Welche RSA-Schlüssellänge sollte ich für meine SSL-Zertifikate verwenden?

95

Ich bin gerade dabei, eine CSR zu erstellen, und ich frage mich, welche Länge wohl die beste für meinen RSA-Schlüssel ist.

Natürlich ist 384 wahrscheinlich zu schwach und 16384 ist wahrscheinlich zu langsam.

Gibt es einen Konsens über die Schlüssellänge, die abhängig von der Lebensdauer des Zertifikats verwendet werden sollte?

Bearbeiten: Wie die meisten Leute möchte ich, dass mein Schlüssel einigermaßen stark ist. Ich mache mir keine Sorgen, dass die NSA 2019 meinen Schlüssel brechen könnte. Ich möchte nur wissen, was die beste Vorgehensweise ist, wenn man plant, normale Geschäfte zu machen (zum Beispiel eine E-Commerce-Website).

Brann
quelle

Antworten:

102

Ab 2020 sollten RSA-Schlüssel 2048 Bit sein.

1024 Bit

  • 1024-Bit-RSA-Zertifikate sind veraltet und werden von Browsern nicht akzeptiert.
  • Firefox hat 2014 die Annahme von 1024-Bit-RSA-Zertifikaten eingestellt.
  • Die Zertifizierungsstellen haben 2014 oder früher die Lieferung von 1024-Bit-RSA-Zertifikaten eingestellt. Siehe GlobalSign- oder Comodo- Hinweis.
  • 1024-Bit-Schlüssel waren veraltet, weil sie in einem kleinen Rechenzentrum (Tausende von CPUs oder Hunderte von GPUs in möglicherweise wenigen Monaten) geknackt werden konnten. Es mag viel erscheinen, aber es war für jede große Organisation oder Regierung gut erreichbar.

2048 Bit

  • 2048-Bit-RSA-Zertifikate sind derzeit die akzeptierte Norm.
  • Standardbasislinie, die von CA geliefert und von der Software verwendet wird.
  • Wird irgendwann auch geknackt. Ich weiß nicht wann, könnte aber Jahrzehnte dauern.
  • Das Verdoppeln der Größe erfordert viele, viele Größenordnungen mehr Rechenleistung, um zu knacken. Siehe Frage, wie viel stärker RSA 2048 im Vergleich zu 1024 ist .

4096 Bit

  • 4096-Bit-RSA-Zertifikate sind der nächste Schritt
  • Weit verbreitet und unterstützt. Alle wichtigen Zertifizierungsstellen können sowohl 2048- als auch 4096-Bit-RSA bereitstellen, einschließlich Verschlüsselung .
  • Die Rechenkosten sind nicht linear mit der Schlüsselgröße. 4096 ist nicht doppelt so langsam wie 2048, es ist vielleicht zehnmal langsamer zu verarbeiten. Aktualisieren Sie Zertifikate nicht blind auf 4096 Bit, ohne die Auswirkungen auf die Leistung zu berücksichtigen .
  • Das "Web" verbleibt größtenteils auf 2048-Bit-Zertifikaten, da es die Hardwarekosten für 4096-Bit nicht tragen kann. Betrachten Sie große Akteure wie Google, CloudFlare, NetFlix mit immensem Datenverkehr und Hardware-Fußabdruck.

3072 Bits

  • 3072 Bits sind keine Sache. Springe direkt zu 4096 Bit.
  • Es ist durchaus möglich, 3072-Bit-Kryptografie zu erstellen. Es ist nur so, dass keine Software sie wirklich offiziell implementiert, unterstützt und bewirbt.
  • In der Vergangenheit gab es zwischen 2010 und 2015 einen Versuch, 3072 für Anwendungsfälle zu starten, bei denen die zusätzlichen Rechenkosten von 4096 nicht ideal sind. Es ist verblasst, aber es gibt immer noch einige alte Artikel, die die Vorzüge von (schneller) 3072 verbreiten.

