tls: reduce the strength of CCM_8 ciphers due to their short IV.

author Pauli <pauli@openssl.org>

Wed, 22 Sep 2021 00:31:22 +0000 (10:31 +1000)

committer Pauli <pauli@openssl.org>

Fri, 24 Sep 2021 07:38:23 +0000 (17:38 +1000)
author Pauli <pauli@openssl.org>
Wed, 22 Sep 2021 00:31:22 +0000 (10:31 +1000)
committer Pauli <pauli@openssl.org>
Fri, 24 Sep 2021 07:38:23 +0000 (17:38 +1000)
diff --git a/CHANGES.md b/CHANGES.md

index c9d3825eecf5cb036cfc87f1ce53ac4727b0ca3a..cfb6eb0821b31a073f0fc72fa22cbb6314beeefb 100644 (file)
--- a/CHANGES.md
+++ b/CHANGES.md
@@ -24,6 +24,11 @@ OpenSSL 3.1
  
  ### Changes between 3.0 and 3.1 [xx XXX xxxx]
  
+ * CCM8 cipher suites in TLS have been downgraded to security level 1 because
+   they use a short tag which lowers their strength.
+
+   *Paul Dale*
+
   * Subject or issuer names in X.509 objects are now displayed as UTF-8 strings
     by default.
  
