Hintergrund
Ich habe gesehen, dass Comodo eine elliptische Kurvenwurzel hat ("COMODO ECC Certification Authority"), aber ich sehe keine Erwähnung von EC-Zertifikaten auf ihrer Website.
Verfügt Certicom über Rechte an geistigem Eigentum, die andere Emittenten daran hindern, EG-Zertifikate anzubieten? Unterstützt ein weit verbreiteter Browser ECC nicht? Passt ECC nicht zu herkömmlichen PKI-Anwendungen wie der Webserverauthentifizierung? Oder gibt es einfach keine Nachfrage danach?
Ich bin aufgrund der Empfehlung der NSA Suite B daran interessiert, zur elliptischen Kurve zu wechseln. Für viele Anwendungen scheint dies jedoch nicht praktikabel zu sein.
Kopfgeldkriterien
Um die Prämie in Anspruch zu nehmen, muss eine Antwort einen Link zu einer Seite oder Seiten auf der Website einer bekannten Zertifizierungsstelle enthalten, auf der die angebotenen ECC-Zertifikatoptionen, die Preise und der Kauf einer solchen beschrieben sind. In diesem Zusammenhang bedeutet "bekannt", dass das richtige Stammzertifikat standardmäßig in Firefox 3.5 und IE 8 enthalten sein muss. Wenn mehrere qualifizierende Antworten bereitgestellt werden (man kann hoffen!), Das mit dem billigsten Zertifikat einer allgegenwärtigen Zertifizierungsstelle wird das Kopfgeld gewinnen. Wenn das keine Unentschieden beseitigt (hofft immer noch!), Muss ich nach eigenem Ermessen eine Antwort auswählen.
Denken Sie daran, dass immer mindestens die Hälfte des Kopfgeldes von jemandem beansprucht wird. Probieren Sie es aus, auch wenn Sie nicht alle Antworten haben.
quelle
Antworten:
Sie werden jetzt von Comodo im Rahmen ihres PositiveSSL-Angebots ausgegeben. Ich kann nicht sagen, dass sie es zu gut bewerben, aber es gibt lebende Beweise durch Mathematik:
quelle
Ich wollte etwas näher darauf eingehen, deshalb habe ich mich an die Leute bei Comodo gewandt, die für ihre ECC-CA verantwortlich sind. Nach einigem Hin und Her wurde Comodo mitgeteilt, dass sie eine Lizenz von Certicom / RIM benötigen, um ECC-Zertifikate ausstellen zu können, und dass sie derzeit mit ihnen in Lizenzdiskussionen sind. Sie gaben keine ETA für den Abschluss dieser Diskussionen an, also wer weiß, wann Sie tatsächlich ein Zertifikat kaufen können.
quelle
Als schnelles Update hat Cloudflare heute ein neues Zertifikat für seinen Blog bereitgestellt, der von Comodo signiert wurde und ECC verwendet.
https://blog.cloudflare.com/
Und Verisign (jetzt Symantec) bietet ECC in seiner Secure Site Pro-Produktreihe an Zertifikaten an
quelle
Fand diesen Link anvertrauen, dass ich nützlich fand. http://www.entrust.net/ecc-certs/index.htm
Grundsätzlich ist NSA Suite B global (auf Stammebene) nicht vertrauenswürdig, und derzeit (Stand: Oktober 2012) bietet keine Zertifizierungsstelle SSL-Zertifikate an, die den Standard erfüllen. Sie können Ihr eigenes Zertifikat signieren, aber moderne Browser zeigen den Benutzern eine sehr entmutigende Warnung an. In der Regel werden NSA Suite B-Zertifikate in Anwendungen integriert, die eine direkte Verbindung zu sicheren Servern herstellen. Beachten Sie, dass die Browser für ECC nur unzureichend unterstützt werden. ECC ist ein Teil der TLS 1.1 , die nur in Chrome V22 + standardmäßig unterstützt wird [ http://en.wikipedia.org/wiki/Transport_Layer_Security#Browser_implementations ]
quelle
Ich glaube nicht, dass Certicom die Verwendung von eliptischen Kurven verhindert. Die MS2008-Zertifizierungsstelle bietet Suite B an. Ich bin mir daher sicher, dass die neueste Version von Windows-Clients in 7 deren Verwendung unterstützt. Ich werde einen Blick darauf werfen, es wird das MS-Kryptografiesubsystem sein, das es unterstützen müsste (CryptoAPI), und dies hat eine Plugin-CSP-Architektur, die es ihm ermöglichen würde, es ganz einfach zu unterstützen.
Folgendes ist aus der Vertrauensdokumentation zum Thema entnommen: -
Alle wichtigen CA-Softwareprodukte unterstützen ECDSA, sowohl für das Signieren von Zertifikaten und Sperrlisten als auch für öffentliche Endbenutzerschlüssel. Für Anwendungen, für die nur Authentifizierung und digitale Signaturen erforderlich sind, sollte es nicht schwierig sein, ein geeignetes CA-Produkt zu beschaffen. Die langsamere Standardisierung der ECC-basierten Schlüsselvereinbarung erhöht die Unsicherheit für Anwendungen, die ebenfalls eine Verschlüsselung erfordern. Alle großen CA-Softwareanbieter haben jedoch Pläne, ECDH-Schlüssel in Endbenutzerzertifikaten zu unterstützen. Die Planung in diesem Bereich birgt also nur ein geringes Risiko. Die Umsetzung muss hingegen auf die Umsetzung dieser Pläne in den Versandprodukten warten
ECC erfordert weniger Rechenleistung als RSA und ist daher für eingebettete Systeme wie Smartcards und für Geräte mit weniger leistungsstarken Prozessoren wie WLAN-Routern nützlich. Dies kann für Webserver nützlich sein, da der Webserver weniger Verarbeitung benötigt, um TLS-Schlüsselaustauschvorgänge mit offensichtlichen Vorteilen für die Unterstützung hoher Mengen an sicherem Datenverkehr zu unterstützen. Ich denke, diese Faktoren werden die Nachfrage ankurbeln, und es wird auch eine hohe Nachfrage seitens des Regierungssektors auf der ganzen Welt geben, die NIST große Aufmerksamkeit schenkt. Dies wird auch dazu beitragen, die Technologie voranzutreiben, wenn Anbieter versuchen, in diesen Sektor zu verkaufen.
Mark Sutton
http://www.blacktipconsulting.com
quelle