Extra

  • RSA wurde erstmals 1977 öffentlich beschrieben und ist fast 50 Jahre später immer noch stark. Sie müssen nur die Anzahl der Bits erhöhen, um mit schnelleren Computern Schritt zu halten.
  • Es gibt eine andere Methode für die Kryptographie mit öffentlichen Schlüsseln, die auf elliptischen Kurven basiert, siehe ECDSA (1992).
  • Es gibt eine große Trennung zwischen der Kapazität eines Benutzers und eines Angreifers. Ein Webserver oder ein mobiler Client verfügt über eine (stromsparende) CPU. Ein Angreifer kann ein ganzes Rechenzentrum haben. Als Referenz hostet ein neu erstelltes AWS-Rechenzentrum etwa 60 000 Server.
  • Es ist unglaublich, dass ein einzelnes mobiles Gerät in wenigen Sekunden einige Berechnungen durchführen kann ... von denen Millionen von Computern in ihrem Leben nicht träumen konnten, sie zu erraten.
Georg Schölly
quelle
13
Die Unterschiede ("256-Bit wird für immer funktionieren" einerseits und "1024-Bit schon Mist" andererseits) sind auf die Unterschiede zwischen symmetrischen und asymmetrischen Algorithmen und die Art der jeweils verwendeten Schlüssel zurückzuführen. Bei jedem "äquivalenten Sicherheitsniveau" sehen Sie sehr unterschiedliche Rohzahlen für die Schlüssellängen in symmetrisch oder asymmetrisch.
Ti Strga
1
Ab September 2015 scheint die Branche nicht weniger als 2048-Bit-CSRs akzeptiert zu haben. Siehe unten Antworten und Comodo Support-Artikel
Angularsen
2
@anjdreas, Obwohl es stimmt, dass 2048 das absolute Minimum ist , werde ich sehr vorsichtig sein , wenn ich Punkte aus CA-Artikeln zitiere.
Pacerier
RSA Labs Link ist jetzt ein 404, übrigens
Jocull
1
Hinweis: Die Antwort wurde nach 11 Jahren vollständig neu geschrieben, mit aktuellen Empfehlungen und Referenzen. Die obigen Kommentare kommentierten frühere Überarbeitungen.
user5994461
12

Da viele Kunden die Einhaltung der kryptografischen NIST-Standards benötigen, verwende ich die Richtlinien in der NIST-Sonderpublikation 800‑57, Empfehlung für die Schlüsselverwaltung, Teil 1, §5.6. Die meisten unserer Anwendungen eignen sich gut für 112 "Bit" Sicherheit, sodass Triple-DES (oder eine kleine Erhöhung bis zu 128-Bit-AES) für symmetrische Chiffren und ein 2048-Bit-Schlüssel für RSA entsprechen. In Tabelle 2 finden Sie eine grobe Äquivalenz.

Gültig oder nicht, die Möglichkeit, sie auf eine NIST-Veröffentlichung zu verweisen, hilft Kunden dabei, sich in Bezug auf Sicherheit besser zu fühlen (wenn sie sich die Mühe machen zu fragen).

erickson
quelle
Der in dieser Antwort erwähnte Artikel wurde in Empfehlung für Schlüsselverwaltung überarbeitet : Teil 1: Allgemein (Revision 3) . Aktuelle Überarbeitung ist Jul 2012
AaA
Ich sehe, dass die NIST-Seite entfernt und durch eine Meldung ersetzt wurde: "Aufgrund des Ausfalls der staatlichen Mittel sind csrc.nist.gov und alle damit verbundenen Online-Aktivitäten bis auf weiteres nicht verfügbar."
Wu-Lee
Es gibt diese Seite, die einige Empfehlungen zur
wu-lee
10

Zertifizierungsstellen signieren keine csrs mit einer Größe von weniger als 2048 Bit. Daher sollten Sie Ihre csr auf 2048 Bit generieren.

