Provided by:
manpages-fr-extra_20101103_all 
NOM
ciphers - outil d'affichage et de listage des chiffrements SSL.
SYNOPSIS
openssl ciphers [-v] [-ssl2] [-ssl3] [-tls1] [listechiffrements]
DESCRIPTION
La commande cipherlist convertit les listes de chiffrements OpenSSL en
des listes de chiffrements SSL triees par preference. Elle peut etre
employee comme test afin de determiner la liste de chiffrements
appropriee.
OPTIONS DE LA COMMANDE
-v option bavard. Affichage des types de chiffrement avec une
description complete du protocole (SSLv2 ou SSLv3 ; ce dernier
inclut TLS), echange de cle, identification, chiffrement et
algorithmes mac utilises ainsi que les restrictions sur la longueur
des cles et si l'algorithme est classe en tant que chiffrement
d'<<export>>. Remarquons que sans l'option -v, les chiffrements
peuvent sembler apparaitre en double dans une liste; c'est le cas
lorsque des chiffrements similaires sont disponibles pour SSL v2 et
SSL v3/TLS v1.
-ssl3
affiche seulement les chiffrements SSL v3.
-ssl2
affiche seulement les chiffrements SSL v2.
-tls1
affiche seulement les chiffrements TLS v1.
-h, -?
affiche un bref descriptif d'utilisation.
listechiffrements
une liste de types de chiffrement a convertir en une liste de
preferences de chiffrement. Si cette option est omise, la liste de
chiffrements par defaut sera prise. Le format est decrit ci-
dessous.
FORMAT DES LISTES DE CHIFFREMENTS
La liste de chiffrements comprend une ou plusieurs chaines de
chiffrements, separees par des deux-points (<<:>>). Les virgules et
point-virgules sont egalement des separateurs valables, mais
d'habitude, les deux-points sont utilises.
La chaine de chiffrements se presente sous differentes formes.
Elle peut etre une suite simple de chiffrements comme RC4-SHA.
Elle peut etre une liste de suites de chiffrements, contenant un
certain algorithme, ou des suites de chiffrements d'un type precis. Par
exemple, SHA1 represente toutes les suites utilisant l'algorithme de
signature SHA1 et SSLv3 tous les algorithmes SSL v3.
Les listes de suites de chiffrements peuvent etre combinees en une
seule chaine de chiffrements en utilisant le caractere +. Ceci
correspond a une operation logique ET. Par exemple, SHA1+DES represente
toutes les suites de chiffrements contenant a la fois les algorithmes
SHA1 ET DES.
Toute chaine de chiffrements peut etre precedee par les caracteres !, -
ou +.
Si ! est utilise, alors les chiffrements sont definitivement supprimes
de la liste. Les chiffrements supprimes ne peuvent reapparaitre dans la
liste meme s'ils sont nommes explicitement.
Si - est utilise, les chiffrements sont egalement supprimes de la
liste, mais certains ou tous les chiffrements peuvent etre rajoutes par
la suite par des options supplementaires.
Si + est utilise, les chiffrements sont deplaces en fin de liste. Cette
option n'ajoute aucun nouveau chiffrement, seuls les chiffrements
existants sont deplaces.
Si aucun de ces caracteres n'est present, la chaine est uniquement
interpretee en tant que liste de chiffrements a ajouter a la liste de
preferences actuelle. Tous les chiffrements qui sont deja presents sont
ignores; ils ne seront pas deplaces a la fin de la liste.
De plus, la chaine de chiffrements @STRENGTH peut etre employee a
n'importe quel endroit afin de trier la liste de chiffrements actuelle
en fonction de la longueur de la cle de l'algorithme de codage.
CHA^INES DE CHIFFREMENT
Voici une liste de toutes les chaines de chiffrements permises et de
leur signification.
DEFAULT
La liste de chiffrements par defaut. Elle est determinee lors de la
compilation et vaut normalement
AES:ALL:!aNULL:!eNULL:+RC4:@STRENGTH. Si presente, elle doit etre
la premiere chaine de chiffrements specifiee.
COMPLEMENTOFDEFAULT
les algorithmes inclus dans ALL, mais pas actives par defaut.
Actuellement il s'agit de ADH. Notez que cette regle ne couvre pas
eNULL, qui n'est pas inclu dans ALL (utilisez COMPLEMENTOFALL si
necessaire).
