DES:+RSA'
Inclure tous les chiffrements utilisant RC4, mais laisser de côté ceux
sans authentification :
openssl ciphers -v 'RC4:!COMPLEMENTOFDEFAULT'
Inclure tous les chiffrements avec une authentification RSA, mais laisser de
côté ceux sans chiffrement.
openssl ciphers -v 'RSA:!COMPLEMENTOFALL'
VOIR AUSSI¶
s_client(1),
s_server(1),
ssl(3)
HISTORIQUE¶
Les options de sélection
COMPLEMENTOFALL et
COMPLEMENTOFDEFAULT pour les chaînes de listes de chiffrement ont
été ajoutées dans OpenSSL 0.9.7. L'option
-V pour
la commande
ciphers a été ajoutée dans
OpenSSL 1.0.0.
TRADUCTION¶
Cette page de manuel a été traduite par stolck en 2002 et est
maintenue par la liste <debian-l10n-french AT lists DOT debian DOT org>.
Veuillez signaler toute erreur de traduction par un rapport de bogue sur le
paquet manpages-fr-extra.