Yogi
quelle
6
[Zitat benötigt]
CodesInChaos
2
Quelle - answers.ssl.com/877/… - Einige Zertifizierungsstellen wie Affirmtrust / Trend Micro binden bereits 4096-Bit-Wurzeln ein, sodass wir diese wahrscheinlich in den kommenden Jahren wechseln werden
Yogi
Ich habe gerade Comodo ausprobiert und sie akzeptieren nicht weniger als 2048 Bit .
Angularsen
7

Im kommenden August wird Microsoft einen Patch für Server 2003/2008, Win7 usw. bereitstellen, für den ein RSA-Schlüssel mit mindestens 1024 Bit erforderlich ist. Sie können also genauso gut damit beginnen, dies zu Ihrem "absoluten Minimum" zu machen.

gefüttert
quelle
6

Bei SSL-Zertifikaten, die auf Websites verwendet werden, ist dieser Text von der Thawte.com-Website (Stand: 22.07.2014) wichtig zu beachten:

Vom CA / B-Forum (Certification Authority / Browser) festgelegte Industriestandards verlangen, dass nach dem 1. Januar 2014 ausgestellte Zertifikate eine Schlüssellänge von mindestens 2048 Bit haben.

Mike
quelle
Mouais, Facebook ist immer noch auf 256 Schlüssellänge => b3.ms/XmWn0e1BMYOk
Thomas Decaux
Um zu verdeutlichen, dass Facebook kein RSA verwendet, verwendet es ECDHE_ECDSA, daher die kleinere Schlüssellänge.
Michael
5

Ich musste mehrere neue SSL-Zertifikate erstellen und war mit den obigen Antworten nicht zufrieden, da sie vage oder veraltet wirkten, sodass ich ein wenig grub. Unterm Strich ist die ausgewählte Antwort richtig. Verwenden Sie "2048-Bit-Schlüssel ... länger ist bedeutungslos" .

Durch Erhöhen der Bitlänge auf 4096 wird Ihrem Server eine potenziell bedeutsame Last hinzugefügt (abhängig von Ihrer vorhandenen Last), während im Grunde genommen ein unbedeutendes Sicherheitsupgrade angeboten wird

Wenn Sie in einer Situation sind, in der Sie länger als einen 2048-Bit-Schlüssel benötigen, benötigen Sie keine längere Bitlänge. Sie benötigen einen neuen Algorithmus

SemanticZen
quelle
1

Ich denke, 4096 ist für RSA in Ordnung

Überprüfen Sie diesen Link

Das Ende der SHA-1-Signatur ist nichts Neues, aber Google hat den Prozess des Chroms beschleunigt. In den nächsten Wochen sollten Sie die SSL-Zertifikate überprüfen.

Dies kann hilfreich sein

Vim
quelle
1
Könnten Sie möglicherweise auch einige englischsprachige Links posten? Mein Deutsch ist eher schwach.
Wai Ha Lee
De juro können RSA-Schlüssel nur eine Länge von 1024, 2048 oder 3072 Bit haben (gemäß PKCS # 1 2.2 und FIPS 186-4).
Aprelev
Flame zeigte, dass Angreifer eher den Hash als den größeren Modul angreifen. Wenn Sie SHA-1 verwenden, können Sie auch einen 1024-Bit-Modul verwenden, da der Hash und der Modul eine gleichwertige Sicherheit bieten. Der 1024-Bit-Modul sorgt für schnellere Operationen als der größere 4096-Modul.
JWW
0

ENISA empfiehlt 15360 Bit. Schauen Sie sich das PDF an (Seite 35)

http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/algorithms-key-sizes-and-parameters-report/at_download/fullReport

Micha
quelle
4
Nicht genau. Die Empfehlung für kurzfristig (mindestens zehn Jahre) lautet 3072. RSA 15360 ist langfristig (dreißig bis fünfzig Jahre) und nur dann sinnvoll, wenn Sie erwarten, dass Sie den privaten Schlüssel so lange geheim halten können.
Henrick Hellström