Unix-commands-ciphers
提供:Dev Guides
-Unix、Linuxコマンド
link:/unix_commands/index [previous] link:/unix_commands/index [next] [[1]] php [AddThis Social Bookmark Button]
NAME
概要
*opensslciphers-v-ssl2-ssl3-tls1cipherlist*説明
暗号リスト SSL
コマンドオプション
| Tag | Description |
|---|---|
| *-v * | verbose option. List ciphers with a complete description of protocol version (SSLv2 or SSLv3; the latter includes TLS), key exchange, authentication, encryption and mac algorithms used along with any key size restrictions and whether the algorithm is classed as an export cipher. Note that without the* -v* option, ciphers may seem to appear twice in a cipher list; this is when similar ciphers are available for SSL v2 and for SSL v3/TLS v1. |
| -ssl3 | only include SSL v3 ciphers. |
| -ssl2 | only include SSL v2 ciphers. |
| -tls1 | only include TLS v1 ciphers. |
| -h, -? | print a brief usage message. |
| cipherlist | a cipher list to convert to a cipher preference list. If it is not included then the default cipher list will be used. The format is described below. |
暗号リストの形式
暗号文字列
実際の暗号文字列は、いくつかの異なる形式を取ることができます。
*RC4-SHA* などの単一の暗号スイートで構成できます。特定のアルゴリズムを含む暗号スイートのリスト、または特定のタイプの暗号スイートを表すことができます。 たとえば、 SHA1 はダイジェストアルゴリズムSHA1を使用するすべての暗号スイートを表し、 SSLv3 はすべてのSSL v3アルゴリズムを表します。
暗号スイートのリストは、 + 文字を使用して単一の暗号文字列に結合できます。 これは、論理的な and 操作として使用されます。 たとえば、 SHA1 + DES は、SHA1 および DESアルゴリズムを含むすべての暗号スイートを表します。
オプションで、各暗号文字列の前に文字*!を付けることができます。 * または *+ 。
- !*を使用すると、暗号はリストから完全に削除されます。 削除された暗号は、明示的に指定されていても、リストに再表示されることはありません。
- -*を使用すると、暗号はリストから削除されますが、一部またはすべての暗号は後のオプションで再度追加できます。
*+* を使用すると、暗号はリストの最後に移動します。 このオプションは新しい暗号を追加せず、既存の暗号と一致するものを移動するだけです。これらの文字が存在しない場合、文字列は現在の優先リストに追加される暗号のリストとして解釈されます。 リストにすでに存在する暗号が含まれている場合、それらは無視されます。つまり、リストの最後に移動されません。
さらに、暗号文字列 @ STRENGTH を任意の時点で使用して、暗号化アルゴリズムのキーの長さの順に現在の暗号リストをソートできます。
暗号文字列
| Tag | Description |
|---|---|
| *DEFAULT * | the default cipher list. This is determined at compile time and is normally* AES:ALL:!aNULL:!eNULL:+RC4:@STRENGTH*. This must be the first cipher string specified. |
| *COMPLEMENTOFDEFAULT * | the ciphers included in* ALL*, but not enabled by default. Currently this is ADH. Note that this rule does not cover eNULL, which is not included by ALL *(use COMPLEMENTOFALL* if necessary). |
| *ALL * | all ciphers suites except the* eNULL* ciphers which must be explicitly enabled. |
| *COMPLEMENTOFALL * | the cipher suites not enabled by* ALL*, currently being eNULL. |
| HIGH | high encryption cipher suites. This currently means those with key lengths larger than 128 bits, and some cipher suites with 128-bit keys. |
| MEDIUM | medium encryption cipher suites, currently some of those using 128 bit encryption. |
| LOW | low encryption cipher suites, currently those using 64 or 56 bit encryption algorithms but excluding export cipher suites. |
| EXP, EXPORT | export encryption algorithms. Including 40 and 56 bits algorithms. |
| EXPORT40 | 40 bit export encryption algorithms |
| EXPORT56 | 56 bit export encryption algorithms. In OpenSSL 0.9.8c and later the set of 56 bit export ciphers is empty unless OpenSSL has been explicitly configured with support for experimental ciphers. |
| eNULL, NULL | the NULL ciphers that is those offering no encryption. Because these offer no encryption at all and are a security risk they are disabled unless explicitly included. |
| aNULL | the cipher suites offering no authentication. This is currently the anonymous DH algorithms. These cipher suites are vulnerable to a man in the middle attack and so their use is normally discouraged. |
| kRSA, RSA | cipher suites using RSA key exchange. |
| kEDH | cipher suites using ephemeral DH key agreement. |
| kDHr, kDHd | cipher suites using DH key agreement and DH certificates signed by CAs with RSA and DSS keys respectively. Not implemented. |
