NOM
ciphers - outil d’affichage et de listage des chiffrements SSL.
SYNOPSIS
openssl ciphers [-v] [-ssl2] [-ssl3] [-tls1] [listechiffrements]
La commande cipherlist convertit les listes de chiffrements OpenSSL en
des listes de chiffrements SSL triées par préférence. Elle peut être
employée comme test afin de déterminer la liste de chiffrements
appropriée.
OPTIONS DE LA COMMANDE
-v option bavard. Affichage des types de chiffrement avec une
description complète du protocole (SSLv2 ou SSLv3 ; ce dernier
inclut TLS), échange de clé, identification, chiffrement et
algorithmes mac utilisés ainsi que les restrictions sur la longueur
des clés et si l’algorithme est classé en tant que chiffrement
d’«export». Remarquons que sans l’option -v, les chiffrements
peuvent sembler apparaître en double dans une liste; c’est le cas
lorsque des chiffrements similaires sont disponibles pour SSL v2 et
SSL v3/TLS v1.
-ssl3
affiche seulement les chiffrements SSL v3.
-ssl2
affiche seulement les chiffrements SSL v2.
-tls1
affiche seulement les chiffrements TLS v1.
-h, -?
affiche un bref descriptif d’utilisation.
listechiffrements
une liste de types de chiffrement à convertir en une liste de
préférences de chiffrement. Si cette option est omise, la liste de
chiffrements par défaut sera prise. Le format est décrit ci-
dessous.
FORMAT DES LISTES DE CHIFFREMENTS
La liste de chiffrements comprend une ou plusieurs chaînes de
chiffrements, séparées par des deux-points («:»). Les virgules et
point-virgules sont également des séparateurs valables, mais
d’habitude, les deux-points sont utilisés.
La chaîne de chiffrements se présente sous différentes formes.
Elle peut être une suite simple de chiffrements comme RC4-SHA.
Elle peut être une liste de suites de chiffrements, contenant un
certain algorithme, ou des suites de chiffrements d’un type précis. Par
exemple, SHA1 représente toutes les suites utilisant l’algorithme de
signature SHA1 et SSLv3 tous les algorithmes SSL v3.
Les listes de suites de chiffrements peuvent être combinées en une
seule chaîne de chiffrements en utilisant le caractère +. Ceci
correspond à une opération logique ET. Par exemple, SHA1+DES représente
toutes les suites de chiffrements contenant à la fois les algorithmes
SHA1 ET DES.
Toute chaîne de chiffrements peut être précédée par les caractères !, -
ou +.
Si ! est utilisé, alors les chiffrements sont définitivement supprimés
de la liste. Les chiffrements supprimés ne peuvent réapparaître dans la
liste même s’ils sont nommés explicitement.
Si - est utilisé, les chiffrements sont également supprimés de la
liste, mais certains ou tous les chiffrements peuvent être rajoutés par
la suite par des options supplémentaires.
Si + est utilisé, les chiffrements sont déplacés en fin de liste. Cette
option n’ajoute aucun nouveau chiffrement, seuls les chiffrements
existants sont déplacés.
Si aucun de ces caractères n’est présent, la chaîne est uniquement
interprétée en tant que liste de chiffrements à ajouter à la liste de
préférences actuelle. Tous les chiffrements qui sont déjà présents sont
ignorés; ils ne seront pas déplacés à la fin de la liste.
De plus, la chaîne de chiffrements @STRENGTH peut être employée à
n’importe quel endroit afin de trier la liste de chiffrements actuelle
en fonction de la longueur de la clé de l’algorithme de codage.
CHAÎNES DE CHIFFREMENT
Voici une liste de toutes les chaînes de chiffrements permises et de
leur signification.
DEFAULT
La liste de chiffrements par défaut. Elle est déterminée lors de la
compilation et vaut normalement
AES:ALL:!aNULL:!eNULL:+RC4:@STRENGTH. Si présente, elle doit être
la première chaîne de chiffrements spécifiée.
COMPLEMENTOFDEFAULT
les algorithmes inclus dans ALL, mais pas activés par défaut.
Actuellement il s’agit de ADH. Notez que cette règle ne couvre pas
eNULL, qui n’est pas inclu dans ALL (utilisez COMPLEMENTOFALL si
nécessaire).
