it-swarm.com.de

Neuer PGP-Schlüssel: RSA / RSA oder DSA / Elgamal?

Ich wollte einen neuen PGP-Schlüssel mit GPG Keychain Access auf meinem Mac erstellen. Eine der Optionen war die Auswahl des Schlüsseltyps:

  1. RSA und RSA
  2. DSA und Elgamal
  3. RSA (nur Zeichen)
  4. DSA (nur Zeichen)

Ich fand diese Superuser-Frage , aber es kann veraltet sein. RSA-Schlüssel scheinen weniger sicher zu sein, da bekannt ist, dass die NSA] RSA infiltriert und ihren Algorithmus zur Schlüsselgenerierung geschwächt haben. Ich weiß nicht, ob dies einen signifikanten Einfluss auf einen 4096-Bit-RSA-Schlüssel hat. Wenn ich mich für DSA entscheide, sehe ich, dass ich nur 3072-Bit-Schlüssel verwenden kann. Es scheint, dass DSA/Elgamal weniger verbreitet ist, aber Nachrichten zu diesem Datum stammen aus dem Jahr 2009, ist das also immer noch relevant?

  • Was soll ich verwenden?
  • Was macht es aus?
25
SPRBRN

da bekannt ist, dass die NSA RSA infiltriert und ihren Algorithmus zur Schlüsselgenerierung schwächer gemacht haben)

Wenn Sie das wissen, dann wissen Sie falsch. Sie verwechseln zwei Dinge, die überhaupt keine Beziehung haben:

  • RSA , der asymmetrische kryptografische Algorithmus.
  • Dual_EC_DRBG , ein PRNG Algorithmus von schlechter Qualität und für Backdooring zugänglich.

RSA kann für die asymmetrische Verschlüsselung und für digitale Signaturen verwendet werden. A PRNG kann beides nicht. A PRNG erzeugt einen endlosen Strom unvorhersehbarer Bits; dies ist etwas, was RSA nicht tut. Die beiden Dinge sind wirklich unterschiedlich.

Was ist nun die Quelle der Verwirrung? Es gibt zwei Gründe:

  • Ein asymmetrischer kryptografischer Algorithmus verwendet Schlüssel, der irgendwann zufällig generiert werden muss. Für den Schlüsselgenerierungsalgorithmus muss ein Strom zufälliger Bits verarbeitet werden, der normalerweise von einem kryptografisch starken PRNG (also möglicherweise Dual_EC_DRBG oder einfach einem anderen PRNG geliefert wird.) .
  • Ein Softwareanbieter, der Dual_EC_DRBG implementiert und an seine Kunden geliefert hat, war RSA Security . Dieses Unternehmen heißt "RSA", weil es von Rivest, Shamir und Adleman gegründet wurde, den drei Forschern, die auch den asymmetrischen Algorithmus RSA erfunden und aus genau demselben Grund so benannt haben. Grundsätzlich heißt Rivest Rivest, wenn er kryptografische Algorithmen erfindet, und er heißt immer noch Rivest, wenn er Unternehmen gründet. Jedenfalls haben sie das Unternehmen vor zwei Jahrzehnten verkauft.

Das Fazit ist, dass RSA, der asymmetrische Algorithmus, in keiner Weise "backdoored" ist. Was durch eine Hintertür erreicht werden kann, ist das PRNG, das in einer bestimmten Implementierung des Schlüsselpaar-Generierungsalgorithmus verwendet wird. Wenn Sie jedoch Dual_EC_DRBG verwenden, um ein ElGamal-Schlüsselpaar zu generieren, sind Sie gleichermaßen abgespritzt arm, schwach PRNG ist in auf keinen Fall ein Grund, ElGamal RSA vorzuziehen.

(Wenn wir nicht auswählen möchten, ist es umgekehrt: Die bekannte Hintertür in Dual_EC_DRBG ist einfacher zu nutzen, wenn Dual_EC_DRBG zur Erstellung eines ElGamal-Schlüssels als eines RSA-Schlüssels verwendet wurde. Im Allgemeinen jedoch, wenn Ihr Tool zur Schlüsselgenerierung absichtlich einen verwendet schwaches PRNG, dann verlieren Sie. Unabhängig von der Art des Schlüssels.)

Was ist mit Schlüssellänge? Durch einen ungewöhnlichen Zufall kommt es vor, dass RSA-, DSA- und ElGamal-Schlüssel ähnlicher Größe eine vage ähnliche Stärke bieten (dies ist reines Glück, da sie auf unterschiedlichen Arten mathematischer Objekte beruhen). 1024-Bit-RSA/DSA/ElGamal-Schlüssel entziehen sich derzeit unseren kryptoanalytischen Fähigkeiten, aber sie scheinen in Reichweite der erdbasierten Technologie zu sein (wenn Sie ein paar hundert Millionen oder Milliarden Dollar für das Bauen ausgeben eine dedizierte Maschine und es macht nichts aus, wenn es 6 Monate dauert, um einen einzelnen Schlüssel zu brechen). 2048-Bit-RSA/DSA/ElGamal-Schlüssel gehen weit über das hinaus, was mit vorhersehbarer Technologie möglich ist. Jede Schlüsselgröße über 2048 Bit hinaus entspricht dem Kauf eines roten Sportwagens, um Mädchen zu werben.

Für Ihren speziellen Fall:

  • Die Optionen "Nur signieren" ergeben Schlüssel, die nur für Signaturen und nicht beispielsweise für verschlüsselte E-Mails verwendet werden können. Wenn Sie einen Schlüssel für die Verschlüsselung verwenden möchten, müssen Sie eine der ersten beiden Optionen verwenden.

  • In früheren Zeiten wurde RSA (in den USA) patentiert, sodass einige Implementierungen nur DSA und ElGamal unterstützten. Da das Patent im Jahr 2000 abgelaufen ist, kann jede anständige Implementierung von PGP nun problemlos damit umgehen.

  • DSA-Signaturen sind etwas kürzer als RSA-Signaturen. Der ElGamal-basierte Schlüsselaustausch benötigt einige Bytes mehr als der RSA-basierte Schlüsselaustausch. Wir sprechen hier nur von ein paar Dutzend Bytes; Jede Optimierung dieser Art wird durch den Verlust, der entsteht, wenn Sie sich für die Verwendung entscheiden, in den Schatten gestellt rot übergroße Schlüssel, um Ihre Männlichkeit zu behaupten.

37
Thomas Pornin