Comparación de implementaciones TLS

Implementación	Desarrollado por	Código Abierto	Licencia de Software	Propietario(s) de los derechos de autor	Escrito en	Última versión estable, fecha de publicación	Origen
GnuTLS	Proyecto GnuTLS	Sí	GNU LGPLv2.1+	Fundación de Software libre	C	Estable - 3.5.18/16 de febrero de 2018; hace 4 meses.^[1] Próximo estable: 3.6.2/16 de febrero de 2018; hace 4 meses.^[1]	UE (Grecia y Suecia)
OpenSSL	Proyecto OpenSSL	Sí	Licencia doble OpenSSL-SSLeay	Eric Young, Tim Hudson, Sun, Proyecto OpenSSL, y otros más	C, Lenguaje ensamblador	1.1.0h (27 de marzo de 2018; hace 3 meses).^[2] 1.0.2o (27 de marzo de 2018; hace 3 meses).^[2]	Australia/UE
wolfSSL (previamente CyaSSL)	wolfSSL^[3]	Sí	GNU GPLv2+ y licencia comercial	wolfSSL Inc.^[4]	C	3.15.3 (22 de junio de 2018; hace 15 días).^[5]	US
Implementación	Desarrollado por	Código Abierto	Licencia de Software	Propietario(s) de los derechos de autor	Escrito en	Última versión estable, fecha de publicación	Origen

Soporte de protocolo

Existen varias versiones del protocolo TLS. SSL 2.0 es una versión obsoleta^[6] del protocolo con debilidades significativas. SSL 3.0 (1996) y TLS 1.0 (1999) le suceden con dos desventajas en relleno-CBC, las cuales fueron explicadas en el 2001 por Serge Vaudenay.^[7] TLS 1.1 (2006) solo corrigió uno de los problemas al alternar aleatoriamente los vectores de inicialización (IV) para los bloques de cifrado CBC, mientras que el uso más problemático del cifrado mac-pad, no del cifrado pad-mac (el cual es más seguro), fue abordado con RFC7366.^[8] Una solución alternativa para SSL 3.0 y TLS 1.0, aproximadamente equivalente a los IVs aleatorios del TLS 1.1, fue adoptada abiertamente por varias implementaciones a finales del 2011,^[9] así que desde una perspectiva de seguridad, todas las versiones existentes de TLS 1.0, 1.1 y 1.2 proveen una fuerza equivalente en el protocolo base que, hasta al menos el 2030, resultan más apropiadas para la seguridad de 128 bits de acuerdo al NIST SP800-57. En el 2014 se descubrió la vulnerabilidad POODLE de SSL 3.0, la cual toma ventaja de la vulnerabilidades conocidas en CBC y de una negociación de respaldo insegura usada en los navegadores web.^[10]

TLS 1.2 (2008) es la versión más recientemente publicada del protocolo base, la cual introduce una forma de identificar los hashes usados para firmas digitales. Mientras permite el uso de funciones hash más fuertes para las firmas digitales en el futuro (rsa,sha256/sha384/sha512), por encima de su alternativa más conservadora, SSL 3.0 (rsa,sha1+md5), el cambio de protocolo TLS 1.2 inadvertida y sustancialmente debilita las firmas digitales por defecto y además provee (rsa,sha1) e incluso (rsa,md5).^[11]

La capa de seguridad de transporte de datagrama (DTLS o TLS de datagrama) 1.0 es una modificación del TLS 1.1 para una capa de transporte orientada a paquetes, donde la pérdida y reordenación de paquetes deben ser toleradas. La revisión de DTLS 1.2 basada en TLS 1.2 fue publicada en enero del 2012^[12]

Cabe notar que hay vulnerabilidades conocidas en SSL 2.0 y SSL 3.0. Con la excepción de los predecibles IVs (para los cuales existe una solución alternativa), todas las vulnerabilidades conocidas en la actualidad afectan a todas las versiones de TLS 1.0/1.1/1.2 por igual.^[13]

