Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

TR03116 and TR02102-2 #60

Open
sluetze opened this issue Jul 11, 2024 · 2 comments
Open

TR03116 and TR02102-2 #60

sluetze opened this issue Jul 11, 2024 · 2 comments
Assignees

Comments

@sluetze
Copy link

sluetze commented Jul 11, 2024

TR03116 requires a set of ciphers for TLS. We could configure this in the tls profiles and check against this.

there are rules for this:

Rulename State variable commit
api_server_tls_cipher_suites used no 30a9b39
kubelet_configure_tls_cipher_suites used yes
kubelet_configure_tls_cipher_suites_ingresscontroller not used, but working. only checks for ANY not ALL of the Ciphers no
kubelet_configure_tls_cipher_suites_kubeapiserver_operator looks deprecated/non working, not used by any profile no
kubelet_configure_tls_cipher_suites_openshiftapiserver_operator looks deprecated/non working, not used by any profile no
etcd_check_cipher_suite looks badly implemented (no checkall, checks configmap instead of observed config), PCIDSS no
@sluetze
Copy link
Author

sluetze commented Jul 17, 2024

Cipher Profile TR03116-4 TR02102-2 TLS Version
TLS_AES_128_GCM_SHA256 Intermediate 2.3.2 (mindestens diese) 3.4.4 1.3
TLS_AES_256_GCM_SHA384 Intermediate Keine Erwähnung 3.4.4 1.3
TLS_CHACHA20_POLY1305_SHA256 Intermediate Keine Erwähnung Keine Erwähnung 1.3
ECDHE-ECDSA-AES128-GCM-SHA256 Intermediate 2.2.1.1 (mindestens eine) 2.2.1.2 (mindestens eine) 3.3.1.1 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 1.2 PFS
ECDHE-RSA-AES128-GCM-SHA256 Intermediate 2.2.1.1 (mindestens eine) 2.2.1.2 (mindestens eine) 3.3.1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 1.2 PFS
ECDHE-ECDSA-AES256-GCM-SHA384 Intermediate Keine Erwähnung 3.3.1.1 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 1.2 PFS
ECDHE-RSA-AES256-GCM-SHA384 Intermediate Keine Erwähnung 3.3.1.1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 1.2 PFS
ECDHE-ECDSA-CHACHA20-POLY1305 Intermediate Keine Erwähnung Keine Erwähnung
ECDHE-RSA-CHACHA20-POLY1305 Intermediate Keine Erwähnung Keine Erwähnung
DHE-RSA-AES128-GCM-SHA256 Intermediate Keine Erwähnung 3.3.1.1 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 1.2 PFS
DHE-RSA-AES256-GCM-SHA384 Intermediate Keine Erwähnung 3.3.1.1 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 1.2 PFS

Anmerkung: die TLS1.2 Cipher unterscheiden sich in der Namensgebung bei RH&Mozilla und dem BSI.

For Poly/chacha see https://fragdenstaat.de/anfrage/nicht-empfehlung-von-cipher-suite-tls-chacha20-poly1305-sha256-fuer-tls1-3-in-tr-02102-2/#nachricht-828645

Die Technischen Richtlinien der Reihe TR-02102 geben Empfehlungen zu kryptografischen Verfahren und Schlüssellängen. Der empfehlende Charakter dieser Richtlinien bedeutet insbesondere, dass nicht aufgeführte Verfahren vom BSI nicht zwangsläufig als unsicher beurteilt werden.

Dem BSI sind keine kryptografischen Schwächen der Stromchiffre ChaCha20 oder des authentisierten Verschlüsselungsverfahrens ChaCha20/Poly1305 bekannt.

@sluetze sluetze changed the title TR03116 TR03116 and TR02102-2 Jul 24, 2024
@sluetze sluetze moved this from Todo to Upstream PR in sig-bsi-grundschutz tracking Jul 26, 2024
@sluetze sluetze moved this from Upstream PR to Implementation in sig-bsi-grundschutz tracking Jul 26, 2024
@sluetze sluetze self-assigned this Jul 26, 2024
@sluetze
Copy link
Author

sluetze commented Jan 7, 2025

first part: ComplianceAsCode#12749

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
None yet
Projects
Status: Implementation
Development

When branches are created from issues, their pull requests are automatically linked.

1 participant