| aRSA | cipher suites using RSA authentication, i.e. the certificates carry RSA keys. |
| aDSS, DSS | cipher suites using DSS authentication, i.e. the certificates carry DSS keys. |
| aDH | cipher suites effectively using DH authentication, i.e. the certificates carry DH keys. Not implemented. |
| kFZA, aFZA, eFZA, FZA | ciphers suites using FORTEZZA key exchange, authentication, encryption or all FORTEZZA algorithms. Not implemented. |
| TLSv1, SSLv3, SSLv2 | TLS v1.0, SSL v3.0 or SSL v2.0 cipher suites respectively. |
| DH | cipher suites using DH, including anonymous DH. |
| ADH | anonymous DH cipher suites. |
| AES | cipher suites using AES. |
| CAMELLIA | cipher suites using Camellia. |
| 3DES | cipher suites using triple DES. |
| DES | cipher suites using DES (not triple DES). |
| RC4 | cipher suites using RC4. |
| RC2 | cipher suites using RC2. |
| IDEA | cipher suites using IDEA. |
| SEED | cipher suites using SEED. |
| MD5 | cipher suites using MD5. |
| SHA1, SHA | cipher suites using SHA1. |
シファースイートの名前
SSLTLSDES-CBC3-SHARSA
SSL v3.0暗号スイート。
++
| SSL_RSA_WITH_NULL_MD5 NULL-MD5 SSL_RSA_WITH_NULL_SHA NULL-SHA SSL_RSA_EXPORT_WITH_RC4_40_MD5 EXP-RC4-MD5 SSL_RSA_WITH_RC4_128_MD5 RC4-MD5 SSL_RSA_WITH_RC4_128_SHA RC4-SHA SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 EXP-RC2-CBC-MD5 SSL_RSA_WITH_IDEA_CBC_SHA IDEA-CBC-SHA SSL_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-DES-CBC-SHA SSL_RSA_WITH_DES_CBC_SHA DES-CBC-SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHA |
++
| SSL_DH_DSS_EXPORT_WITH_DES40_CBC_SHA Not implemented. SSL_DH_DSS_WITH_DES_CBC_SHA Not implemented. SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA Not implemented. SSL_DH_RSA_EXPORT_WITH_DES40_CBC_SHA Not implemented. SSL_DH_RSA_WITH_DES_CBC_SHA Not implemented. SSL_DH_RSA_WITH_3DES_EDE_CBC_SHA Not implemented. SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-DSS-DES-CBC-SHA SSL_DHE_DSS_WITH_DES_CBC_SHA EDH-DSS-CBC-SHA SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA EDH-DSS-DES-CBC3-SHA SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-RSA-DES-CBC-SHA SSL_DHE_RSA_WITH_DES_CBC_SHA EDH-RSA-DES-CBC-SHA SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHA |
++
| SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 EXP-ADH-RC4-MD5 SSL_DH_anon_WITH_RC4_128_MD5 ADH-RC4-MD5 SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA EXP-ADH-DES-CBC-SHA SSL_DH_anon_WITH_DES_CBC_SHA ADH-DES-CBC-SHA SSL_DH_anon_WITH_3DES_EDE_CBC_SHA ADH-DES-CBC3-SHA |
++
| SSL_FORTEZZA_KEA_WITH_NULL_SHA Not implemented. SSL_FORTEZZA_KEA_WITH_FORTEZZA_CBC_SHA Not implemented. SSL_FORTEZZA_KEA_WITH_RC4_128_SHA Not implemented. |
TLS v1.0暗号スイート。
++
| TLS_RSA_WITH_NULL_MD5 NULL-MD5 TLS_RSA_WITH_NULL_SHA NULL-SHA TLS_RSA_EXPORT_WITH_RC4_40_MD5 EXP-RC4-MD5 TLS_RSA_WITH_RC4_128_MD5 RC4-MD5 TLS_RSA_WITH_RC4_128_SHA RC4-SHA TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 EXP-RC2-CBC-MD5 TLS_RSA_WITH_IDEA_CBC_SHA IDEA-CBC-SHA TLS_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-DES-CBC-SHA TLS_RSA_WITH_DES_CBC_SHA DES-CBC-SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHA |
++
| TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA Not implemented. TLS_DH_DSS_WITH_DES_CBC_SHA Not implemented. TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA Not implemented. TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA Not implemented. TLS_DH_RSA_WITH_DES_CBC_SHA Not implemented. TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA Not implemented. TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-DSS-DES-CBC-SHA TLS_DHE_DSS_WITH_DES_CBC_SHA EDH-DSS-CBC-SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA EDH-DSS-DES-CBC3-SHA TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-RSA-DES-CBC-SHA TLS_DHE_RSA_WITH_DES_CBC_SHA EDH-RSA-DES-CBC-SHA TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHA |
