Kysymys:
SSH-todennusavainten RSA vs. DSA
jrdioko
2011-07-09 04:22:01 UTC
view on stackexchange narkive permalink

Kun luot SSH-todennusavaimia Unix / Linux-järjestelmässä, jossa on ssh-keygen , sinulla on mahdollisuus luoda RSA- tai DSA-avainpari (käyttäen -tyyppi koodi>).

Mitä eroa RSA- ja DSA-avaimilla on? Mikä saisi jonkun valitsemaan toisen?

@Bhanu OpenSSH 6.3p1: n oletusarvoinen ssh-keygen on 2048 bittiä. Lue alla olevat vastaukset ja huomaat myös, että 2048 bittiä riittää.
En todellakaan ymmärrä, miksi ehdotus on "valita nopein avain". Luulisin, että haluaisi valita hitaimman avaimen, jonka murtaminen vie eniten aikaa; koska todennus tehdään oikeastaan ​​vain kerran ja voidaan odottaa todentamisen päättymistä toiminnon edellyttämälle "reaaliaikaiselle" ajalle.
DSA: n syynä on se, että RSA: lla oli aiemmin patentteja.Joten DSA toteutettiin avoimen lähdekoodin työkaluissa.Nyt kaikki RSA: n patentit ovat vanhentuneet.Ei siis käytännön etua käyttää DSA: ta RSA: han nähden.työkalut säilyttävät taaksepäin yhteensopivuuden tuen, eikä poistamiseen ole mitään syytä, koska se on myös yksi hyvä salaus
Kahdeksan vastused:
#1
+340
emboss
2011-07-09 21:11:49 UTC
view on stackexchange narkive permalink

Mene RSA: n kanssa.

DSA: ta on nopeampi allekirjoituksen luomisessa, mutta hitaampaa validoinnissa, hitaampaa salauksessa, mutta nopeampi salauksen purkamisessa ja suojausta voidaan pitää samanarvoisena kuin yhtä avainpituinen RSA-avain. Se on rei'ityslinja, nyt jonkin verran perusteluja.

RSA-algoritmin turvallisuus perustuu siihen, että suurten kokonaislukujen jakaminen tiedetään olevan "vaikeaa", kun taas DSA-suojaus perustuu diskreetin logaritmin ongelmaan. Nykyään nopein tunnettu algoritmi suurten kokonaislukujen jakamiseksi on General Number Field Sieve, joka on myös nopein algoritmi, jolla ratkaistaan ​​erillisten logaritmien ongelma rajallisissa kentissä moduloimalla suuri alkuluku p DSA: n määritelmän mukaisesti.

Jos nyt tietoturvan voidaan katsoa olevan yhtä suuri, suosisimme tietysti nopeamman algoritmin. Mutta jälleen kerran, selkeää voittajaa ei ole.

Voit tarkastella tätä tutkimusta tai, jos koneellesi on asennettu OpenSSL, suorita openssl speed koodi>. Näet, että DSA toimii nopeammin allekirjoituksen luomisessa, mutta paljon hitaammin, kun vahvistetaan saman avaimen pituinen allekirjoitus. Vahvistus on yleensä mitä haluat olla nopeampi, jos käsittelet allekirjoitetun asiakirjan kanssa. Allekirjoitus luodaan kerran - joten se on hieno, jos tämä vie vähän kauemmin - mutta loppukäyttäjät voivat tarkistaa asiakirjan allekirjoituksen paljon useammin.

Molemmat tukevat jonkinlaista salaustapaa, RSA ei ole ruutu ja DSA käyttämällä El Gamalia. DSA: n salauksen purku on yleensä nopeampaa, mutta salausta hitaampaa, RSA: n kanssa päinvastoin. Jälleen haluat, että salauksen purku on täällä nopeampaa, koska yksi salattu asiakirja voidaan purkaa monta kertaa.

Kaupallisessa mielessä RSA on selvästi voittaja, kaupallisia RSA-varmenteita käytetään paljon laajemmin kuin DSA-varmenteita.