ALL Toutes les suites de chiffrements à part les chiffrements eNULL qui
doivent être activés explicitement.
COMPLEMENTOFALL
les suites d’algorithmes de chiffrement qui ne sont pas activées
par ALL. Actuellement, il s’agit de eNULL.
HIGH
Les suites à chiffrements «forts». Ceci signifie actuellement que
la clé de chiffrement doit avoir une longueur supérieure à 128
octets.
MEDIUM
Les suites à chiffrements «moyens». Ceci signifie actuellement que
la clé de chiffrement doit avoir une longueur égale à 128 octets.
LOW Les suites à chiffrements «faibles». Ceci signifie actuellement que
la clé de chiffrement doit avoir une longueur de 56 ou 64 octets,
mais les suites dites d’export sont traitées à part.
EXP, EXPORT
Les algorithmes de chiffrement d’export, incluant les algorithmes
de 40 et 56 octets.
EXPORT40
Les algorithmes de chiffrement d’export de 40 bits.
EXPORT56
Les algorithmes de chiffrement d’export de 56 bits. Dans
OpenSSL0.9.8c et les versions suivantes l’ensemble des chiffrements
d’export de 56 bits est vide à moins qu’OpenSSL n’ait été configuré
explicitement pour gérer ces chiffrements expérimentaux.
eNULL, NULL
les chiffrements «NULL» correspondent à l’absence de chiffrement.
Parce qu’il n’y a pas de chiffrement et qu’ils représentent ainsi
un risque de sécurité important, ils sont déactivés sauf s’ils sont
cités explicitement.
aNULL
les suites de chiffrements sans identification. Il s’agit
actuellement des algorithmes anonymes DH. Ces suites de
chiffrements sont vulnérables à des attaques dites «homme au
milieu» («man in the middle») et leur utilisation est déconseillée.
kRSA, RSA
suites de chiffrements utilisant l’échange de clé RSA.
kEDH
suites de chiffrements utilisant l’accord de clé éphémère DH.
kDHr, kDHd
suites de chiffrements utilisant la distribution de clés DH ainsi
que des certificats DH signés par des CAs utilisant des clés RSA et
DSS respectivement. Non implémentés.
aRSA
suites de chiffrements utilisant l’identification RSA, c’est-à-dire
que les certificats portent une clé RSA.
aDSS, DSS
suites de chiffrements utilisant l’identification DSS, c’est-à-dire
que les certificats portent une clé DSS.
aDH suites de chiffrements utilisant effectivement l’identification DH,
c’est-à-dire que les certificats portent une clé DH. Non
implémentés.
kFZA, aFZA, eFZA, FZA
suites de chiffrements utilisant l’échange de clé,
l’identification, le chiffrement ou tous les algorithmes FORTEZZA.
Non implémentés.
TLSv1, SSLv3, SSLv2
suites de chiffrements TLS v1.0, SSL v3.0 ou SSL v2.0
respectivement.
DH suites de chiffrements utilisant DH, incluant DH anonyme.
ADH suites de chiffrements DH anonymes.
AES suites de chiffrements utilisant AES.
CAMELLIA
suites de chiffrements utilisant Camellia.
3DES
suites de chiffrements utilisant le triple DES.
DES suites de chiffrements utilisant le DES simple (pas le triple DES).
RC4 suites de chiffrements utilisant RC4.
RC2 suites de chiffrements utilisant RC2.
IDEA
suites de chiffrements utilisant IDEA.
SEED
suites de chiffrements utilisant SEED.
MD5 suites de chiffrements utilisant MD5.
SHA1, SHA
suites de chiffrements utilisant SHA1.
NOMS DES SUITES DE CHIFFREMENTS
La liste suivante donne les noms des suites de chiffrements SSL ou TLS
partant de la spécification correspondante et leurs équivalents
OpenSSL. Il faut noter que le nom de plusieurs suites de chiffrements
n’inclut pas le type d’identification utilisé, par exemple
DES-CBC3-SHA. Dans ces cas, l’identification RSA est utilisée.
Suites de chiffrements SSL v3.0.