Implementación	SSL 2.0 (inseguro)^[14]	SSL 3.0 (inseguro)^[15]	TLS 1.0^[16]	TLS 1.1^[17]	TLS 1.2^[18]	TLS 1.3 (Borrador)^[19]^[20]	DTLS 1.0^[21]	DTLS 1.2^[12]
GnuTLS	No(a)	Inhabilitado por defecto^[22]	Sí	Sí	Sí	Sí^[23]	Sí	Sí
OpenSSL	No^[24]	Habilitado por defecto	Sí	Sí^[25]	Sí^[25]	Sí	Sí	Sí^[26]
wolfSSL	No	Desahabilitado por defecto^[27]	Sí	Sí	Sí	Sí^[28]	Sí	Sí
Implementación	SSL 2.0 (inseguro)^[14]	SSL 3.0 (inseguro)^[15]	TLS 1.0^[16]	TLS 1.1^[17]	TLS 1.2^[18]	TLS 1.3 (Borrador)^[19]^[20]	DTLS 1.0^[21]	DTLS 1.2^[12]

(a) El cliente SSL 2.0 Hello está soportado aun cuando SSL 2.0 no esté respaldado o esté inhabilitado por compatibilidades atrasadas.

Criptografía de NSA Suite B

Los componentes requeridos para la Criptografía de NSA Suite B (RFC 6460) son:

Estándar de Encriptación Avanzada (AES) con tamaños de clave de 128 y 256 bits. Para el flujo de tráfico, AES debería ser usado en Modo Contador (CTR) para tráfico de baja banda ancha o en Modo Contador/Galois (GCM), modo de operación para alto tráfico de banda ancha (véase modos de operación de cifrado en bloque) — encriptación simétrica
Algoritmo de Firma Digital de Curva Elíptica (ECDSA) — firmas digitales
Curva Elíptica Diffie–Hellman (ECDH) — acuerdo clave
Algoritmo 2 de Hash Protegido (SHA-256 y SHA-384) — resumen del mensaje

Por medio de CNSSP-15, la curva elíptica de 256-bit (especificada en FIPS 186-2), SHA-256, y AES, claves de 128 bits son suficientes para proteger información clasificada hasta el nivel secreto, mientras que con la curva elíptica de 384-bits (especificada en FIPS 186-2), SHA-384, y AES, claves de 256-bits son necesarias para la protección de información de alta seguridad.

Implementación	TLS 1.2 Suite B
GnuTLS	Sí
OpenSSL	Sí^[26]
wolfSSL	Sí

Certificaciones

Nótese que ciertas certificaciones han recibido serias críticas negativas de personas que, de hecho, han están involucradas en ellas.^[29]

Implementación	FIPS 140-1, FIPS 140-2^[30]	Solución FIPS Integrada
GnuTLS^[31]	Módulo criptográfico (#2780) Red Hat Enterprise Linux GnuTLS
OpenSSL^[32]	Módulo de Objeto OpenSSL FIPS: 1.0 (#624), 1.1.1 (#733), 1.1.2 (#918), 1.2, 1.2.1, 1.2.2, 1.2.3 o 1.2.4 (#1051) 2.0, 2.0.1, 2.0.2, 2.0.3, 2.0.4, 2.0.5, 2.0.6, 2.0.7 o 2.0.8 (#1747)
wolfSSL^[33]	Módulo wolfCrypt FIPS: 3.6.0 (#2425) Véanse los detalles en NIST certificate para entornos operativos validados	Sí
Implementación	FIPS 140-1, FIPS 140-2	Solución FIPS Integrada

Algoritmos de intercambio de claves (solo con certificado)

Esta sección lista la funcionalidad de la verificación de certificado disponible en las distintas implementaciones.

Implementación	RSA^[18]	RSA-EXPORTACION (inseguro)^[18]	DHE-RSA (secreto-perfecto-hacia-adelante)^[18]	DHE-DSS (secreto-perfecto-hacia-adelante)^[18]	ECDH-ECDSA^[34]	ECDHE-ECDSA (secreto-perfecto-hacia-adelante)^[34]	ECDH-RSA^[34]	ECDHE-RSA (secreto-perfecto-hacia-adelante)^[34]	GOST R 34.10-94, 34.10-2001^[35]
GnuTLS	Sí	No	Sí	Deshabilitado por defecto^[22]	No	Sí	No	Sí	No
OpenSSL	Sí	No^[24]	Sí	Deshabilitado por defecto^[24]	Sí	Sí	Sí	Sí	Sí^[36]
wolfSSL	Sí	No	Sí	No	Sí	Sí	Sí	Sí	No
Implementación	RSA^[18]	RSA-EXPORTACION (inseguro)^[18]	DHE-RSA (secreto-perfecto-hacia-adelante)^[18]	DHE-DSS (secreto-perfecto-hacia-adelante)^[18]	ECDH-ECDSA^[34]	ECDHE-ECDSA (secreto-perfecto-hacia-adelante)^[34]	ECDH-RSA^[34]	ECDHE-RSA (secreto-perfecto-hacia-adelante)^[34]	GOST R 34.10-94, 34.10-2001^[35]