Mutta tallensin lopun tappaja-argumentin: man ssh-keygen sanoo, että DSA-avaimen on oltava tarkalleen 1024 bittiä, jotta se voi olla yhteensopiva NIST: n FIPS 186-2. Joten vaikka teoriassa pidemmät DSA-avaimet ovat mahdollisia (FIPS 186-3 myös sallii niiden nimenomaisesti), rajoitat silti 1024 bittiin. Ja jos otat huomioon tämän [artikkelin] näkökohdat, emme ole enää turvallisia 1024 bitillä joko RSA: lle tai DSA: lle.

Joten tänään sinun on parempi käyttää RSA 2048 tai 4096 bittiä avain.

Anteeksi, olet väärässä useissa kohdissa. DSA määritellään äärellisessä kentässä, jonka koko on _p_, jossa _p_ on iso alkuluku, _ei_ teho 2. Erillisen logaritmin suhteen rajallinen kenttä, jonka koko on _2 ^ 1024_, on heikompi kuin äärellinen kenttä, jonka koko on _p_, ja tietty algoritmi (jonka on suunnitellut Coppersmith), joka on nopeampi kuin Index Calculus. Nykyinen FIPS 186 on FIPS 186-3, ja tämä sallii yli 1024 bitin DSA-avaimet (ja `ssh-keygen` voi tehdä 2048-bittisiä DSA-avaimia). SSH: n (asiakaspuoli) tapauksessa salauksesta ei ole kysymystä, vain allekirjoitukset.
Vaikka FIPS-3 sallii suuremman avaimen pituuden, nykyinen ssh-keygen (Fedora 15) ei * ei * -> ssh-keygen -t dsa -b 2048 -> DSA-avainten on oltava 1024 bittiä. Vaikka SSH sisältää vain allekirjoituksia, mielestäni on silti tärkeää mainita ero. Olet oikeassa siinä, että DSA määritetään Zp: ssä, muutan sitä. Kiitos huomautuksistasi!
kyllä, `ssh-keygen` kieltäytyy tällä hetkellä yli 1024 bitin DSA-avaimista. Mutta aiemmin oli olemassa versio (integroituna OpenBSD: hen), joka mahdollisti suuremmat DSA-avaimet.
@Thomas,: tä kutsutaan nimellä `` openssl gendsa ''. (Avaimen muoto on sama.)
* DSA [...] on nopeampaa, kun salauksen purkaminen * ei ole aivan oikein: DSA voi vain allekirjoittaa / vahvistaa, salausta ei ole rakennettu.
@emboss:I ei ymmärrä tätä vastausta. DSA ei ole salausmenetelmä, vaan allekirjoituksen vahvistusjärjestelmä
Linkki artikkeliin, joka selittää, miksi 1024 bittiä ei riitä, näyttää puuttuvan. Voitteko antaa yhden, koska olin kiinnostunut miksi?
Onko tämä edelleen totta vuoden 2014 lopussa?
@emboss Jos soitat OpenSSL-kirjastoon suoraan ohjelmassasi, voit itse saada DSA: n yli 1024 bitillä.
@pablox melko paljon joo, paranoidi käyttää 4096-bittisiä RSA-avaimia. ed25519 (katso Shnatselin vastaus) voi olla vaihtoehto joillekin, mutta todennäköisesti vielä muutama vuosi, ennen kuin voidaan luotettavasti olettaa, että jokainen isäntä, jonka he haluavat käyttää, tukee sitä.
Siellä on myös GnuPG, miksi RSA 4096 ei ole oletusarvo (https://www.gnupg.org/faq/gnupg-faq.html#no_default_of_rsa4096). Periaatteessa se laskee: "Koska se ei anna meille mitään, mutta maksaa meille melko paljon."
Mitä tulee DSA-avainten, jotka ovat suurempia kuin 1024, luomiseen, PuTTY: n PuTTYgen-työkalu voi myös luoda mielivaltaisen kokoisia DSA-avaimia. Loin juuri 20480-bittisen SSH-2 DSA -avaimen. Oikeastaan ​​olen keskellä tekemistä niin. Se näyttää vievän jonkin aikaa (kuten noin 20 minuuttia ja jatkuu edelleen).
@PaŭloEbermann mitä tarkoitat, että DSA voi vain allekirjoittaa / vahvistaa?
@jayarjo Kyllä, DSA ei ole salausalgoritmi, vain allekirjoitus.(On olemassa salausalgoritmeja, jotka perustuvat vastaavaan matematiikkaan, esim. ElGamal, mutta ne eivät ole DSA: ta.)
DSA: ta voidaan nyt käyttää salaukseen: https://www.thesecuritybuddy.com/encryption/dsa-vs-rsa/
#2
+169
Shnatsel
2013-12-10 22:42:41 UTC
view on stackexchange narkive permalink

