Windows 10 v1709의 TLS 암호 그룹
[일부 정보는 상업용으로 출시되기 전에 상당 부분 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보에 대해 명시적 또는 묵시적 보증을 하지 않습니다.]
암호화 도구 모음은 이를 지원하는 TLS 버전에 대해서만 협상할 수 있습니다. 지원되는 가장 높은 TLS 버전은 항상 TLS 핸드셰이크에서 선호됩니다.
암호화 도구 모음의 가용성은 다음 두 가지 방법 중 하나로 제어되어야 합니다.
- 우선 순위 목록이 구성되면 기본 우선 순위 순서가 재정의됩니다. 우선 순위 목록에 없는 암호 그룹은 사용되지 않습니다.
- 애플리케이션이 SCH_USE_STRONG_CRYPTO 통과하면 허용됩니다. Microsoft Schannel 공급자는 애플리케이션이 SCH_USE_STRONG_CRYPTO 플래그를 사용할 때 알려진 약한 암호 그룹을 필터링합니다. RC4, DES, 내보내기 및 null 암호 그룹이 필터링됩니다.
Important
HTTP/2 웹 서비스는 비 HTTP/2 호환 암호 도구 모음으로 실패합니다. HTTP/2 클라이언트 및 브라우저에서 웹 서비스가 작동하도록 하려면 사용자 지정 암호 그룹 순서를 배포하는 방법을 참조 하세요.
FIPS 준수는 타원 곡선이 추가되어 이 테이블의 이전 버전에서 FIPS 모드가 설정된 열을 오해의 소지가 있으므로 더욱 복잡해졌습니다. 예를 들어 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 같은 암호 그룹은 NIST 타원 곡선을 사용하는 경우에만 FIPS 규격입니다. FIPS 모드에서 사용할 줄임표 곡선과 암호화 도구 모음의 조합을 알아보려면 TLS 구현의 선택, 구성 및 사용에 대한 지침 섹션 3.3.1을 참조하세요.
Windows 10 버전 1709의 경우 Microsoft Schannel 공급자를 사용하여 기본적으로 다음 암호 그룹을 사용하도록 설정하고 이 우선 순위 순서로 설정합니다.
암호 그룹 문자열 | SCH_USE_STRONG_CRYPTO 허용 | TLS/SSL 프로토콜 버전 |
---|---|---|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | 예 | TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | 예 | TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 예 | TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 예 | TLS 1.2 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | 예 | TLS 1.2 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | 예 | TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | 예 | TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | 예 | TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 예 | TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 예 | TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_RSA_WITH_AES_256_GCM_SHA384 | 예 | TLS 1.2 |
TLS_RSA_WITH_AES_128_GCM_SHA256 | 예 | TLS 1.2 |
TLS_RSA_WITH_AES_256_CBC_SHA256 | 예 | TLS 1.2 |
TLS_RSA_WITH_AES_128_CBC_SHA256 | 예 | TLS 1.2 |
TLS_RSA_WITH_AES_256_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_RSA_WITH_AES_128_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_RSA_WITH_3DES_EDE_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_RSA_WITH_NULL_SHA256 애플리케이션이 명시적으로 요청할 때만 사용됩니다. | 아니요 | TLS 1.2 |
TLS_RSA_WITH_NULL_SHA 애플리케이션이 명시적으로 요청할 때만 사용됩니다. | 아니요 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
다음 암호 그룹은 Microsoft Schannel 공급자에서 지원되지만 기본적으로 사용하도록 설정되지는 않습니다.
암호 그룹 문자열 | SCH_USE_STRONG_CRYPTO 허용 | TLS/SSL 프로토콜 버전 |
---|---|---|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | 예 | TLS 1.2 |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | 예 | TLS 1.2 |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_RSA_WITH_RC4_128_SHA | 아니요 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_RSA_WITH_RC4_128_MD5 | 아니요 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_RSA_WITH_DES_CBC_SHA | 아니요 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_DHE_DSS_WITH_DES_CBC_SHA | 아니요 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | 아니요 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_RSA_WITH_NULL_MD5 애플리케이션이 명시적으로 요청할 때만 사용됩니다. | 아니요 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | 아니요 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_RSA_EXPORT_WITH_RC4_40_MD5 | 아니요 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | 아니요 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
다음 PSK 암호화 도구 모음은 기본적으로 Microsoft Schannel 공급자를 사용하여 이 우선 순위 순서로 사용하도록 설정됩니다.
암호 그룹 문자열 | SCH_USE_STRONG_CRYPTO 허용 | TLS/SSL 프로토콜 버전 |
---|---|---|
TLS_PSK_WITH_AES_256_GCM_SHA384 | 예 | TLS 1.2 |
TLS_PSK_WITH_AES_128_GCM_SHA256 | 예 | TLS 1.2 |
TLS_PSK_WITH_AES_256_CBC_SHA384 | 예 | TLS 1.2 |
TLS_PSK_WITH_AES_128_CBC_SHA256 | 예 | TLS 1.2 |
TLS_PSK_WITH_NULL_SHA384 | 아니요 | TLS 1.2 |
TLS_PSK_WITH_NULL_SHA256 | 아니요 | TLS 1.2 |
참고 항목
PSK 암호 도구 모음은 기본적으로 사용하도록 설정되지 않습니다. 애플리케이션은 SCH_USE_PRESHAREDKEY_ONLY 사용하여 PSK를 요청해야 합니다. Schannel 플래그에 대한 자세한 내용은 SCHANNEL_CRED 참조하세요.
암호 그룹을 추가하려면 그룹 정책을 배포하거나 TLS cmdlet을 사용합니다.
- 그룹 정책을 사용하려면 사용하려는 모든 암호 그룹에 대한 우선 순위 목록을 사용하여 컴퓨터 구성 > 관리 템플릿 > 네트워크 > SSL 구성 설정에서 SSL 암호 그룹 순서를 구성합니다.
- PowerShell을 사용하려면 TLS cmdlet을 참조 하세요.
참고 항목
Windows 10 이전에는 암호화 도구 모음 문자열에 타원 곡선이 추가되어 곡선 우선 순위를 결정했습니다. Windows 10은 타원 곡선 우선 순위 순서 설정을 지원하므로 타원 곡선 접미사가 필요하지 않으며 제공된 경우 새로운 타원 곡선 우선 순위 순서로 재정의되어 조직에서 그룹 정책을 사용하여 동일한 암호 그룹을 사용하여 다양한 버전의 Windows를 구성할 수 있습니다.