Algoritmos de intercambio de clave (intercambio de clave alternativo)

Implementación	SRP^[37]	SRP-DSS^[37]	SRP-RSA^[37]	PSK-RSA^[38]	PSK^[38]	DHE-PSK (secreto-perfecto-hacia-adelante)^[38]	ECDH-PSK (secreto-perfecto-hacia-adelante)^[39]	KRB5^[40]	DHE-ANON^[18] (inseguro)	ECDH-ANON^[34] (inseguro)
GnuTLS	Sí	Sí	Sí	Sí	Sí	Sí	Sí	No	Deshabilitado por defecto	Deshabilitado por defecto
OpenSSL	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí^[41]	Deshabilitado por defecto^[42]	Deshabilitado por defecto^[42]
wolfSSL	No	No	No	No	Sí	No	Sí^[43]	No	No	No
Implementación	SRP^[37]	SRP-DSS^[37]	SRP-RSA^[37]	PSK-RSA^[38]	PSK^[38]	DHE-PSK (secreto-perfecto-hacia-adelante)^[38]	ECDHE-PSK (secreto-perfecto-hacia-adelante)^[39]	KRB5^[40]	DHE-ANON^[18] (inseguro)	ECDH-ANON^[34] (inseguro)

Métodos de verificación de certificado

Implementación	Definido por aplicación	Validación de ruta PKIX^[44]	CRL^[45]	OCSP^[46]	DANE (DNSSEC)^[47]	Confianza al primer uso (TOFU)
GnuTLS	Sí	Sí	Sí	Sí	Sí	Sí
OpenSSL	Sí	Sí	Sí	Sí	Sí	No
wolfSSL	Sí	Sí	Sí	Sí	No	No
Implementación	Definido por aplicación	Validación de ruta PKIX^[44]	CRL^[45]	OCSP^[46]	DANE (DNSSEC)^[47]	Confianza al primer uso (TOFU)

Algoritmos de cifrado

Implementación	Cifrado en bloque con modo de operación										Cifrado de flujo	Ninguno
Implementación	AES GCM ^[48]	AES CCM ^[49]	AES CBC	Camellia GCM ^[50]	Camellia CBC ^[51]	ARIA GCM ^[52]	ARIA CBC ^[52]	SEED CBC ^[53]	3DES EDE CBC (inseguro)^[54]	GOST 28147-89 CNT (propuesto) ^[35] (1)	ChaCha20-Poly1305 ^[55]	Nulo (inseguro) (2)
GnuTLS	Sí	Sí^[22]	Sí	Sí	Sí	No	No	No	Deshabilitado por defecto^[56]	No	Sí^[57]	Deshabilitado por defecto
OpenSSL	Sí^[58]	Deshabilitado por defecto^[24]	Sí	No	Deshabilitado por defecto^[24]	No	No	Deshabilitado por defecto^[24]	Deshabilitado por defecto^[24]	Sí^[36]	Sí^[24]	Deshabilitado por defecto
wolfSSL	Sí	Sí	Sí	No	Sí	No	No	No	Sí	No	Sí	Deshabilitado por defecto
Implementación	Cifrado en bloque con modo de operación										Cifrado de flujo	Ninguno
Implementación	AES GCM ^[48]	AES CCM ^[49]	AES CBC	Camellia GCM ^[50]	Camellia CBC ^[51]	ARIA GCM ^[52]	ARIA CBC ^[52]	SEED CBC ^[53]	3DES EDE CBC (inseguro)^[54]	GOST 28147-89 CNT (propuesto) ^[35]	ChaCha20-Poly1305 ^[55]	Nulo (inseguro)

Notas

(1) Este algoritmo aún no está definido como una suite de cifrado en RFC; está como una propuesta en borrador.

