<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Jun 25, 2014 at 8:01 AM, ianG <span dir="ltr"><<a href="mailto:iang@iang.org" target="_blank">iang@iang.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

     1.  Do you believe that in general case for the security for the<br>
net, (a) security protocols MUST be agile w.r.t cryptography ciphers ?<br>
OR, in the negative, no, protocols may set one cipher and stick with it.</blockquote><div><br></div><div>I think it makes sense to provide a "backup" cipher in the event that it can be used to work around things like protocol bugs. This happened when BEAST was discovered. We can try to hope that next generation protocols won't suffer BEAST-style design flaws since they're built on authenticated encryption, but having a backup cipher makes sense. </div>

</div><div class="gmail_extra"><br></div>That said, I think the assemble-your-own-ciphersuite approach has totally failed. We wind up with ciphersuites that look like:</div><div class="gmail_extra"><br></div><div class="gmail_extra">

<b style="margin:0px;padding:0px;line-height:20.15999984741211px;color:rgb(68,68,68);font-family:Arial,sans-serif;font-size:14px">ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK</b></div>

<div class="gmail_extra"><font color="#444444" face="Arial, sans-serif"><span style="font-size:14px;line-height:20.15999984741211px"><b><br></b></span></font></div><div class="gmail_extra">Taken from: <a href="https://wiki.mozilla.org/Security/Server_Side_TLS#Non-Backward_Compatible_Ciphersuite">https://wiki.mozilla.org/Security/Server_Side_TLS#Non-Backward_Compatible_Ciphersuite</a><font color="#444444" face="Arial, sans-serif"><b style><br clear="all">

</b></font><div><br></div><div>...and this isn't even the even more complex "backwards compatible" ciphersuite!</div><div><br></div><div>A much simpler approach might be to create "one ciphersuite to rule them all" that's versioned with a major number. We could choose something like this for ciphersuite 0:</div>

<div><br></div><div>0.0: chacha20poly1305</div><div>0.1: aes-256-gcm</div><div>0.2: aes-128-gcm</div><div><br></div>-- <br>Tony Arcieri<br>
</div></div>