ALL Toutes les suites de chiffrements a part les chiffrements eNULL qui
doivent etre actives explicitement.
COMPLEMENTOFALL
les suites d'algorithmes de chiffrement qui ne sont pas activees
par ALL. Actuellement, il s'agit de eNULL.
HIGH
Les suites a chiffrements <<forts>>. Ceci signifie actuellement que
la cle de chiffrement doit avoir une longueur superieure a 128
octets.
MEDIUM
Les suites a chiffrements <<moyens>>. Ceci signifie actuellement
que la cle de chiffrement doit avoir une longueur egale a 128
octets.
LOW Les suites a chiffrements <<faibles>>. Ceci signifie actuellement
que la cle de chiffrement doit avoir une longueur de 56 ou 64
octets, mais les suites dites d'export sont traitees a part.
EXP, EXPORT
Les algorithmes de chiffrement d'export, incluant les algorithmes
de 40 et 56 octets.
EXPORT40
Les algorithmes de chiffrement d'export de 40 bits.
EXPORT56
Les algorithmes de chiffrement d'export de 56 bits. Dans
OpenSSL0.9.8c et les versions suivantes l'ensemble des chiffrements
d'export de 56 bits est vide a moins qu'OpenSSL n'ait ete configure
explicitement pour gerer ces chiffrements experimentaux.
eNULL, NULL
les chiffrements <<NULL>> correspondent a l'absence de chiffrement.
Parce qu'il n'y a pas de chiffrement et qu'ils representent ainsi
un risque de securite important, ils sont deactives sauf s'ils sont
cites explicitement.
aNULL
les suites de chiffrements sans identification. Il s'agit
actuellement des algorithmes anonymes DH. Ces suites de
chiffrements sont vulnerables a des attaques dites <<homme au
milieu>> (<<man in the middle>>) et leur utilisation est
deconseillee.
kRSA, RSA
suites de chiffrements utilisant l'echange de cle RSA.
kEDH
suites de chiffrements utilisant l'accord de cle ephemere DH.
kDHr, kDHd
suites de chiffrements utilisant la distribution de cles DH ainsi
que des certificats DH signes par des CAs utilisant des cles RSA et
DSS respectivement. Non implementes.
aRSA
suites de chiffrements utilisant l'identification RSA, c'est-a-dire
que les certificats portent une cle RSA.
aDSS, DSS
suites de chiffrements utilisant l'identification DSS, c'est-a-dire
que les certificats portent une cle DSS.
aDH suites de chiffrements utilisant effectivement l'identification DH,
c'est-a-dire que les certificats portent une cle DH. Non
implementes.
kFZA, aFZA, eFZA, FZA
suites de chiffrements utilisant l'echange de cle,
l'identification, le chiffrement ou tous les algorithmes FORTEZZA.
Non implementes.
TLSv1, SSLv3, SSLv2
suites de chiffrements TLS v1.0, SSL v3.0 ou SSL v2.0
respectivement.
DH suites de chiffrements utilisant DH, incluant DH anonyme.
ADH suites de chiffrements DH anonymes.
AES suites de chiffrements utilisant AES.
CAMELLIA
suites de chiffrements utilisant Camellia.
3DES
suites de chiffrements utilisant le triple DES.
DES suites de chiffrements utilisant le DES simple (pas le triple DES).
RC4 suites de chiffrements utilisant RC4.
RC2 suites de chiffrements utilisant RC2.
IDEA
suites de chiffrements utilisant IDEA.
SEED
suites de chiffrements utilisant SEED.
MD5 suites de chiffrements utilisant MD5.
SHA1, SHA
suites de chiffrements utilisant SHA1.
NOMS DES SUITES DE CHIFFREMENTS
La liste suivante donne les noms des suites de chiffrements SSL ou TLS
partant de la specification correspondante et leurs equivalents
OpenSSL. Il faut noter que le nom de plusieurs suites de chiffrements
n'inclut pas le type d'identification utilise, par exemple
DES-CBC3-SHA. Dans ces cas, l'identification RSA est utilisee.
Suites de chiffrements SSL v3.0.
