Pourquoi Google préfère-t-il ECDHE-RSA-AES128-GCM-SHA256?
Je souhaite configurer mon nouveau serveur de messagerie en toute sécurité et me poser des questions sur le chiffrement utilisé lors de la connexion au serveur SMTP de Google.
Je suis curieux de savoir pourquoi ils préfèrent le chiffre ECDHE-RSA-AES128-GCM-SHA256 avant ECDHE-RSA-AES256-GCM-SHA384? N'est-ce pas plus faible?
Quand je teste avec openssl s_client -connect gmail-smtp-in.l.google.com:25 -starttls smtp -cipher ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256 la connexion négocie avec le chiffrement ECDHE-RSA-AES128-GCM-SHA256. Si je présente uniquement le chiffre ECDHE-RSA-AES256-GCM-SHA384 au serveur qu'il utilise.
La question la plus importante: existe-t-il un moyen de forcer postfix à n'utiliser que le chiffre le plus fort? Si j'exclus AES128 via tls_policy, c'est encore pire!
AES-128 n'est pas en pratique plus faible que AES-256. AES-128 est suffisamment robuste pour ne pas être cassé par une recherche exhaustive sur la clé (voir cette réponse pour certains détails), et un algorithme ne peut pas être "moins cassé" que "non cassé", il n'y a donc aucun avantage supplémentaire pour la sécurité à augmenter la taille de la clé à 256 bits.
(Il existe cependant des avantages pour le marketing : des touches plus longues peuvent séduire les esprits non techniques.)
D'un autre côté, l'utilisation de l'AES-256 présente un inconvénient pratique: elle utilise 40% de CPU supplémentaire par rapport à l'AES-128. Cela peut être important pour un serveur doté d'une connectivité réseau très rapide (disons, fibre optique 10 Gbit) ou doté d'un processeur faible. Je soupçonne que le serveur SMTP de Google est du premier type: puissant, mais gérant beaucoup de données entrantes.