Tällä hetkellä kysymys on hieman laajempi: RSA vs. DSA vs. ECDSA vs. Ed25519 . Joten:

BlackHat 2013 -esityksessä ehdotetaan, että ongelmien ratkaisemisessa on saavutettu merkittäviä edistysaskeleita, joiden DSA : n vahvuus ja jotkut muut algoritmit on perustettu, joten ne voidaan matemaattisesti rikkoa hyvin pian. Lisäksi hyökkäys voi olla mahdollista (mutta vaikeampi) ulottua myös RSA: han.

Esityksessä ehdotetaan sen sijaan elliptisen käyrän salauksen käyttämistä. OpenSSH: n tukemat ECC-algoritmit ovat ECDSA ja OpenSSH 6.5: n jälkeen Ed25519.

OpenSSH tukee vain NIST-käyriä ECDSA: lle ja tämä tutkimus nämä käyrät näyttävät todella epäilyttäviltä NSA: n takaoville. Ja jos NSA voi jo murtaa sen, ei ole yhtä vaikeaa murtaa jonkun muun kuin oikea käyrä. Ed25519 on sama asia, mutta paremmalla käyrällä, joten se on turvallisin veto taustalla olevan algoritmin matemaattisesti rikkoutumista vastaan.

Lisäksi DSA: lla ja ECDSA: lla on ikävä ominaisuus: ne vaativat parametrin, jota yleensä kutsutaan k : ksi, olevan täysin satunnainen, salainen ja ainutlaatuinen. Käytännössä se tarkoittaa, että jos muodostat yhteyden palvelimeesi koneesta, jolla on huono satunnaislukugeneraattori ja samaa k ta käytetään satunnaisesti kahdesti, liikenteen tarkkailija voi selvittää yksityisen avaimesi. (lähde: Wikipedia DSA: ssa ja ECDSA, myös tämä).

Tärkeintä on:

