Ich habe das Neueste opensslüber Homebrew auf meinem Mac installiert (macOS Big Sur 11.5.2). Aber plötzlich wird aes-256-gcmCipher nicht mehr unterstützt.
$ /usr/local/opt/[email protected]/bin/openssl enc -ciphers | grep aes-
-aes-128-cbc -aes-128-cfb -aes-128-cfb1
-aes-128-cfb8 -aes-128-ctr -aes-128-ecb
-aes-128-ofb -aes-192-cbc -aes-192-cfb
-aes-192-cfb1 -aes-192-cfb8 -aes-192-ctr
-aes-192-ecb -aes-192-ofb -aes-256-cbc
-aes-256-cfb -aes-256-cfb1 -aes-256-cfb8
-aes-256-ctr -aes-256-ecb -aes-256-ofb
$ /usr/local/opt/[email protected]/bin/openssl version
OpenSSL 1.1.1l 24 Aug 2021
Wie kann ich die Verschlüsselung aktivieren? Und warum ist sie nicht im Paket enthalten?
Antwort1
Ich habe den Grund für mein Problem gefunden. Er ist beschrieben inOpenSSL-Dokumente.
Dieser Befehl unterstützt keine authentifizierten Verschlüsselungsmodi wie CCM und GCM und wird solche Modi auch in Zukunft nicht unterstützen. Dies liegt daran, dass mit der Streaming-Ausgabe begonnen werden muss (z. B. zur Standardausgabe, wenn-auswird nicht verwendet), bevor das Authentifizierungs-Tag validiert werden konnte. Wenn dieser Befehl in einer Pipeline verwendet wird, kann das empfangende Ende bei einem Authentifizierungsfehler kein Rollback durchführen. Die derzeit allgemein verwendeten AEAD-Modi leiden auch unter einem katastrophalen Versagen der Vertraulichkeit und/oder Integrität bei der Wiederverwendung von Schlüssel/IV/Nonce, und daOpenSSL-Enclegt die gesamte Last der Key/IV/Nonce-Verwaltung auf den Benutzer, das Risiko der Offenlegung von AEAD-Modi ist zu groß, um dies zuzulassen. Diese Key/IV/Nonce-Verwaltungsprobleme wirken sich auch auf andere Modi aus, die derzeit in diesem Befehl offengelegt werden, aber die Fehlermodi sind in diesen Fällen weniger extrem und die Funktionalität kann nicht mit einem stabilen Release-Zweig entfernt werden.