Chave de certificado SSL mínima para o site de nome de usuário e senha?

Os tamanhos de módulos grandes são uma defesa contra tentativas de força bruta para reconstruir sua chave privada por um invasor que tenha apenas sua chave pública. Mais bits são mais variações a serem verificadas, mas, na prática, até mesmo os tamanhos de chave "menores" são muito difíceis de tentar atacar.

Quanto aos tamanhos específicos, uma chave de 512 bits é considerada bastante insegura neste momento, já que eles demonstraram ser quebráveis em questão de meses com recursos de computação suficientes. Chaves de 1024 bits ainda estão um pouco fora de alcance, mas esperam que elas sejam quebráveis (por alguém com grandes recursos de computação) nos próximos 5 anos. As chaves de 2048 bits são provavelmente intocáveis até que os computadores quânticos se tornem viáveis, e nesse ponto, tudo que usa criptografia de chave pública está praticamente fora da janela.

Separados da segurança direta do par de chaves, há outras deficiências em torno dos algoritmos de hash usados para assinatura; O MD5 está completamente quebrado neste ponto e qualquer autoridade de certificação que assine um certificado usando o MD5 é vulnerável a ataques de colisão. Isso foi demonstrado há alguns anos por uma equipe que criou uma autoridade de certificação desonestos, combinando seu hash MD5 com o de um certificado legítimo de que eles haviam sido assinados por um dos provedores raiz confiáveis.

Ah, e a miríade de problemas em outros aspectos, incluindo implementações inseguras como SSL v2, pontos fracos nas especificações como o ataque de renegociação e cifras fracas que ainda estão ativadas na maioria dos servidores da web por causa de clientes legados. Todos esses aspectos devem ser considerados em suas considerações de segurança SSL.

Para o tamanho da chave, no entanto; Não há razão para não usar os grandes. Os custos associados ao uso de chaves maiores são triviais (tempo extra de computação para validar o certificado).

Just heard a podcast that claimed the SSL was broken for small key sizes.

Ehmn, não. O SSL (que hoje supostamente significa TLS 1.0 ou posterior ) não está corrompido.

A troca de chaves RSA é conhecida por ter fraquezas quando usadas com tamanhos de chave menores (768 bits e inferiores) . Isso geralmente é mitigado aumentando o tamanho da chave.

So the question is there a recommend minimum key size?

Sim. NIST Special Publication 800-57 recomenda 2048 bits de 2011 a 2030 (tabela 4) . Esta postagem no blog fornece uma visão geral rápida .

Então, se você quer uma recomendação oficial, é 2048 bit. Mas pense no que você está protegendo e qual é o seu perfil de risco. Por exemplo, se você estiver apenas protegendo um estado de login de usuário (pense em um usuário que esteja conectado a uma rede social e precise manter seu login protegido, mas a informação real apresentada é pública), então um RSA de 1024 bits ou 1536 bits chave é provavelmente uma boa escolha também. Veja estas discussões em Security.Stackexchange para algumas opiniões qualificadas sobre tamanhos de chave e tradeoffs de uso da CPU - aqui e aqui .

Parece ser o famoso Bug SSL da Debian . Embora o bug fosse específico do Debian, ele era, no meu conhecimento, inútil para todos os tamanhos de chave menores.

Eu não tenho um link agora, mas em minha mente há pelo menos 2048 bits para conjuntos de chaves flutuando. Para algumas informações adicionais: Muitas ferramentas quebram quando os certificados têm md5 como o algoritmo de hash - que me atingiu há algum tempo e demorou um pouco para descobrir, já que os certificados e as próprias chaves eram absolutamente OK

Eu gosto da opinião de Bruce Schneier: "A criptografia é toda sobre as margens de segurança". Quanto maior o tamanho da chave, maior a margem de segurança (e maior o impacto no desempenho). Uma chave de 512 bits provavelmente é OK , mas provavelmente não por muito tempo. Como Shane Madden mencionou, há ampla evidência de que eles podem ser quebrados por um ataque combinado em menos de alguns meses. Se isso é uma margem de segurança suficiente para você, então você não precisa substituí-los imediatamente. As teclas de 1024 bits provavelmente estão próximas.

Portanto, se você já possui Certificados Digitais comprados que usam esses tamanhos de chave e NÃO está protegendo segredos vitais da empresa / nucleares, provavelmente está OK para o curto prazo, mas vai querer comprar Certificados SSL com um tamanho de chave maior no futuro. Existe uma margem de segurança grande o suficiente para você? Vale a pena o sucesso de performance? Quem estaria atacando seu sistema criptográfico? Um pouco de análise de ameaças é bom para A) descobrir se você precisa fazer algo imediatamente e B) cobrindo sua bunda no caso de algo ruim acontecer.

Qual deve ser a chave usada no criptosistema RSA?

As for the slowdown caused by increasing the key size (see Question 3.1.2), doubling the modulus length will, on average, increase the time required for public key operations (encryption and signature verification) by a factor of four, and increase the time taken by private key operations (decryption and signing) by a factor of eight.

Quanto a essa penalidade de desempenho será no mundo real, depende muito de sua aplicação e implementação. Pode aumentar o tempo por um fator quatro, o que só resulta em um extra de 4/10 de segundo, ou pode ser de quatro segundos. O teste é importante aqui.

Parece que, neste ponto, apenas o NIST ( SP800-131A ) O RSA e o DSA 2048 consideram que o tamanho das chaves deve ser aceitável após 2011-2014 e devem ter pelo menos 112 bits de segurança. Consulte a seção no SP800-131A em Certificados Digitais para obter mais informações.

Na minha opinião, tudo se resume a isto: sua margem de segurança é "pequena" com teclas de 512 bits, "não é ruim" com chaves de 1024 bits e "muito boa" com teclas de 2048 bits. Faça um pouco da análise de ameaças e decida como a margem de segurança de sua organização precisa ser, que tipo de dados você é proteger e o que você pode perder se o sistema criptográfico que o protege estiver quebrado. Certifique-se de considerar a política existente e todos os requisitos legais que você precisa cumprir.