  • Älä koskaan käytä DSA: ta tai ECDSA: ta .
  • Ed25519 on todennäköisesti matemaattisesti vahvin (ja myös nopein), mutta sitä ei vielä tueta laajalti. Bonuksena on, että yksityisen avaimen salaus (salasanasuojaus) on oletuksena vahvempi kuin muilla avaintyypeillä.
  • RSA on paras veto, jos et voi käyttää Ed25519: tä. .
Ed25519 ei käytä satunnaista * k * (se johdetaan sen sijaan yksityisestä avaimesta ja viestistä), joten tarvitset vain PRNG: n avaimen luomiseen, mutta ei allekirjoittamiseen. DSA: n ja ECDSA: n kanssa monet toteutukset epäonnistuvat, koska PRNG on huono, mutta on olemassa tapoja toteuttaa se niin, että se selviää huonoista PRNG: stä, esimerkiksi käyttämällä Porninin determinististä muunnosta.
Viimeaikaiset erilliset logaritmin edistykset olivat pieni ominaisuuskenttä. Ei ole mitään selvää tapaa siirtää sitä DSA: lle pääominaisuuskenttien tai RSA: n yli. Ensisijaisten kenttien yläpuolella olevat RSA ja DSA ovat todennäköisesti turvallisemmin lähempänä toisiaan kuin ensisijaisten kenttien DSA on pienten ominaiskenttien DSA: n kohdalla. Edistymistä factoringissa tai DL: ssä voi tapahtua, mutta niiden on ylitettävä paljon viimeisimmät edistykset, joten DSA: n ja / tai RSA: n hylkääminen näiden vuoksi on tarpeetonta hälytystä. On aivan yhtä mahdollista, että joku rikkoo ECC: n.
Kyllä, minua häiritsee kuulla kenenkään sanovan "hylkää DSA". En ole matemaatikko, enkä useimmat julkisen avaimen salauskäyttäjät, mutta hylkäsin jotakin vain, jos sille olisi todella välitön uhka, enkä varmasti hyväksyisi jotain suhteellisen uutta, ennen kuin sitä olisi testattu perusteellisesti ja osoittautunut turvalliseksi. Mistä tiedämme, että tämä käyttäjä ei ole NSA, joka sanoo, että NSA voi helpommin rikkoa DSA: n ja ECDSA: n, niin että siirrymme algoritmeihin, jotka he voivat rikkoa. Voi, ne ärsyttävät tiedustelupalvelut, he räjäyttävät mielesi!
Käytä [Ed25519] (https://en.wikipedia.org/wiki/EdDSA) tai muuta [RSA] (https://en.wikipedia.org/wiki/RSA_%28cryptosystem%29) 4096-bittisillä avaimilla. Katso myös hyvin kiertävä [suojattu suojattu kuori] (https://stribika.github.io/2015/01/04/secure-secure-shell.html) -kirjoitus.
@bitsum [RNG-ongelma] (http://meyering.net/nuke-your-DSA-keys/) on todellinen ja "välitön". OpenSSH voi luoda vain 1024-bittisiä DSA-avaimia, jotka ovat liian heikkoja. Vaikka se voi käyttää 2048- ja 3072-bittisiä avaimia [luonut OpenSSL] (https://digitalelf.net/2014/02/using-2048-bit-dsa-keys-with-openssh/), se on paljon vaivaa. Lisäksi OpenSSH 7.0: sta alkaen [DSA on oletusarvoisesti pois käytöstä] (http://www.openssh.com/legacy.html). Katso myös [My Stack Overflow vastaus] (https://stackoverflow.com/questions/2821736/whats-the-difference-between-id-rsa-pub-and-id-dsa-pub/27855045#27855045). Haluatko kokeiltua ja totta? Käytä 4096-bittistä RSA: ta.
@AdamKatz Lähestyn vuotta myöhemmin, olen taipuvainen sopimaan kanssasi. Mahdollisuus rikkoutua tai muuten riittämätön RNG olla ensisijainen kohde on DSA: lle selvä huolenaihe. Toisin kuin edellinen kommenttini, lopetin DSA: n käyttämisen itse muutama kuukausi sitten.
#3
+46
Thomas Pornin
2011-07-10 03:12:57 UTC
view on stackexchange narkive permalink

SSH: ssä asiakaspuolella valinnalla RSA ja DSA ei ole väliä paljoa, koska molemmat tarjoavat samanlaisen suojauksen samalle avainkoolle (käytä 2048 bittiä ja olet onnellinen).

Historiallisesti SSH-protokollan versio 1 tuki vain RSA-avaimia. Kun versio 2 määriteltiin, RSA oli vielä patentoitu, joten DSA: n tuki lisättiin, jotta avoimen lähdekoodin patenttitön toteutus voitaisiin tehdä. RSA-patentin voimassaolo päättyi yli 10 vuotta sitten, joten nyt ei ole huolta.

Teoriassa joissakin hyvin erityisissä tilanteissa sinulla voi olla suorituskykyongelma jommankumman kanssa: jos palvelin on hyvin pieni koneella (esimerkiksi i486), se pitää parempana asiakkaita, joilla on RSA-avaimet, koska RSA-allekirjoituksen todentaminen on vähemmän laskennallista kuin DSA-allekirjoituksen tarkistaminen. Päinvastoin, DSA-allekirjoitus on lyhyempi (tyypillisesti 64 tavua vs 256), joten jos kaistanleveys on hyvin lyhyt, suosisit DSA: ta. Joka tapauksessa sinulla on vaikea havaita näitä vaikutuksia, puhumattakaan siitä, että ne ovat tärkeitä.

Palvelimessa DSA-avain on suositeltava, koska silloin avaimenvaihto käyttää ohimenevä Diffie-Hellman-avain, joka avaa tien "Perfect Forward Secrecy" -toiminnolle (eli jos paha kaveri varastaa palvelimen yksityisen avaimen, hän ei silti pysty purkamaan aikaisempia yhteyksiä, jotka hän olisi tallentanut).