SSL_RSA_WITH_NULL_MD5 NULL-MD5
SSL_RSA_WITH_NULL_SHA NULL-SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5 EXP-RC4-MD5
SSL_RSA_WITH_RC4_128_MD5 RC4-MD5
SSL_RSA_WITH_RC4_128_SHA RC4-SHA
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 EXP-RC2-CBC-MD5
SSL_RSA_WITH_IDEA_CBC_SHA IDEA-CBC-SHA
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-DES-CBC-SHA
SSL_RSA_WITH_DES_CBC_SHA DES-CBC-SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHA
SSL_DH_DSS_EXPORT_WITH_DES40_CBC_SHA Pas implémenté.
SSL_DH_DSS_WITH_DES_CBC_SHA Pas implémenté.
SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA Pas implémenté.
SSL_DH_RSA_EXPORT_WITH_DES40_CBC_SHA Pas implémenté.
SSL_DH_RSA_WITH_DES_CBC_SHA Pas implémenté.
SSL_DH_RSA_WITH_3DES_EDE_CBC_SHA Pas implémenté.
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-DSS-DES-CBC-SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA EDH-DSS-CBC-SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA EDH-DSS-DES-CBC3-SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-RSA-DES-CBC-SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA EDH-RSA-DES-CBC-SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHA
SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 EXP-ADH-RC4-MD5
SSL_DH_anon_WITH_RC4_128_MD5 ADH-RC4-MD5
SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA EXP-ADH-DES-CBC-SHA
SSL_DH_anon_WITH_DES_CBC_SHA ADH-DES-CBC-SHA
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA ADH-DES-CBC3-SHA
SSL_FORTEZZA_KEA_WITH_NULL_SHA Pas implémenté.
SSL_FORTEZZA_KEA_WITH_FORTEZZA_CBC_SHA Pas implémenté.
SSL_FORTEZZA_KEA_WITH_RC4_128_SHA Pas implémenté.
Suites de chiffrements TLS v1.0.
TLS_RSA_WITH_NULL_MD5 NULL-MD5
TLS_RSA_WITH_NULL_SHA NULL-SHA
TLS_RSA_EXPORT_WITH_RC4_40_MD5 EXP-RC4-MD5
TLS_RSA_WITH_RC4_128_MD5 RC4-MD5
TLS_RSA_WITH_RC4_128_SHA RC4-SHA
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 EXP-RC2-CBC-MD5
TLS_RSA_WITH_IDEA_CBC_SHA IDEA-CBC-SHA
TLS_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-DES-CBC-SHA
TLS_RSA_WITH_DES_CBC_SHA DES-CBC-SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHA
TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA Pas implémenté.
TLS_DH_DSS_WITH_DES_CBC_SHA Pas implémenté.
TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA Pas implémenté.
TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA Pas implémenté.
TLS_DH_RSA_WITH_DES_CBC_SHA Pas implémenté.
TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA Pas implémenté.
TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-DSS-DES-CBC-SHA
TLS_DHE_DSS_WITH_DES_CBC_SHA EDH-DSS-CBC-SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA EDH-DSS-DES-CBC3-SHA
TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-RSA-DES-CBC-SHA
TLS_DHE_RSA_WITH_DES_CBC_SHA EDH-RSA-DES-CBC-SHA
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHA
TLS_DH_anon_EXPORT_WITH_RC4_40_MD5 EXP-ADH-RC4-MD5
TLS_DH_anon_WITH_RC4_128_MD5 ADH-RC4-MD5
TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA EXP-ADH-DES-CBC-SHA
TLS_DH_anon_WITH_DES_CBC_SHA ADH-DES-CBC-SHA
TLS_DH_anon_WITH_3DES_EDE_CBC_SHA ADH-DES-CBC3-SHA
Suites de chiffrements AES de la RFC3268, extension pour TLS v1.0
TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHA
TLS_RSA_WITH_AES_256_CBC_SHA AES256-SHA
TLS_DH_DSS_WITH_AES_128_CBC_SHA Pas implémenté.
TLS_DH_DSS_WITH_AES_256_CBC_SHA Pas implémenté.
TLS_DH_RSA_WITH_AES_128_CBC_SHA Pas implémenté.
TLS_DH_RSA_WITH_AES_256_CBC_SHA Pas implémenté.