diff --git a/ssl/s3_lib.c b/ssl/s3_lib.c

index ef027d79e07ae1a3e7984e28045aa7ab2ba9184e..88565a700063e8f8be6f2b82eeb564973627c1b5 100644 (file)
--- a/ssl/s3_lib.c
+++ b/ssl/s3_lib.c
@@ -108,9 +108,9 @@ static SSL_CIPHER tls13_ciphers[] = {
          SSL_AEAD,
          TLS1_3_VERSION, TLS1_3_VERSION,
          0, 0,
-        SSL_NOT_DEFAULT | SSL_HIGH,
+        SSL_NOT_DEFAULT | SSL_MEDIUM,
          SSL_HANDSHAKE_MAC_SHA256,
-        128,
+        64, /* CCM8 uses a short tag, so we have a low security strength */
          128,
      }
  };
@@ -699,9 +699,9 @@ static SSL_CIPHER ssl3_ciphers[] = {
       SSL_AEAD,
       TLS1_2_VERSION, TLS1_2_VERSION,
       DTLS1_2_VERSION, DTLS1_2_VERSION,
-     SSL_NOT_DEFAULT | SSL_HIGH,
+     SSL_NOT_DEFAULT | SSL_MEDIUM,
       SSL_HANDSHAKE_MAC_SHA256 | TLS1_PRF_SHA256,
-     128,
+     64, /* CCM8 uses a short tag, so we have a low security strength */
       128,
       },
      {
@@ -715,9 +715,9 @@ static SSL_CIPHER ssl3_ciphers[] = {
       SSL_AEAD,
       TLS1_2_VERSION, TLS1_2_VERSION,
       DTLS1_2_VERSION, DTLS1_2_VERSION,
-     SSL_NOT_DEFAULT | SSL_HIGH,
+     SSL_NOT_DEFAULT | SSL_MEDIUM,
       SSL_HANDSHAKE_MAC_SHA256 | TLS1_PRF_SHA256,
-     256,
+     64, /* CCM8 uses a short tag, so we have a low security strength */
       256,
       },
      {
@@ -731,9 +731,9 @@ static SSL_CIPHER ssl3_ciphers[] = {
       SSL_AEAD,
       TLS1_2_VERSION, TLS1_2_VERSION,
       DTLS1_2_VERSION, DTLS1_2_VERSION,
-     SSL_NOT_DEFAULT | SSL_HIGH,
+     SSL_NOT_DEFAULT | SSL_MEDIUM,
       SSL_HANDSHAKE_MAC_SHA256 | TLS1_PRF_SHA256,
-     128,
+     64, /* CCM8 uses a short tag, so we have a low security strength */
       128,
       },
      {
@@ -747,9 +747,9 @@ static SSL_CIPHER ssl3_ciphers[] = {
       SSL_AEAD,
       TLS1_2_VERSION, TLS1_2_VERSION,
       DTLS1_2_VERSION, DTLS1_2_VERSION,
-     SSL_NOT_DEFAULT | SSL_HIGH,
+     SSL_NOT_DEFAULT | SSL_MEDIUM,
       SSL_HANDSHAKE_MAC_SHA256 | TLS1_PRF_SHA256,
-     256,
+     64, /* CCM8 uses a short tag, so we have a low security strength */
       256,
       },
      {
@@ -827,9 +827,9 @@ static SSL_CIPHER ssl3_ciphers[] = {
       SSL_AEAD,
       TLS1_2_VERSION, TLS1_2_VERSION,
       DTLS1_2_VERSION, DTLS1_2_VERSION,
-     SSL_NOT_DEFAULT | SSL_HIGH,
+     SSL_NOT_DEFAULT | SSL_MEDIUM,
       SSL_HANDSHAKE_MAC_SHA256 | TLS1_PRF_SHA256,
-     128,
+     64, /* CCM8 uses a short tag, so we have a low security strength */
       128,
       },
      {
@@ -843,9 +843,9 @@ static SSL_CIPHER ssl3_ciphers[] = {
       SSL_AEAD,
       TLS1_2_VERSION, TLS1_2_VERSION,
       DTLS1_2_VERSION, DTLS1_2_VERSION,
-     SSL_NOT_DEFAULT | SSL_HIGH,
+     SSL_NOT_DEFAULT | SSL_MEDIUM,
       SSL_HANDSHAKE_MAC_SHA256 | TLS1_PRF_SHA256,
-     256,
+     64, /* CCM8 uses a short tag, so we have a low security strength */
       256,
       },
      {
@@ -859,9 +859,9 @@ static SSL_CIPHER ssl3_ciphers[] = {
       SSL_AEAD,
       TLS1_2_VERSION, TLS1_2_VERSION,
       DTLS1_2_VERSION, DTLS1_2_VERSION,
-     SSL_NOT_DEFAULT | SSL_HIGH,
+     SSL_NOT_DEFAULT | SSL_MEDIUM,
       SSL_HANDSHAKE_MAC_SHA256 | TLS1_PRF_SHA256,
-     128,
+     64, /* CCM8 uses a short tag, so we have a low security strength */
       128,
       },
      {
@@ -875,9 +875,9 @@ static SSL_CIPHER ssl3_ciphers[] = {
       SSL_AEAD,
       TLS1_2_VERSION, TLS1_2_VERSION,
       DTLS1_2_VERSION, DTLS1_2_VERSION,
-     SSL_NOT_DEFAULT | SSL_HIGH,
+     SSL_NOT_DEFAULT | SSL_MEDIUM,
       SSL_HANDSHAKE_MAC_SHA256 | TLS1_PRF_SHA256,
-     256,
+     64, /* CCM8 uses a short tag, so we have a low security strength */
       256,
       },
      {
@@ -923,9 +923,9 @@ static SSL_CIPHER ssl3_ciphers[] = {
       SSL_AEAD,
       TLS1_2_VERSION, TLS1_2_VERSION,
       DTLS1_2_VERSION, DTLS1_2_VERSION,
-     SSL_NOT_DEFAULT | SSL_HIGH,
+     SSL_NOT_DEFAULT | SSL_MEDIUM,
       SSL_HANDSHAKE_MAC_SHA256 | TLS1_PRF_SHA256,
-     128,
+     64, /* CCM8 uses a short tag, so we have a low security strength */
       128,
       },
      {
@@ -939,9 +939,9 @@ static SSL_CIPHER ssl3_ciphers[] = {
       SSL_AEAD,
       TLS1_2_VERSION, TLS1_2_VERSION,
       DTLS1_2_VERSION, DTLS1_2_VERSION,
-     SSL_NOT_DEFAULT | SSL_HIGH,
+     SSL_NOT_DEFAULT | SSL_MEDIUM,
       SSL_HANDSHAKE_MAC_SHA256 | TLS1_PRF_SHA256,
-     256,
+     64, /* CCM8 uses a short tag, so we have a low security strength */
       256,
       },
      {
author	Pauli <pauli@openssl.org>
	Wed, 22 Sep 2021 00:31:22 +0000 (10:31 +1000)
committer	Pauli <pauli@openssl.org>
	Fri, 24 Sep 2021 07:38:23 +0000 (17:38 +1000)
CHANGES.md		patch \| blob \| blame \| history
ssl/s3_lib.c		patch \| blob \| blame \| history