Voisitko tarkentaa RSA-avaimen käyttämisen riskiä palvelinpuolella?
@jrdioko: yhdistettäessä muodostetaan istuntoavain avaimenvaihtomekanismilla, kuten RSA (salaus) tai Diffie-Hellman. Palvelimessa käytetään vastaavaa yksityistä avainta. Jos avain on ohimenevä (luotu lennossa, säilytetään vain RAM-muistissa, hävitetään käytön jälkeen), se on turvallinen myöhempää varastamista vastaan. Kun palvelinavain (pysyvä, tiedostoon tallennettu) on tarkoitettu vain allekirjoituksia varten (esim. DSA-avain), olet varma, että avaimenvaihtoavain on ohimenevä (palvelin allekirjoittaa sitten julkisen avaimen), ja se on hyvä.
Eikö DHE: tä voi käyttää myös RSA-allekirjoituksella?
@Paŭlo: Itse asiassa SSHv2: n kanssa DHE: tä käytetään aina, jopa RSA-avaimen kanssa. DSA-avaimen käyttö on vain helppo tapa olla varma PFS: n saamisesta, koska sitä ei voida käyttää muuten.
OpenSSH tallentaa SSH-version 1 ja 2 RSA-avaimet eri tiedostoihin, eikä 1 ole edes oletusarvoisesti käytössä. Versiota 1 olisi vaikea käyttää vahingossa - ainakin OpenSSH: ssa.
#4
+33
lxgr
2013-08-30 03:35:24 UTC
view on stackexchange narkive permalink

Toinen tärkeä etu RSA: sta sekä DSA: han että ECDSA: han on, että sinun ei koskaan tarvita turvallista satunnaislukugeneraattoria allekirjoitusten luomiseen.

Allekirjoituksen luomiseen (EC) DSA tarvitsee arvon, joka sen on oltava satunnainen, salainen / arvaamaton eikä sitä voi koskaan käyttää uudelleen. Jos jotakin näistä ominaisuuksista rikotaan, on mahdollista palauttaa yksityinen avain triviaalisesti yhdestä tai kahdesta allekirjoituksesta .

Tätä on tapahtunut aiemmin (kerran OpenSSL PRNG: n rikkoutuneen korjaustiedoston kanssa) Debianissa ja kerran virheenä Androidin SecureRandom-toteutuksessa), ja sitä on melko vaikea estää kokonaan.

RSA: n kanssa näissä tilanteissa vain lyhytaikainen istuntoavain olisi vaarantunut, jos todellinen todennusavain paria on luotu aiemmin asianmukaisesti kylvetyllä PRNG: llä.

Teoreettisesti on tapa saada (EC) DSA-allekirjoitukset riippumaan viestistä ja yksityisestä avaimesta, mikä voi välttää täydellisen epäonnistuminen RNG: n rikkoutuessa, mutta ennen kuin se integroituu SSH-asiakkaaseen (tällä hetkellä ei ole OpenSSL-julkaisuversiota, joka sisältää korjaustiedoston), käytän ehdottomasti RSA-avaimia.

Tuo etu, josta puhut - me kaikki tiedämme nyt, että RSA-satunnaislukugeneraattori ei ole niin satunnainen. En tiedä, onko sillä merkitystä paljon, mutta joka tapauksessa ...
@rxt on tangentiaalinen ongelma, se on RSA: n oletusarvoinen RNG tietyssä tuotteessa, jota RSA Corporation myi, ei mitään tekemistä alkuperäisen RSA: n julkisen avaimen salausprotokollan kanssa.
#5
+19
CuriousFab
2015-09-10 20:52:27 UTC
view on stackexchange narkive permalink

Koska en tiedä paljoakaan salauksesta, pidän OpenSSH-käyttäjänä yksinkertaista tosiasiaa: http://www.openssh.com/legacy.html, jossa todetaan, että SHA1 on nyt poistettu käytöstä oletusarvoisesti, koska sitä pidetään heikkona:

OpenSSH 7.0 tai uudempi poistaa samalla tavoin julkisen avaimen ssh-dss (DSA) -algoritmin käytöstä . Se on myös heikko ja suosittelemme sen käyttöä.

