it-swarm.com.de

DH Parameter empfohlene Größe?

Ich richte EAP-TLS auf meinem WLAN-Router ein und generiere derzeit DH-Parameter für FreeRADIUS.

Was machen diese Parameter? Welche Größe sollten sie auch haben?

Ich habe die aktuellen Parameter für einige Zeit generiert:

openssl dhparam -check -text -5 4096 -out dh

Das Tutorial, dem ich folgte, empfahl eine 512-Bit-DH-Parametergröße, aber ich bin ein bisschen ein Zinn-Folien-Hutmacher. Welche Auswirkungen hat die Größe und Stärke dieser Parameter auf die Sicherheit?

14
Naftuli Kay

Diffie-Hellman ist nicht stärker als das Diskrete Logarithmus-Problem in der multiplikativen Untergruppe der ganzen Zahlen modulo a prime p . Eine größere Primzahl p macht DL schwieriger. Der aktuelle Datensatz (in akademischen Kreisen) gilt für einen 530-Bit-Primzahlmodul Obwohl es einige Rechenaufwand gekostet hat, ist die Lektion, dass 512-Bit-DH mit vorhandener Technologie zerbrechlich ist. Ein Angreifer, der Ihren Datenverkehr beobachtet, könnte somit (zu einem Preis) den Schlüsselaustauschmechanismus durchbrechen, den Sitzungsschlüssel wiederherstellen und Ihren entschlüsseln Daten. Außerdem sind DL-Breaking-Algorithmen in der Regel kumulativ, dh das Brechen von Hintergedanken-Sitzungen mit demselben Modul wäre einfacher.

Aktuelle Empfehlungen von verschiedenen Stellen (einschließlich NIST) fordern einen 2048-Bit-Modul für DH. Bekannte DH-brechende Algorithmen hätten so lächerlich hohe Kosten, dass sie mit bekannter erdbasierter Technologie nicht vollständig ausgeführt werden könnten. Siehe diese Seite für Hinweise zu diesem Thema.

Sie möchten die Größe nicht übertreiben, da die Kosten für die rechnerische Nutzung mit der Primgröße relativ stark ansteigen (je nach Implementierungsdetails zwischen quadratisch und kubisch), aber ein 2048-Bit-DH sollte in Ordnung sein (ein einfacher Low-End-PC) kann mehrere Hundert 2048-Bit-DH pro Sekunde ausführen).

17
Tom Leek

Bei einer bestimmten Bitlänge ist das Knacken eines Satzes von dh-Parametern etwas schwieriger als das Knacken eines RSA-Schlüssels.

Sobald der Satz von dh-Parametern geknackt ist, ist das Knacken einzelner dh-Sitzungen relativ einfach. Daher sind Sie mit lokal generierten dh-Parametern sicherer als mit bekannten.

Als Faustregel würde ich also verwenden, selbst generierte dh-Parameter mit der gleichen Länge wie die von Ihnen verwendeten RSA-Schlüssel zu verwenden.

512 Bit ist jetzt trivial geknackt.

768 Bit ist wahrscheinlich in der Reichweite von akademischen Hochleistungsrechnern zu knacken.

1024 Bit ist wahrscheinlich in der Reichweite von Nationalstaaten zu knacken. Es gibt Hinweise darauf, dass NSA) möglicherweise den häufigsten Satz von 1024-Bit-dh-Parametern geknackt hat.

https://weakdh.org/

Es wird allgemein erwartet, dass 2048 Bit sicher sind. Vor Jahren haben die Leute jedoch erwartet, dass 1024 Bit sicher sind. Wenn Sie also nach einem langfristigen Widerstand suchen, würde ich auf 4096 Bit steigen (sowohl für RSA-Schlüssel als auch für DH-Parameter).

6
Peter Green