Instalei a versão mais recente opensslvia Homebrew no meu Mac (macOS Big Sur 11.5.2). Mas não suporta aes-256-gcmcifra de repente.
$ /usr/local/opt/[email protected]/bin/openssl enc -ciphers | grep aes-
-aes-128-cbc -aes-128-cfb -aes-128-cfb1
-aes-128-cfb8 -aes-128-ctr -aes-128-ecb
-aes-128-ofb -aes-192-cbc -aes-192-cfb
-aes-192-cfb1 -aes-192-cfb8 -aes-192-ctr
-aes-192-ecb -aes-192-ofb -aes-256-cbc
-aes-256-cfb -aes-256-cfb1 -aes-256-cfb8
-aes-256-ctr -aes-256-ecb -aes-256-ofb
$ /usr/local/opt/[email protected]/bin/openssl version
OpenSSL 1.1.1l 24 Aug 2021
Como posso ativar a cifra? E por que não está incluído no pacote?
Responder1
Eu encontrei o motivo do meu problema. Está descrito nodocumentos openssl.
Este comando não oferece suporte a modos de criptografia autenticados, como CCM e GCM, e não oferecerá suporte a tais modos no futuro. Isso se deve ao fato de ter que iniciar a saída de streaming (por exemplo, para a saída padrão quando-foranão é usado) antes que a etiqueta de autenticação pudesse ser validada. Quando este comando é usado em um pipeline, a extremidade receptora não poderá reverter em caso de falha de autenticação. Os modos AEAD atualmente em uso comum também sofrem com falhas catastróficas de confidencialidade e/ou integridade após a reutilização de chave/iv/nonce, e uma vez queopenssl enccoloca todo o fardo do gerenciamento de chave/iv/nonce sobre o usuário, o risco de expor os modos AEAD é grande demais para ser permitido. Esses problemas de gerenciamento de chave/iv/nonce também afetam outros modos atualmente expostos neste comando, mas os modos de falha são menos extremos nesses casos e a funcionalidade não pode ser removida com uma ramificação de versão estável.