2009-02-26 29 views
83

Estoy en el proceso de crear una CSR, y me pregunto cuál es posiblemente la mejor duración para mi clave RSA.¿Qué longitud de clave RSA debería usar para mis certificados SSL?

Por supuesto, 384 es probablemente demasiado débil, y 16384 es probablemente demasiado lento.

¿Existe un consenso sobre la longitud de la clave que se debe usar, dependiendo de la duración del certificado?

Edit: Como la mayoría de las personas, quiero que mi clave sea razonablemente fuerte. No me preocupa que la NSA pueda romper mi llave en 2019. Solo quiero saber cuál es la mejor práctica cuando uno planea hacer negocios normales (por ejemplo, un sitio de comercio electrónico)

Respuesta

91

Esta respuesta es un poco desactualizado Tenga en cuenta que podría no representar la mejor práctica actual.

Si se ha mantenido actualizado con el campo, considere la posibilidad de mejorar esta respuesta.


Bruce Schneier escribió en 1999:

longitudes de clave más son mejores, pero sólo hasta cierto punto. AES [simetric cypher] tendrá 128-bit, 192-bit y 256-bit key longitudes. Esto es mucho más largo que necesario en el futuro previsible. En el hecho , no podemos siquiera imaginar un mundo donde son posibles las búsquedas de fuerza bruta de 256 bits . Requiere algunos avances fundamentales en física y nuestra comprensión del universo de . Para criptografía de clave pública [cifras asimétricas], las claves de 2048 bits tienen el mismo tipo de propiedad; más tiempo es sin sentido.

Wikipedia escribe:

RSA afirma que las claves 1024 bits [asimétricas] pueden llegar a ser crackable en algún momento entre 2006 y 2010 y que las claves de 2048 bits son suficiente hasta 2030 Se debe usar una clave RSA longitud de 3072 bits si se requiere seguridad más allá de 2030. Directrices de gestión de clave NIST posteriores sugieren que las claves RSA de 15360 bits [asimétricas] son ​​ equivalente en fuerza a 256-bit teclas simétricas.

RSA Laboratories escribe (la última vez cambiada 2007 según archive.org):

RSA Laboratorios recomienda actualmente [asimétrica] tamaños de clave de 1024 bits para uso corporativo y 2048 bits para extremadamente claves valiosas como el par de claves raíz utilizado por una autoridad de certificación

Sería bueno, si alguien que conoce más, podría responder por qué hay esta diferencia.

+10

Las diferencias ("256 bits funcionarán para siempre" por un lado, y "1024 bits ya son basura" por el otro) se deben a las diferencias entre * simétrico * y * algoritmos asimétricos * y los tipos de claves utilizados en cada uno. Con cualquier "nivel de seguridad equivalente", verá números en bruto muy diferentes para las longitudes de las claves en simétrica y asimétrica. –

+1

A partir de septiembre de 2015, parece que la industria se ha movido para no aceptar CSR de menos de 2048 bits. Consulte las respuestas a continuación y el [artículo de soporte de Comodo] (https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/689/17/your-rsa-key-is-too-small-or -this-csr-uses-an-unsupported-key-size) – angularsen

+1

@anjdreas, Si bien es cierto que 2048 es [el mínimo] (http://stackoverflow.com/questions/8453529/are-herehere-any-disadvantages -to-using-a-4096-bit-encrypted-ssl-certificate/8453915 # comment60753920_8453915), voy a [tener mucho cuidado] (http://webmasters.stackexchange.com/questions/3836/what-are-the -benefits-of-a-caros-ssl-certificate/3837 # comment114486_3837) de puntos de citas de artículos de CA. – Pacerier

12

Como muchos clientes requieren el cumplimiento de los estándares criptográficos NIST, utilizo la guía en la publicación especial NIST 800-57, Recommendation for Key Management Part 1, §5.6. La mayoría de nuestras aplicaciones son aptas para 112 "bits" de seguridad, por lo que corresponde a triple-DES (o un pequeño tope hasta 128 bits AES) para cifrado simétrico y una clave de 2048 bits para RSA. Vea la Tabla 2 para una equivalencia aproximada.

