TR03116 and TR02102-2

[sluetze]

TR03116 requires a set of ciphers for TLS. We could configure this in the tls profiles and check against this.

there are rules for this:

Rulename	State	variable	commit
api_server_tls_cipher_suites	used	no	30a9b39
kubelet_configure_tls_cipher_suites	used	yes
kubelet_configure_tls_cipher_suites_ingresscontroller	not used, but working. only checks for ANY not ALL of the Ciphers	no
kubelet_configure_tls_cipher_suites_kubeapiserver_operator	looks deprecated/non working, not used by any profile	no
kubelet_configure_tls_cipher_suites_openshiftapiserver_operator	looks deprecated/non working, not used by any profile	no
etcd_check_cipher_suite	looks badly implemented (no checkall, checks configmap instead of observed config), PCIDSS	no

[sluetze]

Cipher	Profile	TR03116-4	TR02102-2	TLS Version
TLS_AES_128_GCM_SHA256	Intermediate	2.3.2 (mindestens diese)	3.4.4	1.3
TLS_AES_256_GCM_SHA384	Intermediate	Keine Erwähnung	3.4.4	1.3
TLS_CHACHA20_POLY1305_SHA256	Intermediate	Keine Erwähnung	Keine Erwähnung	1.3
ECDHE-ECDSA-AES128-GCM-SHA256	Intermediate	2.2.1.1 (mindestens eine) 2.2.1.2 (mindestens eine)	3.3.1.1 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	1.2 PFS
ECDHE-RSA-AES128-GCM-SHA256	Intermediate	2.2.1.1 (mindestens eine) 2.2.1.2 (mindestens eine)	3.3.1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	1.2 PFS
ECDHE-ECDSA-AES256-GCM-SHA384	Intermediate	Keine Erwähnung	3.3.1.1 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	1.2 PFS
ECDHE-RSA-AES256-GCM-SHA384	Intermediate	Keine Erwähnung	3.3.1.1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	1.2 PFS
ECDHE-ECDSA-CHACHA20-POLY1305	Intermediate	Keine Erwähnung	Keine Erwähnung
ECDHE-RSA-CHACHA20-POLY1305	Intermediate	Keine Erwähnung	Keine Erwähnung
DHE-RSA-AES128-GCM-SHA256	Intermediate	Keine Erwähnung	3.3.1.1 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256	1.2 PFS
DHE-RSA-AES256-GCM-SHA384	Intermediate	Keine Erwähnung	3.3.1.1 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384	1.2 PFS

Anmerkung: die TLS1.2 Cipher unterscheiden sich in der Namensgebung bei RH&Mozilla und dem BSI.

For Poly/chacha see https://fragdenstaat.de/anfrage/nicht-empfehlung-von-cipher-suite-tls-chacha20-poly1305-sha256-fuer-tls1-3-in-tr-02102-2/#nachricht-828645

Die Technischen Richtlinien der Reihe TR-02102 geben Empfehlungen zu kryptografischen Verfahren und Schlüssellängen. Der empfehlende Charakter dieser Richtlinien bedeutet insbesondere, dass nicht aufgeführte Verfahren vom BSI nicht zwangsläufig als unsicher beurteilt werden.

Dem BSI sind keine kryptografischen Schwächen der Stromchiffre ChaCha20 oder des authentisierten Verschlüsselungsverfahrens ChaCha20/Poly1305 bekannt.