(2) Solo autenticación, no encriptación.

Algoritmos obsoletos

Implementación	Cifrado en bloque con modo de operación				Cifrado de flujo
Implementación	IDEA CBC RFC 5469(inseguro)^[59] (1)	DES CBC (inseguro) (1)	DES-40 CBC (EXPORTACION, inseguro) (1)	RC2-40 CBC (EXPORTACION, inseguro) (2)	RC4-128 (inseguro) (3)	RC4-40 (EXPORTACION, inseguro) (4)(2)
GnuTLS	No	No	No	No	Deshabilitado por defecto^[22]	No
OpenSSL	Deshabilitado por defecto^[24]	Deshabilitado por defecto	No^[24]	No^[24]	Deshabilitado por defecto	No^[24]
wolfSSL	Deshabilitado por defecto^[60]	No	No	No	Deshabilitado por defecto	No
Implementación	Cifrado en bloque con modo de operación				Cifrado de flujo
Implementación	IDEA CBC (inseguro)^[59]	DES CBC (inseguro)	DES-40 CBC (EXPORTACION, inseguro)	RC2-40 CBC (EXPORTACION, inseguro)	RC4-128 (inseguro)	RC4-40 (EXPORTACION, inseguro)

Notas

(1) IDEA y DES han sido removidos del TLS 1.2

(2) 40 bits de intensidad de cifrado fueron diseñados para operar a longitudes de clave reducidas para cumplir con las regulaciones de los Estados Unidos acerca de la exportación de software criptográfico que contiene algoritmos de cifrado de alta intensidad (véase Exportación de criptografía de los Estados Unidos). Estas suites débiles están prohibidas en TLS 1.1 y versiones posteriores.

(3) Lo ataques RC4 debilitan y/o interrumpen el RC4 usado en SSL/TLS. El uso de RC4 está prohibido por el RFC 7465.

(4) Loas ataques RC4 debilitan y/o interrumpen el RC4 usado en SSL/TLS.

Curvas elípticas respaldadas

Esta sección lista las curvas elípticas respaldadas por cada implementación.

Implementación	sect163k1 NIST K-163 (1)^[34]	sect163r1 (2)^[34]	sect163r2 NIST B-163 (3)^[34]	sect193r1 (4)^[34]	sect193r2 (5)^[34]	sect233k1 NIST K-233 (6)^[34]	sect233r1 NIST B-233 (7)^[34]	sect239k1 (8)^[34]	sect283k1 NIST K-283 (9)^[34]	sect283r1 NIST B-283 (10)^[34]	sect409k1 NIST K-409 (11)^[34]	sect409r1 NIST B-409 (12)^[34]	sect571k1 NIST K-571 (13)^[34]	sect571r1 NIST B-571 (14)^[34]
GnuTLS	No	No	No	No	No	No	No	No	No	No	No	No	No	No
OpenSSL	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí
wolfSSL	No	No	No	No	No	No	No	No	No	No	No	No	No	No
Implementación	sect163k1 NIST K-163 (1)^[34]	sect163r1 (2)^[34]	sect163r2 NIST B-163 (3)^[34]	sect193r1 (4)^[34]	sect193r2 (5)^[34]	sect233k1 NIST K-233 (6)^[34]	sect233r1 NIST B-233 (7)^[34]	sect239k1 (8)^[34]	sect283k1 NIST K-283 (9)^[34]	sect283r1 NIST B-283 (10)^[34]	sect409k1 NIST K-409 (11)^[34]	sect409r1 NIST B-409 (12)^[34]	sect571k1 NIST K-571 (13)^[34]	sect571r1 NIST B-571 (14)^[34]