Válido o no, poder remitirlo a una publicación de NIST ayuda a los clientes a sentirse mejor acerca de la seguridad (si se molestan en preguntar).

+0

El artículo mencionado en esta respuesta se revisa a [Recomendación para la administración de claves: Parte 1: General (Revisión 3)] (http://csrc.nist.gov/publications/nistpubs/ 800-57/sp800-57_part1_rev3_general.pdf). La revisión actual es julio de 2012 – AaA

+0

@BobSort Gracias, actualicé el enlace. – erickson

7

Este próximo agosto, Microsoft implementará un parche en Server 2003/2008, Win7 ect .. que requerirá el uso de una clave RSA de 1024 bits como mínimo. Así que bien podría comenzar a hacer que su estándar "mínimo".

10

Las autoridades certificadoras no firmarán csrs con un tamaño inferior a 2048 bits, por lo que debe generar su csr en 2048 bits.

+5

[citación necesitada] – CodesInChaos

+2

Fuente - http://answers.ssl.com/877/signing-request-needs-to-be-2048-bit-key-size - algunas CA como Affirmtrust/Trend Micro ya están incrustando 4096 bits raíces, entonces es probable que las cambiemos en los próximos años – Yogi

+0

Acabo de probar Comodo y ellos [no aceptan menos de 2048 bits] (https://support.comodo.com/index.php?/Default/Knowledgebase/Article/ Ver/689/17/su-rsa-key-is-too-small-or-this-csr-uses-an-unsupported-key-size). – angularsen

5

Para los certificados SSL utilizados en los sitios web, este texto de la página web Thawte.com (al 07/22/2014), es importante tener en cuenta:

Los estándares de la industria establecidos por Certification Authority/Browser (CA/B) Forum requieren que los certificados emitidos después del 1 de enero de 2014 DEBEN tener una longitud de clave de al menos 2048 bits.

+0

Mouais, Facebook sigue en 256 longitud de clave => http://b3.ms/XmWn0e1BMYOk –

+0

Para aclarar Facebook no usa RSA usa ECDHE_ECDSA por lo tanto, la longitud de clave más pequeña. – Michael

1

creo que 4096 es aceptable para RSA

Comprobar This link

El final de la firma SHA-1 no es nada nuevo, pero Google ha acelerado el proceso del cromo. En las próximas semanas, debe verificar sus certificados SSL.

This may be helpful

+1

¿Podría publicar algunos enlaces en inglés también, por favor? Mi alemán es bastante débil. –

+0

De juro, las llaves RSA solo pueden tener una longitud de 1024, 2048 o 3072 bits (de acuerdo con PKCS # 1 2.2 y FIPS 186-4). – aprelev

+0

[Flame] (https://en.wikipedia.org/wiki/Flame_ (malware)) mostró que los atacantes atacarán el hash en lugar del módulo más grande. Si usas SHA-1, entonces también puedes usar un módulo de 1024 bits ya que el hash y el módulo proporcionan una seguridad equivalente. El módulo de 1024 bits hará que las operaciones sean más rápidas que el módulo de 4096 más grande. – jww

3

Necesitaba crear varios nuevos certs SSL y no estaba satisfecho con las respuestas anteriores porque parecían vagas o anticuado así que hice un poco de investigación. En pocas palabras, la respuesta seleccionada es el uso correcto "claves de 2048 bits ... más tiempo no tiene sentido".

El aumento de la longitud de bits de 4096 añade un potentially meaningful load to your server (dependiendo de la carga existente) al tiempo que ofrece básicamente una insignificant security upgrade

Si se encuentra en una situación en la que necesita más de una clave de 2048 bits que no es necesario un mayor longitud de bits, necesita un nuevo algoritmo

Cuestiones relacionadas