1. дома
  2. Вопрос и ответ
  3. Какую длину ключа RSA следует использовать для моих сертификатов SSL?

Какую длину ключа RSA следует использовать для моих сертификатов SSL?

2009-02-26 2 views
83

Я нахожусь в процессе создания CSR, и мне интересно, какая из них, возможно, самая лучшая длина для моего ключа RSA.Какую длину ключа RSA следует использовать для моих сертификатов SSL?

Конечно, 384, вероятно, слишком слаб, а 16384, вероятно, слишком медленный.

Существует ли консенсус относительно длины ключа, которую следует использовать в зависимости от срока службы сертификата?

Редактировать: Как и большинство людей, я хочу, чтобы мой ключ был достаточно сильным. Меня не волнует, что NSA может сломать мой ключ в 2019 году. Я просто хочу знать, какова наилучшая практика, когда вы планируете заниматься обычным делом (например, сайт электронной коммерции)

источник

2009-02-26 Brann

ответ

91

Этот ответ немного устарели. Имейте в виду, что это может не представлять собой лучшую передовую практику.

Если вы постоянно обновляете это поле, подумайте об улучшении этого ответа.

Bruce Schneier писал в 1999 году:

Longer длины ключей лучше, но только до точки. AES [симметричный cypher] будет иметь 128-битный, 192-битный и 256-битный ключ длины. Это намного длиннее, чем , необходимое в обозримом будущем. В факте, мы даже не можем представить мир , где возможны 256-битные поисковые запросы грубой силы: . Это требует некоторых фундаментальных прорывов в области физики и нашего понимания вселенной. Для криптография с открытым ключом [асимметричные шифры], 2048-битные ключи имеют такую ​​же собственность; дольше бессмысленно.

Wikipedia пишет:

RSA утверждает, что 1024-битные ключи [асимметричные], вероятно, станут crackable некоторое время между 2006 и 2010 года, и 2048-битные ключи не достаточно до 2030 года Ключ RSA следует использовать длину 3072 бит, если для защиты требуется защита за пределами 2030 года. Рекомендации по управлению ключами NIST далее предполагают, что 15360-битные [асимметричные] ключи RSA: эквивалент по силе 256-битным симметричные ключи.

RSA Laboratories пишет (последний раз изменен 2007 в соответствии с archive.org):

RSA Laboratories в настоящее время рекомендует [асимметричный] размер ключа 1024 бита для корпоративного использования и 2048 бит для очень ценных ключей, как пара корневых ключей , используемая сертифицирующим органом

Было бы хорошо, если кто-то, кто знает больше, мог бы ответить, почему есть эта разница.

источник

2009-02-26 09:43:39

+10

Различия («256-бит будет работать вечно», с одной стороны, и «1024-бит уже дерьмо» на другом) обусловлены различиями между * симметричными * и * асимметричные * алгоритмы и типы ключей, используемых в каждом. При любом «эквивалентном уровне безопасности» вы увидите очень разные исходные числа для длин ключей в симметричной и асимметричной. –

+1

По состоянию на сентябрь 2015 года, похоже, отрасль перешла на то, чтобы не принимать менее 2048-битных CSR. См. Ниже ответы и [Статья поддержки Comodo] (https://support.comodo/index.php?/Default/Knowledgebase/Article/View/689/17/your-rsa-key-is-too-small-or -this-csr-uses-an-unsupported-key-size) – angularsen

+1

@anjdreas, хотя это правда, что 2048 [минимальный минимум] (http://stackoverflow.com/questions/8453529/are-there-any-disadvantages -to-use-a-4096-bit-encrypted-ssl-certificate/8453915 # comment60753920_8453915), я буду очень осторожен (http://webmasters.stackexchange.com/questions/3836/what-are-the -benefits-of-a-more-cost-ssl-certificate/3837 # comment114486_3837) цитат из статей CA. – Pacerier

12

Поскольку многие клиенты требуют соблюдения криптографических стандартов NIST, я использую руководство в специальной публикации NIST 800-57, Recommendation for Key Management Part 1, §5.6. Большинство наших приложений хорошо подходят для 112-битных бит безопасности, поэтому это соответствует тройному DES (или небольшому выпуску до 128-битного AES) для симметричных шифров и 2048-битовому ключу для RSA. См. Таблицу 2 для приблизительной эквивалентности.

Действительный или нет, будучи в состоянии отнести их к публикации NIST, помогает клиентам лучше чувствовать себя в безопасности (если они задаются вопросом).