Tom Leek selitti, että artikkelissa "[Miksi OpenSSH hylkäsi DSA-avaimet] (http://security.stackexchange.com/a/112818/66454)": yksinkertaisesti sanottuna se on seurausta heidän omasta koodauskäytännöstään ja kyvyttömyydestään pysyänykyisten standardien mukaisesti.
Tämän lukeminen maaliskuussa 2017 antaa uuden valon tälle kommentille.SHA1 on rikki, joten OpenSSH teki hyvän päätöksen kumoamalla SHA1.Joten luulen, että luotan heihin DSA: n poistamisessa.
#6
+14
robmuh
2014-02-09 23:13:34 UTC
view on stackexchange narkive permalink

Matematiikalla ei ehkä ole väliä. Tämä säie tuntuu ennen Snowdenia. Tässä on Reutersin 20. joulukuuta 2013 päivätty artikkeli:

(Reuters) - Keskeisenä osana kampanjaa, jolla upotetaan salausohjelmisto, joka voi murtautua laajasti käytettyihin atk-tuotteet, Yhdysvaltain kansallinen turvallisuusvirasto järjesti salaisen 10 miljoonan dollarin sopimuksen RSA: n kanssa, joka on yksi tietoturvateollisuuden vaikutusvaltaisimmista yrityksistä, Reuters on oppinut.

NSA: n entisen urakoitsijan Edward Snowdenin vuotamat asiakirjat osoittavat, että NSA loi ja julisti virheellisen kaavan satunnaislukujen muodostamiseksi "takaoven" luomiseksi salaustuotteille, New York Times kertoi syyskuussa. Reuters ilmoitti myöhemmin, että RSA: sta tuli kaavan tärkein jakelija siirtämällä se Bsafe-nimiseksi ohjelmistotyökaluksi, jota käytetään henkilökohtaisten tietokoneiden ja monien muiden tuotteiden turvallisuuden parantamiseen.

Tähän asti ei paljastettu, että RSA sai 10 miljoonaa dollaria sopimuksessa, jossa NSA-kaava asetettiin BSafe-ohjelmiston ensisijaiseksi tai oletusmenetelmäksi numeroiden muodostamiseksi kahden sopimusta tuntevan lähteen mukaan. Vaikka tämä summa saattaa tuntua vähäiseltä, se muodosti yli kolmanneksen tuloista, jotka RSA: n asianomainen divisioona oli kerännyt koko edellisen vuoden aikana, arvopaperihakemukset osoittavat.

Tämän Science Fridayn aikana podcast Ira kysyy Matt Greeniltä, Martin Hellmanilta (julkisen avaimen salauksen keksijä) ja Phil Zimmermanilta (PGP: n luoja), mitä heidän mielestään NSA on murtanut:

(noin 17: 26)

Ira : Mihin asioihin tiedämme, että NSA on hajonnut?

Matt vahva>: Joten olemme kuulleet useita asioita, jotka voimme todennäköisesti hyvittää todellisina. … Satunnaislukugeneraattorit ... tiedämme, että NSA NIST: n kautta ... on todennäköisesti asettanut takaovet joihinkin tavanomaisiin algoritmeihin, joiden avulla ne voivat rikkoa olennaisesti nämä järjestelmät kokonaan.

Ira : Tarkoitatko, että NSA loi nämä takaovet?

Matt : Aivan oikein. Joten NIST toimii NSA: n kanssa --- ja laki edellyttää niitä. Luulimme NSA: n auttavan NIST: ää kehittämällä turvallisempia standardeja amerikkalaisten käyttöön. Epäilemme nyt - ja meillä on vahvoja todisteita - siitä, että tilanne oli aivan päinvastainen; että NIST: ää käytettiin asettamaan standardeja, jotka NSA voisi rikkoa.

Näiden viimeaikaisten paljastusten perusteella algoritmien vahvuudella ei näytä olevan lainkaan merkitystä. RSA näyttää olevan yksityinen yritys, jonka NSA on jotenkin ostanut, ja NIST on itse luonut DSA: n, joka näiden asiantuntijoiden mukaan on suurelta osin NSA: n salaustutkimuksen etupuoli.

Toisin sanoen, se todella ei ole väliä, käytätkö satunnaislukugeneraattoreita, jotka tulevat melkein minkä tahansa modernin tietokoneen mukana, kuten OpenSSH ja muutkin tekevät.