++
| TLS_DH_anon_EXPORT_WITH_RC4_40_MD5 EXP-ADH-RC4-MD5 TLS_DH_anon_WITH_RC4_128_MD5 ADH-RC4-MD5 TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA EXP-ADH-DES-CBC-SHA TLS_DH_anon_WITH_DES_CBC_SHA ADH-DES-CBC-SHA TLS_DH_anon_WITH_3DES_EDE_CBC_SHA ADH-DES-CBC3-SHA |
RFC3268からのAES暗号スイート、TLS v1.0の拡張
++
| TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHA TLS_RSA_WITH_AES_256_CBC_SHA AES256-SHA |
++
| TLS_DH_DSS_WITH_AES_128_CBC_SHA Not implemented. TLS_DH_DSS_WITH_AES_256_CBC_SHA Not implemented. TLS_DH_RSA_WITH_AES_128_CBC_SHA Not implemented. TLS_DH_RSA_WITH_AES_256_CBC_SHA Not implemented. |
++
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA DHE-DSS-AES128-SHA TLS_DHE_DSS_WITH_AES_256_CBC_SHA DHE-DSS-AES256-SHA TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE-RSA-AES128-SHA TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE-RSA-AES256-SHA |
++
| TLS_DH_anon_WITH_AES_128_CBC_SHA ADH-AES128-SHA TLS_DH_anon_WITH_AES_256_CBC_SHA ADH-AES256-SHA |
TLS v1.0を拡張するRFC4132のCamellia暗号スイート
++
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA CAMELLIA128-SHA TLS_RSA_WITH_CAMELLIA_256_CBC_SHA CAMELLIA256-SHA |
++
| TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA Not implemented. TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA Not implemented. TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA Not implemented. TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA Not implemented. |
++
| TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA DHE-DSS-CAMELLIA128-SHA TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA DHE-DSS-CAMELLIA256-SHA TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA DHE-RSA-CAMELLIA128-SHA TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA DHE-RSA-CAMELLIA256-SHA |
++
| TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA ADH-CAMELLIA128-SHA TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA ADH-CAMELLIA256-SHA |
RFC4162のSEED暗号スイート、TLS v1.0の拡張
++
| TLS_RSA_WITH_SEED_CBC_SHA SEED-SHA |
++
| TLS_DH_DSS_WITH_SEED_CBC_SHA Not implemented. TLS_DH_RSA_WITH_SEED_CBC_SHA Not implemented. |
++
| TLS_DHE_DSS_WITH_SEED_CBC_SHA DHE-DSS-SEED-SHA TLS_DHE_RSA_WITH_SEED_CBC_SHA DHE-RSA-SEED-SHA |
++
| TLS_DH_anon_WITH_SEED_CBC_SHA ADH-SEED-SHA |
追加のエクスポート1024およびその他の暗号スイート
注:これらの暗号はSSL v3でも使用できます。
++
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA EXP1024-DES-CBC-SHA TLS_RSA_EXPORT1024_WITH_RC4_56_SHA EXP1024-RC4-SHA TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA EXP1024-DHE-DSS-DES-CBC-SHA TLS_DHE_DSS_EXPORT1024_WITH_RC4_56_SHA EXP1024-DHE-DSS-RC4-SHA TLS_DHE_DSS_WITH_RC4_128_SHA DHE-DSS-RC4-SHA |
SSL v2.0暗号スイート。
++
| SSL_CK_RC4_128_WITH_MD5 RC4-MD5 SSL_CK_RC4_128_EXPORT40_WITH_MD5 EXP-RC4-MD5 SSL_CK_RC2_128_CBC_WITH_MD5 RC2-MD5 SSL_CK_RC2_128_CBC_EXPORT40_WITH_MD5 EXP-RC2-MD5 SSL_CK_IDEA_128_CBC_WITH_MD5 IDEA-CBC-MD5 SSL_CK_DES_64_CBC_WITH_MD5 DES-CBC-MD5 SSL_CK_DES_192_EDE3_CBC_WITH_MD5 DES-CBC3-MD5 |
ノート
DH証明書のサポートがないため、非一時DHモードは現在OpenSSLで実装されていません。
一部の暗号はコンパイル時に除外されたため、OpenSSLの一部のコンパイルされたバージョンには、ここにリストされたすべての暗号が含まれない場合があります。
例
NULL
++
| openssl ciphers -v ALL:eNULL |
NULLと匿名DHを除くすべての暗号を含めてから、強度で並べ替えます。
++
| openssl ciphers -v ALL:!ADH:@STRENGTH |
3DES暗号のみを含めてから、RSA暗号を最後に配置します。
++
| openssl ciphers -v 3DES:+RSA |
すべてのRC4暗号を含めますが、認証なしの暗号は除外します。
++
| openssl ciphers -v RC4:!COMPLEMENTOFDEFAULT |
RSA認証を備えたすべてのチッパーを含めますが、暗号化なしの暗号は除外します。
++
| openssl ciphers -v RSA:!COMPLEMENTOFALL |
関連項目
s_client(1)、_ s_server_(1)、_ ssl_(3)
歴史
*COMPLENTOFALL* および *COMPLEMENTOFDEFAULT* 選択オプションは、バージョン0.9.7で追加されました。 リンク:/unix_commands/index [image:/previous.gif[previous]]リンク:/unix_commands/index [image:/next.gif[next]]リンク:/cgi-bin/printversion.cgi?tutorial = unix_commands&file = [image:/print.gif[Printer Friendly]]| Advertisements |