источник

2009-02-27 19:11:16 erickson

+0

Статья, упомянутая в этом ответе, пересмотрена в [Рекомендация по управлению ключами: Часть 1: Общие положения (Редакция 3)] (http://csrc.nist.gov/publications/nistpubs/ 800-57/sp800-57_part1_rev3_general.pdf). Текущая версия - июль 2012 – AaA

+0

@BobSort Спасибо, я обновил ссылку. – erickson

7

В августе этого года Microsoft планирует развернуть патч к серверу 2003/2008, Win7 ect .., который потребует использования минимального 1024-битного ключа RSA. Таким образом, вы можете начать делать свой «минимальный» стандарт.

источник

2012-06-22 18:14:56 Fed

10

Органы сертификации не будут подписывать csrs размером менее 2048 бит, поэтому вы должны генерировать ваш csr равным 2048 бит.

источник

2013-01-21 08:45:45 Yogi

+5

[править] – CodesInChaos

+2

Источник - http://answers.ssl.com/877/signing-request-needs-to-be-2048-bit-key-size - некоторые CA, такие как Affirmtrust/Trend Micro, уже внедряют 4096 бит корни, поэтому мы, скорее всего, переключим их в ближайшие годы. – Yogi

+0

Я просто попробовал Comodo, и они [не принимают менее 2048 бит] (https://support.comodo/index.php?/Default/Knowledgebase/Article/ Посмотреть/689/17/ваш-RSA-ключа является слишком малой или-это-КСО использует-ан-неподдерживаемый ключ размера). – angularsen

0

ENISA рекомендует 15360 бит. Посмотрите на PDF (страница 35)

http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/algorithms-key-sizes-and-parameters-report/at_download/fullReport

источник

2014-02-04 12:48:49 Micha

+3

Не совсем. Рекомендация для краткосрочных (не менее десяти лет) составляет 3072. RSA 15360 рассчитана на длительный срок (тридцать-пятьдесят лет) и имеет смысл только в том случае, если вы ожидаете, что сможете долго хранить секретный ключ. –

5

Для SSL сертификатов, используемых на веб-сайтах, этот текст с сайта thawte.com (по состоянию на 2014-07-22) Важно отметить:

В отраслевых стандартах, установленных Certification Authority/Browser (CA/B) Forum, требуется, чтобы сертификаты, выданные после 1 января 2014 года, ДОЛЖНЫ быть длиной не менее 2048 бит.

источник

2014-07-22 09:52:54 Mike

+0

Mouais, Facebook все еще на 256 ключевых длинах => http://b3.ms/XmWn0e1BMYOk –

+0

Чтобы уточнить, что Facebook не использует RSA, он использует ECDHE_ECDSA, следовательно, меньшую длину ключа. – Michael

1

Я думаю, что 4096 это нормально для RSA

Check This link

Конец в SHA-1 подпись нет ничего нового, но Google ускорила процесс хрома. В течение следующих нескольких недель вы должны проверить свои сертификаты SSL.

This may be helpful

источник

2015-03-31 19:33:31 Vim

+1

Не могли бы вы также опубликовать некоторые ссылки на английский язык? Мой немецкий довольно слаб. –

+0

De juro, ключи RSA могут иметь длину 1024, 2048 или 3072 бит (согласно PKCS # 1 2.2 и FIPS 186-4). – aprelev

+0

[Flame] (https://en.wikipedia.org/wiki/Flame_ (malware)) показало, что атакующие атакуют хеш, а не больший модуль. Если вы используете SHA-1, тогда вы можете использовать модуль с 1024 битами, поскольку хэш и модуль обеспечивают эквивалентную безопасность. 1024-битный модуль будет выполнять более быстрые операции, чем более мощный модуль 4096. – jww

3

мне нужно создать несколько новых SSL сертификатов и не был удовлетворен выше, потому что они казались расплывчатыми или не датированы, так что я сделал немного покопаться ответами. В нижней строке выбран правильный ответ «2048-битные ключи ... дольше бессмысленны».

Увеличение длины разрядной 4096 добавляет potentially meaningful load to your server (в зависимости от существующей нагрузки), предлагая в основном в insignificant security upgrade

Если вы находитесь в ситуации, когда вам нужно больше, чем 2048 битный ключ не нужен более длинная длина бит, вам нужен новый алгоритм

источник

2017-02-06 10:08:38 SemanticZen

Смежные вопросы

 Смежные вопросы