SSL_RSA_WITH_NULL_MD5 NULL-MD5
SSL_RSA_WITH_NULL_SHA NULL-SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5 EXP-RC4-MD5
SSL_RSA_WITH_RC4_128_MD5 RC4-MD5
SSL_RSA_WITH_RC4_128_SHA RC4-SHA
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 EXP-RC2-CBC-MD5
SSL_RSA_WITH_IDEA_CBC_SHA IDEA-CBC-SHA
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-DES-CBC-SHA
SSL_RSA_WITH_DES_CBC_SHA DES-CBC-SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHA
SSL_DH_DSS_EXPORT_WITH_DES40_CBC_SHA Pas implemente.
SSL_DH_DSS_WITH_DES_CBC_SHA Pas implemente.
SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA Pas implemente.
SSL_DH_RSA_EXPORT_WITH_DES40_CBC_SHA Pas implemente.
SSL_DH_RSA_WITH_DES_CBC_SHA Pas implemente.
SSL_DH_RSA_WITH_3DES_EDE_CBC_SHA Pas implemente.
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-DSS-DES-CBC-SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA EDH-DSS-CBC-SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA EDH-DSS-DES-CBC3-SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-RSA-DES-CBC-SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA EDH-RSA-DES-CBC-SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHA
SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 EXP-ADH-RC4-MD5
SSL_DH_anon_WITH_RC4_128_MD5 ADH-RC4-MD5
SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA EXP-ADH-DES-CBC-SHA
SSL_DH_anon_WITH_DES_CBC_SHA ADH-DES-CBC-SHA
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA ADH-DES-CBC3-SHA
SSL_FORTEZZA_KEA_WITH_NULL_SHA Pas implemente.
SSL_FORTEZZA_KEA_WITH_FORTEZZA_CBC_SHA Pas implemente.
SSL_FORTEZZA_KEA_WITH_RC4_128_SHA Pas implemente.
Suites de chiffrements TLS v1.0.
TLS_RSA_WITH_NULL_MD5 NULL-MD5
TLS_RSA_WITH_NULL_SHA NULL-SHA
TLS_RSA_EXPORT_WITH_RC4_40_MD5 EXP-RC4-MD5
TLS_RSA_WITH_RC4_128_MD5 RC4-MD5
TLS_RSA_WITH_RC4_128_SHA RC4-SHA
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 EXP-RC2-CBC-MD5
TLS_RSA_WITH_IDEA_CBC_SHA IDEA-CBC-SHA
TLS_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-DES-CBC-SHA
TLS_RSA_WITH_DES_CBC_SHA DES-CBC-SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHA
TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA Pas implemente.
TLS_DH_DSS_WITH_DES_CBC_SHA Pas implemente.
TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA Pas implemente.
TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA Pas implemente.
TLS_DH_RSA_WITH_DES_CBC_SHA Pas implemente.
TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA Pas implemente.
TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-DSS-DES-CBC-SHA
TLS_DHE_DSS_WITH_DES_CBC_SHA EDH-DSS-CBC-SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA EDH-DSS-DES-CBC3-SHA
TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA EXP-EDH-RSA-DES-CBC-SHA
TLS_DHE_RSA_WITH_DES_CBC_SHA EDH-RSA-DES-CBC-SHA
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHA
TLS_DH_anon_EXPORT_WITH_RC4_40_MD5 EXP-ADH-RC4-MD5
TLS_DH_anon_WITH_RC4_128_MD5 ADH-RC4-MD5
TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA EXP-ADH-DES-CBC-SHA
TLS_DH_anon_WITH_DES_CBC_SHA ADH-DES-CBC-SHA
TLS_DH_anon_WITH_3DES_EDE_CBC_SHA ADH-DES-CBC3-SHA
Suites de chiffrements AES de la RFC3268, extension pour TLS v1.0
TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHA
TLS_RSA_WITH_AES_256_CBC_SHA AES256-SHA
TLS_DH_DSS_WITH_AES_128_CBC_SHA Pas implemente.
TLS_DH_DSS_WITH_AES_256_CBC_SHA Pas implemente.
TLS_DH_RSA_WITH_AES_128_CBC_SHA Pas implemente.
TLS_DH_RSA_WITH_AES_256_CBC_SHA Pas implemente.
