FIPS BouncyCastle показывает меньше шифров, чем говорит документ

Мой ключ имеет формат RSA, а алгоритм подписи сертификата — sha256WithRSAEncryption, с включенными bouncycastle fips я видел только 4 шифра TLS_ECDHE_RSA_xxx, поддерживаемых для tls1.2:

TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Но согласно https://downloads.bouncycastle.org/fips-java/BC-FJA-(D)TLSUserGuide-1.0.0.pdf, те TLS_RSA_WITH_xxx из списка поддерживаемых в Приложении B также должны быть доступны для моего случая, например TLS_RSA_WITH_AES_256_CBC_SHA256. Есть идеи, почему я этого не видел? В любом случае включить? Я использую реализацию Java.


ssl encryption fips bouncycastle
person huican    schedule 25.10.2018    source источник
comment
проверьте это ?   -  person kelalaka    schedule 26.10.2018
comment
Как/где вы это "увидели"? Вы тестировали этот сервер с помощью ssllabs или nmap+ssl-enum-ciphers? (К вашему сведению: тип ключа в вашем сертификате действительно влияет на наборы шифров, но алгоритм подписи не влияет, хотя он может влиять на то, доверяют ли клиенты вашему серверу полностью независимо от наборов шифров и отдельно от них.)   -  person dave_thompson_085    schedule 26.10.2018
comment
Возможно, использование ключа не позволяет шифровать. Наборы шифров TLS_ECDHE_ требуют аутентификации (генерации подписи), а TLS_RSA_ требуют шифрования с использованием открытого ключа.   -  person Maarten Bodewes    schedule 26.10.2018