Implementación	secp160k1 (15)^[34]	secp160r1 (16)^[34]	secp160r2 (17)^[34]	secp192k1 (18)^[34]	secp192r1 prime192v1 NIST P-192 (19)^[34]	secp224k1 (20)^[34]	secp224r1 NIST P-244 (21)^[34]	secp256k1 (22)^[34]	secp256r1 prime256v1 NIST P-256 (23)^[34]	secp384r1 NIST P-384 (24)^[34]	secp521r1 NIST P-521 (25)^[34]	Curva principal arbitraria (0xFF01)^[34]^[61]	Curvas arbitrarias char2 curves (0xFF02)^[34]^[61]
GnuTLS	No	No	No	No	Sí	No	Sí	No	Sí	Sí	Sí	No	No
OpenSSL	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí	No	No
wolfSSL	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí	Sí	No	No
Implementación	secp160k1 (15)^[34]	secp160r1 (16)^[34]	secp160r2 (17)^[34]	secp192k1 (18)^[34]	secp192r1 prime192v1 NIST P-192 (19)^[34]	secp224k1 (20)^[34]	secp224r1 NIST P-244 (21)^[34]	secp256k1 (22)^[34]	secp256r1 prime256v1 NIST P-256 (23)^[34]	secp384r1 NIST P-384 (24)^[34]	secp521r1 NIST P-521 (25)^[34]	arbitrary prime curves (0xFF01)^[34]^[61]	arbitrary char2 curves (0xFF02)^[34]^[61]

Implementación	brainpoolP256r1 (26)^[62]	brainpoolP384r1 (27)^[62]	brainpoolP512r1 (28)^[62]	X25519 ^[63]	Curve448 Ed448-Goldilocks ^[64]	M221 Curve2213 ^[65]	E222 ^[65]	Curve1174 ^[65]	E382 ^[65]	M383 ^[65]	Curve383187 ^[65]	Curve41417 Curve3617 ^[65]	M511 Curve511187 ^[65]	E521 ^[65]
GnuTLS	No	No	No	Sí^[66]	No	No	No	No	No	No	No	No	No	No
OpenSSL	Sí^[26]	Sí^[26]	Sí^[26]	Sí^[67]^[68]	Sí^[69]^[70]	No	No	No	No	No	No	No	No	No
wolfSSL	Sí	Sí	Sí	Sí^[71]	No	No	No	No	No	No	No	No	No	No
Implementación	brainpoolP256r1 (26)	brainpoolP384r1 (27)	brainpoolP512r1 (28)	Curve25519	Curve448 Ed448-Goldilocks	M221 Curve2213	E222	Curve1174	E382	M383	Curve383187	Curve41417 Curve3617	M511 Curve511187	E521 ^[65]

Rocio

Implementación	HMAC-MD5	HMAC-SHA1	HMAC-SHA256/384	AEAD	GOST 28147-89 IMIT^[35]	GOST R 34.11-94^[35]
GnuTLS	Sí	Sí	Sí	Sí	No	No
OpenSSL	Sí	Sí	Sí	Sí	Sí^[36]	Sí^[36]
wolfSSL	Sí	Sí	Sí	Sí	No	No
Implementación	HMAC-MD5	HMAC-SHA1	HMAC-SHA256/384	AEAD	GOST 28147-89 IMIT	GOST R 34.11-94

Compresión

Nótese que la falla de seguridad CRIME toma ventaja de la compresión TLS, así que las implementaciones conservadoras no habilitan la compresión al nivel de TLS. La compresión HTTP no está relacionada ni se ve afectada por este abuso, pero se aprovecha del relacionado ataque BREACH.

Implementación	DEFLATE^[72] (inseguro)
GnuTLS	Deshabilitado por defecto
OpenSSL	Deshabilitado por defecto
wolfSSL	Deshabilitado por defecto
Implementación	DEFLATE

Extensiones

En esta sección se listan las extensiones que cada implementación mantiene. Nótese que la extensión de Renegociación Segura es crítica para la seguridad del cliente HTTPS ^{[cita requerida]}. Clientes TLS que no la implementan son vulnerables a ataques, independientemente de si el cliente implementa la renegociación TLS o no.