TLS_DHE_DSS_WITH_AES_128_CBC_SHA DHE-DSS-AES128-SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA DHE-DSS-AES256-SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE-RSA-AES128-SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE-RSA-AES256-SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA ADH-AES128-SHA
TLS_DH_anon_WITH_AES_256_CBC_SHA ADH-AES256-SHA
Suites de chiffrements Camellia de la RFC4132, extension pour TLS v1.0
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA CAMELLIA128-SHA
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA CAMELLIA256-SHA
TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA Pas implémenté.
TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA Pas implémenté.
TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA Pas implémenté.
TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA Pas implémenté.
TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA DHE-DSS-CAMELLIA128-SHA
TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA DHE-DSS-CAMELLIA256-SHA
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA DHE-RSA-CAMELLIA128-SHA
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA DHE-RSA-CAMELLIA256-SHA
TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA ADH-CAMELLIA128-SHA
TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA ADH-CAMELLIA256-SHA
Suites de chiffrements SEED de la RFC4162, extension pour TLS v1.0
TLS_RSA_WITH_SEED_CBC_SHA SEED-SHA
TLS_DH_DSS_WITH_SEED_CBC_SHA Pas implémenté.
TLS_DH_RSA_WITH_SEED_CBC_SHA Pas implémenté.
TLS_DHE_DSS_WITH_SEED_CBC_SHA DHE-DSS-SEED-SHA
TLS_DHE_RSA_WITH_SEED_CBC_SHA DHE-RSA-SEED-SHA
TLS_DH_anon_WITH_SEED_CBC_SHA ADH-SEED-SHA
Suites de chiffrements additionnelles Export 1024 et autres
Note: ces chiffrements peuvent aussi être utilisés pour SSL v3.
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA EXP1024-DES-CBC-SHA
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA EXP1024-RC4-SHA
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA EXP1024-DHE-DSS-DES-CBC-SHA
TLS_DHE_DSS_EXPORT1024_WITH_RC4_56_SHA EXP1024-DHE-DSS-RC4-SHA
TLS_DHE_DSS_WITH_RC4_128_SHA DHE-DSS-RC4-SHA
Suites de chiffrements SSL v2.0.
SSL_CK_RC4_128_WITH_MD5 RC4-MD5
SSL_CK_RC4_128_EXPORT40_WITH_MD5 EXP-RC4-MD5
SSL_CK_RC2_128_CBC_WITH_MD5 RC2-MD5
SSL_CK_RC2_128_CBC_EXPORT40_WITH_MD5 EXP-RC2-MD5
SSL_CK_IDEA_128_CBC_WITH_MD5 IDEA-CBC-MD5
SSL_CK_DES_64_CBC_WITH_MD5 DES-CBC-MD5
SSL_CK_DES_192_EDE3_CBC_WITH_MD5 DES-CBC3-MD5
NOTES
Les modes non éphémères de DH ne sont pas implémentés actuellement en
OpenSSL car il n’y a pas de support pour les certificats DH.
Certaines versions compilées d’OpenSSL peuvent ne pas inclure tous les
types de chiffrement listés ici en raison du paramétrage lors de la
compilation.
EXEMPLES
Liste bavarde de tous les chiffrements OpenSSL incluant les
chiffrements NULL:
openssl ciphers -v 'ALL:eNULL'
Inclure tous les chiffrements sauf NULL et DH anonyme, puis trier par
force:
openssl ciphers -v 'ALL:!ADH:@STRENGTH'
Inclure seulement les chiffrements 3DES puis ajouter les chiffrements
RSA à la fin :
openssl ciphers -v '3DES:+RSA'
Inclure tous les chiffrements utilisant RC4, mais laisser de côté ceux
sans identification:
openssl ciphers -v 'RC4:!COMPLEMENTOFDEFAULT'
Inclure tous les chiffrements avec une identification RSA, mais laisser
de côté les chiffrements sans chiffrement.
openssl ciphers -v 'RSA:!COMPLEMENTOFALL'
VOIR AUSSI
s_client(1), s_server(1), ssl(3)
HISTORIQUE
Les options de sélection COMPLEMENTOFALL et COMPLEMENTOFDEFAULT ont été
ajoutées dans la version 0.9.7.
TRADUCTION
Cette page de manuel a été traduite par stolck en 2002 et est maintenue
par la liste <debian-l10n-french AT lists DOT debian DOT org>.
Veuillez signaler toute erreur de traduction par un rapport de bogue
sur le paquet manpages-fr-extra.