TLS_DHE_DSS_WITH_AES_128_CBC_SHA DHE-DSS-AES128-SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA DHE-DSS-AES256-SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE-RSA-AES128-SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE-RSA-AES256-SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA ADH-AES128-SHA
TLS_DH_anon_WITH_AES_256_CBC_SHA ADH-AES256-SHA
Suites de chiffrements Camellia de la RFC4132, extension pour TLS v1.0
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA CAMELLIA128-SHA
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA CAMELLIA256-SHA
TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA Pas implemente.
TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA Pas implemente.
TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA Pas implemente.
TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA Pas implemente.
TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA DHE-DSS-CAMELLIA128-SHA
TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA DHE-DSS-CAMELLIA256-SHA
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA DHE-RSA-CAMELLIA128-SHA
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA DHE-RSA-CAMELLIA256-SHA
TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA ADH-CAMELLIA128-SHA
TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA ADH-CAMELLIA256-SHA
Suites de chiffrements SEED de la RFC4162, extension pour TLS v1.0
TLS_RSA_WITH_SEED_CBC_SHA SEED-SHA
TLS_DH_DSS_WITH_SEED_CBC_SHA Pas implemente.
TLS_DH_RSA_WITH_SEED_CBC_SHA Pas implemente.
TLS_DHE_DSS_WITH_SEED_CBC_SHA DHE-DSS-SEED-SHA
TLS_DHE_RSA_WITH_SEED_CBC_SHA DHE-RSA-SEED-SHA
TLS_DH_anon_WITH_SEED_CBC_SHA ADH-SEED-SHA
Suites de chiffrements additionnelles Export 1024 et autres
Note: ces chiffrements peuvent aussi etre utilises pour SSL v3.
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA EXP1024-DES-CBC-SHA
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA EXP1024-RC4-SHA
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA EXP1024-DHE-DSS-DES-CBC-SHA
TLS_DHE_DSS_EXPORT1024_WITH_RC4_56_SHA EXP1024-DHE-DSS-RC4-SHA
TLS_DHE_DSS_WITH_RC4_128_SHA DHE-DSS-RC4-SHA
Suites de chiffrements SSL v2.0.
SSL_CK_RC4_128_WITH_MD5 RC4-MD5
SSL_CK_RC4_128_EXPORT40_WITH_MD5 EXP-RC4-MD5
SSL_CK_RC2_128_CBC_WITH_MD5 RC2-MD5
SSL_CK_RC2_128_CBC_EXPORT40_WITH_MD5 EXP-RC2-MD5
SSL_CK_IDEA_128_CBC_WITH_MD5 IDEA-CBC-MD5
SSL_CK_DES_64_CBC_WITH_MD5 DES-CBC-MD5
SSL_CK_DES_192_EDE3_CBC_WITH_MD5 DES-CBC3-MD5
NOTES
Les modes non ephemeres de DH ne sont pas implementes actuellement en
OpenSSL car il n'y a pas de support pour les certificats DH.
Certaines versions compilees d'OpenSSL peuvent ne pas inclure tous les
types de chiffrement listes ici en raison du parametrage lors de la
compilation.
EXEMPLES
Liste bavarde de tous les chiffrements OpenSSL incluant les
chiffrements NULL:
openssl ciphers -v 'ALL:eNULL'
Inclure tous les chiffrements sauf NULL et DH anonyme, puis trier par
force:
openssl ciphers -v 'ALL:!ADH:@STRENGTH'
Inclure seulement les chiffrements 3DES puis ajouter les chiffrements
RSA a la fin :
openssl ciphers -v '3DES:+RSA'
Inclure tous les chiffrements utilisant RC4, mais laisser de cote ceux
sans identification:
openssl ciphers -v 'RC4:!COMPLEMENTOFDEFAULT'
Inclure tous les chiffrements avec une identification RSA, mais laisser
de cote les chiffrements sans chiffrement.
openssl ciphers -v 'RSA:!COMPLEMENTOFALL'
VOIR AUSSI
s_client(1), s_server(1), ssl(3)
HISTORIQUE
Les options de selection COMPLEMENTOFALL et COMPLEMENTOFDEFAULT ont ete
ajoutees dans la version 0.9.7.
TRADUCTION
Cette page de manuel a ete traduite par stolck en 2002 et est maintenue
par la liste <debian-l10n-french AT lists DOT debian DOT org>.
Veuillez signaler toute erreur de traduction par un rapport de bogue
sur le paquet manpages-fr-extra.