Implementación	Renegociación Segura ^[73]	Indicación del nombre de servidor ^[74]	ALPN ^[75]	Solicitud de estado de certificado ^[74]	OpenPGP ^[76]	Datos suplementarios ^[77]	Ticket de sesión ^[78]	Exportador de material de tipeo ^[79]	Longitud máxima de fragmento ^[74]	Truncado HMAC ^[74]	Encrypt-then-MAC ^[80]	TLS de vuelta atrás SCSV ^[81]	Secreto maestro extendido ^[82]	Relleno ClientHello ^[83]	Claves públicas primas ^[84]
GnuTLS	Sí	Sí	Sí^[85]	Sí	Obsoleto^[86]	Sí	Sí	Sí	Sí	No	Sí^[22]	Sí^[87]	Sí^[22]	Sí^[88]	No
OpenSSL	Sí	Sí	Sí^[26]	Sí	No	No?	Sí	Sí?	No	No	No	Sí^[89]	Sí^[90]	Sí^[91]	Desconocido
wolfSSL	Sí	Sí	Sí^[60]	Sí	No	No	Sí	No	Sí	Sí	No	No	Sí	No	Desconocido
Implementación	Renegociación segura	Indicación del nombre de servidor	ALPN	Solicitud de estado de certificado	OpenPGP	Datos suplementarios	Ticket de sesión	Exportador de material de tipeo	Longitud máxima de fragmento	HMAC truncado	Encrypt-then-MAC	TLS de vuelta atrás SCSV	Secreto maestro extendido	Relleno ClientHello	Claves públicas primas

Criptografía asistida

Esta sección lista las habilidades de implementación conocidas por tomar ventaja de los sets de instrucción de CPU que optimizan la encriptación, o que utilizan dispositivos específicos del sistema que permiten accesar el hardware criptográfico subyacente para la aceleración o separación de datos.

Implementación	Dispositivo PKCS #11	Intel AES-NI	VIA PadLock	ARMv8-A	Intel SGX	Intel QAT
GnuTLS	Sí	Sí	Sí	Sí^[92]	No	No
OpenSSL	Sí^[93]	Sí	Sí	Sí^[94]		No
wolfSSL	No	Sí	No	Sí	Sí	Sí^[95]
Implementación	Dispositivo PKCS #11	Intel AES-NI	VIA PadLock	ARMv8-A	Intel SGX	Intel QAT

Soporte basado en sistema

Esta sección lista la habilidad de cada implementación de aprovechar el soporte específico del sistema operativo disponible, o incluso el soporte provisto por alguna otra implementación.

Implementación	/dev/crypto	Windows CSP	CommonCrypto	Motor OpenSSL
GnuTLS	Sí	No	No	No
OpenSSL	Sí	No	No	Sí
wolfSSL	No	Parcial	No	No
Implementación	/dev/crypto	Windows CSP	CommonCrypto	Motor OpenSSL

Módulo criptográfico/Token de soporte

Implementación	Soporte TPM	Token de soporte de hardware	Objetos identificados vía
GnuTLS	Sí	PKCS11	RFC7512 PKCS #11 URLs^[96]
OpenSSL	Sí	PKCS11 (vía módulo por terceros)^[97]	RFC7512 PKCS #11 URLs^[96]
wolfSSL	No	No
Implementación	Soporte TPM	Token de soporte de hardware	Objetos identificados vía

Dependencias de código

Implementación	Dependencias	Dependencias opcionales
GnuTLS	libc nettle gmp	zlib (compresión) p11-kit (PKCS #11) trousers (TPM)
OpenSSL	libc	zlib (compresión)
wolfSSL	Ninguna	libc, zlib (compresión)
Implementación	Dependencias	Dependencias opcionales

Entorno de desarrollo

Implementación	Namespace	Herramientas de estructuración	Manual API	Crypto back-end	Capa de compatibilidad OpenSSL
GnuTLS	gnutls_*	Autoconf, automake, libtool	Manual y referencia API (HTML, PDF)	Externa, libnettle	Sí (limitada)
OpenSSL	SSL_* SHA1_* MD5_* EVP_* ...	Makefile	Man pages	Incluida (monolítica)	—
wolfSSL	CyaSSL_* SSL_*	Autoconf, automake, libtool, espacios de trabajo de proyecto MSVC, proyectos XCode, proyectos CodeWarrior, proyectos MPLAB X, Keil, IAR, Clang, GCC	Manual y referencia API (HTML, PDF)	Incluida (monolítica)	Sí (cerca del 10% de API)
Implementación	Namespace	Herramientas de estructuración	Manual API	Crypto back-end	Capa de compatibilidad OpenSSL