Valitse haluamasi nopein. Minun tapauksessani käytän samaa avainta uudelleen monille tavaroille, joten DSA: n nopeampi sukupolvenopeus on vähemmän toivottavaa. Ehkä on myös villi mahdollisuus, että RSA oli itse asiassa NIST: stä ja NSA: sta riippumaton yksikkö, kun taas tiedämme, että DSA: n on luonut NIST.

Käytän henkilökohtaisesti vain 1028-bittisiä avaimia, koska kuten olemme nähneet , sillä ei todellakaan ole väliä, ellei joku aseta sinulle jotain vaatimusta, joka uskoo silti, että isommat avaimet suojaavat sinua. Koko asia on suurimmaksi osaksi vain ärsytystä kaikille, jotka haluavat murtautua.

Ymmärrän kyllä. Olen lisännyt asiaankuuluvat lainaukset ja kirjoittanut osan äänestä. Kiitos muistutuksesta.
Tarkoitatko varmasti 1024-bittisiä avaimia?
Vastauksesi ei ole täysin johdonmukainen. Olet sekoittamassa tietoja RSA: n kehittämästä RNG: stä, joka näyttää olevan väärennetty, ja julkisen / yksityisen avaimen algoritmeista, joita kutsutaan RSA: ksi (edellä mainitun yrityksen perustajien kehittämät). RSA-algoritmia (riittävän suurilla avaimilla) ei voida helposti rikkoa, ellei sinulla ole hirviöoptimoitua klusteria tai kvanttitietokonetta. DSA: n osalta tämän saattaa julkaista NIST (en ole tarkistanut), mutta muut itsenäiset kryptografit ovat myös tarkastelleet NIST-julkaisua. He varoittivat esimerkiksi NIST: n hyväksymästä epäilyttävästä RNG: stä.
Sillä, että RSA Inc: n BSAFE-tuote käytti Dual EC DRBG: tä * oletus * (ei edes ainoana tarjottuina) satunnaislukugeneraattorina, ei ole * mitään tekemistä RSA * -algoritmin * suojausominaisuuksien taikaikki ohjelmistot, joita ei ole tai ei ole rakennettu käyttämään BSAFE: tä.Jos aiot heittää salaliittoteorioita, ainakin saat tosiasiat oikein.NSA: ta (ja monia muita tiedustelupalveluja ympäri maailmaa) voidaan syyttää runsaasti, ja on hyvä syy syyttää RSA: ta oletusarvoisesti ilman tarvetta esittää väitteitä, joilla ei ole todellisuutta.
#7
+13
fpmurphy
2011-07-09 19:57:23 UTC
view on stackexchange narkive permalink

RSA ja DSA ovat kaksi täysin erilaista algoritmia. RSA-avaimissa voi olla jopa 4096 bittiä, missä DSA: n on oltava täsmälleen 1024 bittiä (vaikka OpenSSL sallii enemmän.) Bruce Schneierin mukaan "sekä DSA: n että RSA: n, joiden avaimilla on sama pituus, on melkein identtisiä murtua."

FIPS 186-2 rajoitti moduulin 512-1024 bittiin. Mutta vuonna 2009 julkaistu tarkistettu FIPS 186-3 rajoittaa moduulin 1024, 2048 tai 3072 bittiin.
#8
+12
user37069
2014-01-13 15:21:32 UTC
view on stackexchange narkive permalink

ECDSA: n ongelma ei ole niinkään takaovet. Bernstein / Lange mainitsee erityisesti, että käyrän kryptanalyysi ei hyökkää tietyille käyrille, vaan käyräluokille (katso dia 6).

ECDSA: n ongelmana on, että NIST-käyriä on vaikea toteuttaa oikein (ts. vakioaika ja kaikki oikeat tarkistukset) verrattuna Curve25519: een OpenSSL: llä on vakioaikainen P256-toteutus, joten OpenSSH on tältä osin turvallinen.

Jos olet edelleen huolissasi NIST-käyristä, OpenSSH lisäsi äskettäin tuen Ed25519-mallille



Tämä Q & A käännettiin automaattisesti englanniksi.Alkuperäinen sisältö on saatavilla stackexchange-palvelussa, jota kiitämme cc by-sa 3.0-lisenssistä, jolla sitä jaetaan.
Loading...