it-swarm.com.de

Welche RSA-Schlüssellänge soll ich für meine SSL-Zertifikate verwenden?

Ich bin gerade dabei, eine CSR zu erstellen, und frage mich, welche Länge für meinen RSA-Schlüssel wohl die beste ist.

Natürlich ist 384 wahrscheinlich zu schwach und 16384 wahrscheinlich zu langsam.

Gibt es einen Konsens über die zu verwendende Schlüssellänge, abhängig von der Lebensdauer des Zertifikats?

Edit: Wie die meisten Leute möchte ich, dass mein Schlüssel einigermaßen stark ist. Ich mache mir keine Sorgen, dass die NSA möglicherweise 2019 meinen Schlüssel brechen könnte. Ich möchte nur wissen, was die beste Vorgehensweise ist, wenn ein normales Geschäft geplant ist (zum Beispiel eine E-Commerce-Site).

90
Brann

Diese Antwort ist etwas veraltet. Beachten Sie, dass es sich möglicherweise nicht um eine aktuelle Best Practice handelt.

Wenn Sie auf dem neuesten Stand sind, können Sie diese Antwort verbessern.


Bruce Schneier schrieb 1999:

Längere Schlüssellängen sind besser, aber nur bis zu einem gewissen Punkt. AES [Symmetric Cypher] hat eine Schlüssellänge von 128 Bit, 192 Bit und 256 Bit. Dies ist auf absehbare Zeit viel länger als nötig. Tatsächlich können wir uns nicht einmal eine Welt vorstellen, in der 256-Bit-Brute-Force-Suchen möglich sind. Es erfordert einige grundlegende Durchbrüche in der Physik und unser Verständnis des Universums. Bei der Kryptografie mit öffentlichen Schlüsseln [asymmetrische Verschlüsselung] haben 2048-Bit-Schlüssel dieselbe Eigenschaft. länger ist sinnlos.

Wikipedia schreibt:

RSA geht davon aus, dass 1024-Bit-Schlüssel (asymmetrisch) zwischen 2006 und 2010 möglicherweise geknackt werden können und dass 2048-Bit-Schlüssel bis 2030 ausreichen. Eine RSA-Schlüssellänge von 3072 Bit sollte verwendet werden, wenn Sicherheit über 2030 hinaus erforderlich ist. NIST Die Richtlinien für die Schlüsselverwaltung legen ferner nahe, dass [asymmetrische] 15360-Bit-RSA-Schlüssel der Stärke von symmetrischen 256-Bit-Schlüsseln entsprechen.

RSA Laboratories schreibt (zuletzt geändert 2007 nach archive.org ):

RSA Laboratories empfiehlt derzeit [asymmetrische] Schlüsselgrößen von 1024 Bit für Unternehmenszwecke und 2048 Bit für äußerst wertvolle Schlüssel wie das von einer Zertifizierungsstelle verwendete Stammschlüsselpaar

Wäre schön, wenn jemand, der mehr weiß, antworten könnte, warum es diesen Unterschied gibt.

94
Georg Schölly

Da viele Kunden die Einhaltung der NIST-Verschlüsselungsstandards fordern, verwende ich die Anleitungen in der NIST-Sonderpublikation 800‑57, Empfehlung für die Schlüsselverwaltung Teil 1, §5.6. Die meisten unserer Anwendungen eignen sich gut für 112-Bit-Sicherheit, was Triple-DES (oder einer kleinen Erhöhung auf 128-Bit-AES) für symmetrische Chiffren und einem 2048-Bit-Schlüssel für RSA entspricht. Eine grobe Äquivalenz finden Sie in Tabelle 2.

Ob gültig oder nicht, die Möglichkeit, sie auf eine NIST-Veröffentlichung zu verweisen, trägt dazu bei, dass sich Kunden sicherer fühlen (wenn sie sich die Mühe machen, danach zu fragen).

12
erickson

Zertifizierungsstellen signieren keine csrs mit einer Größe von weniger als 2048 Bit. Sie sollten daher eine csr von 2048 Bit generieren.

10
Yogi

Im kommenden August wird Microsoft einen Patch für Server 2003/2008, Win7 usw. bereitstellen, für den mindestens ein 1024-Bit-RSA-Schlüssel erforderlich ist. Sie könnten also genauso gut anfangen, diesen Standard zu Ihrem "absoluten Minimum" zu machen.

7
Fed

Für SSL-Zertifikate, die auf Websites verwendet werden, ist dieser Text von der Thawte.com-Website (Stand 22.07.2014) wichtig:

Branchenstandards, die vom Zertifizierungsstelle/Browser (CA/B) Forum festgelegt wurden, erfordern, dass Zertifikate, die nach dem 1. Januar 2014 ausgestellt wurden, eine Schlüssellänge von mindestens 2048 Bit haben MÜSSEN.

6
Mike

Ich musste mehrere neue SSL-Zertifikate erstellen und war mit den obigen Antworten nicht zufrieden, da sie vage oder veraltet wirkten, also habe ich ein wenig gegraben. Unterm Strich ist die gewählte Antwort richtig "2048-Bit-Schlüssel ... länger ist bedeutungslos" .

Durch Erhöhen der Bitlänge auf 4096 wird ein potenziell bedeutsame Auslastung Ihres Servers (abhängig von Ihrer vorhandenen Auslastung) hinzugefügt, während im Grunde genommen ein nbedeutendes Sicherheitsupgrade angeboten wird

Wenn Sie in einer Situation sind, in der Sie mehr als einen 2048-Bit-Schlüssel benötigen, benötigen Sie keine längere Bitlänge, sondern einen neuen Algorithmus

4
SemanticZen

Ich denke, 4096 ist in Ordnung für RSA

Überprüfen Sie dieser Link

Das Ende der SHA-1-Signatur ist nichts Neues, aber Google hat den Prozess des Chroms beschleunigt. In den nächsten Wochen sollten Sie ihre SSL-Zertifikate überprüfen.

Dies kann hilfreich sein

1
Vim
0
Micha